Amazon GuardDuty 扩展威胁检测功能现在支持 Amazon EC2 和 Amazon ECS

发布于: 2025年12月5日

今天，我们宣布进一步增强 Amazon GuardDuty 扩展威胁检测功能，增加检测针对 Amazon Elastic Compute Cloud（Amazon EC2）的多阶段攻击的功能。 GuardDuty 扩展威胁检测采用在亚马逊云科技规模训练的人工智能和机器学习算法，以自动关联安全信号并识别关键威胁。它会分析较长时间段内的网络活动、进程运行时行为、恶意软件执行、亚马逊云科技 API 操作等多种安全信号，以检测原本可能被忽略的复杂攻击模式。 

在此次发布中，GuardDuty 引入了新的严重程度调查发现：AttackSequence:EC2/CompromisedInstanceGroup，该调查发现会提供攻击序列信息，让您可以减少在初始分析上花费的时间，将更多时间用于应对严重威胁，从而最大程度地降低业务影响。例如，GuardDuty 可以识别出“可疑进程启动，后跟持久性尝试、加密货币挖矿活动以及反向 Shell 创建”的攻击序列，并将这些相关事件整合为单个“严重”级别的安全调查发现。每条调查发现都包含详细摘要、事件时间表、与 MITRE ATT&CK® 战术和技术的对应关系以及补救建议。

适用于 Amazon EC2 的 GuardDuty 扩展威胁检测功能现已在由西云数据运营的亚马逊云科技中国（宁夏）区域以及由光环新网运营的亚马逊云科技中国（北京）区域推出，无需另行付费。 

要开始使用，请通过控制台或 API 启用 GuardDuty 保护计划。 GuardDuty 新客户可享受 30 天免费试用。 如需更多信息，请访问 Amazon GuardDuty 产品页面。