Amazon GuardDuty 功能

Amazon GuardDuty 是一项智能威胁检测服务，为客户提供了一种准确、简便的方法来持续监控和保护他们的 Amazon Web Services 账户、工作负载和存储在 Amazon S3 中的数据。GuardDuty 会分析您的 Amazon Web Services 账户中的数十亿个事件，这些事件来自 Amazon CloudTrail 管理事件（您账户中的 Amazon Web Services 用户活动和 API 活动）、Amazon CloudTrail S3 数据事件（Amazon S3 活动）、Amazon VPC 流量日志（网络流量数据）和 DNS 日志（名称查询模式）。

Amazon GuardDuty 威胁检测功能可以识别可能与账户泄露、实例泄露、恶意侦察和存储桶泄露相关的活动。GuardDuty 会检测异常的 API 调用、向已知恶意 IP 地址发送的可疑出站通信，或使用 DNS 查询作为传输机制的可能数据盗窃。GuardDuty 使用通过威胁情报（例如恶意 IP 和域名的列表）增强的机器学习来提供更准确的调查结果。

只需在 Amazon Web Services 管理控制台中单击几下鼠标，即可启用 Amazon GuardDuty，客户可以在 Amazon Web Services 云中使用更加智能、更具成本效益的威胁检测方案。

Amazon GuardDuty 为您提供了针对账户泄露的准确威胁检测，如果不近乎实时地持续监控各种因素，可能特别难以快速检测到账户泄露。GuardDuty 可以检测账户泄露的迹象，例如在一天中的非典型时间从异常的地理位置访问 Amazon Web Services 资源。对于程式化的 Amazon Web Services 账户，GuardDuty 会检查是否存在异常的 API 调用，例如试图通过禁用 CloudTrail 日志记录功能或从恶意 IP 地址拍摄数据库快照来掩盖账户活动。

Amazon GuardDuty 会持续监控和分析您的 Amazon Web Services 账户以及在 Amazon CloudTrail、VPC 流量日志和 DNS 日志中发现的工作负载事件数据。无需部署和维护额外的安全软件或基础设施。通过将您的 Amazon Web Services 账户关联在一起，您可以汇总威胁检测，而不必逐个账户进行处理。此外，您也不必收集、分析和关联来自多个账户的大量数据。这样，您就可以专注于如何快速响应、如何确保您的组织安全以及继续在 Amazon Web Services 中国区域扩大规模和进行创新。

借助 Amazon GuardDuty，您可以访问针对云开发和优化的内置检测技术。检测算法由我们维护并不断改进。主要检测类别包括：

侦察 -- 暗示攻击者进行侦察的活动，例如异常 API 活动、VPC 内部端口扫描、登录请求失败的异常模式或从已知的恶意 IP 进行未阻止的端口探测。

实例盗用 -- 表明实例盗用的活动，例如加密货币挖矿、后门指令和控制（C&C）活动、使用域生成算法（DGA）的恶意软件、出站拒绝服务活动、异常高的网络流量、异常的网络协议、出站实例与已知恶意 IP 通信、外部 IP 地址使用的临时 Amazon EC2 凭证以及使用 DNS 进行数据泄露。

账户盗用 -- 表明账户盗用的常见模式，包括来自异常地理位置或匿名代理的 API 调用、试图禁用 Amazon CloudTrail 日志记录功能、削弱账户密码策略的变更、异常实例或基础设施启动、在异常区域部署基础设施以及来自已知恶意 IP 地址的 API 调用。

存储桶盗用 – 表示存储桶盗用的活动，例如表示滥用凭证的可疑数据访问模式、来自远程主机的异常 S3 API 活动、来自已知恶意 IP 地址的未经授权的 S3 访问，以及从以前没有访问存储桶或从不寻常的位置调用的用户那里检索 S3 存储桶中的数据的 API 调用。Amazon GuardDuty 会持续监控和分析 Amazon CloudTrail S3 数据事件（例如 GetObject、ListObjects、DeleteObject），以检测所有 Amazon S3 存储桶中的可疑活动。

单击查看 GuardDuty 调查结果类型的完整列表。

GuardDuty 利用机器学习和异常检测功能识别以前难以发现的威胁，例如异常的 API 调用模式或恶意的 IAM 用户行为，以提供这些高级检测。此外，GuardDuty 还集成了威胁情报，其中包含来自 Amazon Web Services 服务以及包括 Proofpoint 和 CrowdStrike 在内的行业领先第三方安全合作伙伴的恶意域或 IP 地址列表。

GuardDuty 为您提供了一个替代方案，无需构建内部解决方案、维护复杂的自定义规则或者开发您自己的已知恶意 IP 地址威胁情报。GuardDuty 消除了监控和保护您的 Amazon Web Services 账户和工作负载的无差别繁重工作和不必要的复杂性。

Amazon GuardDuty 提供了三种严重程度（“低”、“中”和“高”），以帮助客户确定对潜在威胁的响应的优先级。严重程度为“低”时，表示在破坏您的资源之前被阻止的可疑或恶意活动。严重程度为“中”时，表示可疑的活动。例如，大量流量正在返回到隐藏在 Tor 网络后面的远程主机，或者活动与通常观察到的行为有所偏离。严重程度为“高”时，表示相关资源（例如 EC2 实例或一组 IAM 用户凭证）发生泄露并被主动用于未经授权的目的。

Amazon GuardDuty 提供了 HTTPS API、CLI 工具和 Amazon CloudWatch Events，以支持对安全调查结果的自动安全响应。例如，您可以将 CloudWatch Events 用作一个事件源以触发 Amazon Lambda 函数，从而自动执行响应工作流。

Amazon GuardDuty 旨在根据您的 Amazon Web Services 账户、工作负载和存储在 Amazon S3 中的数据内的整体活动水平，自动管理资源利用率。GuardDuty 只在必要时增加检测能力，并在不再需要容量时降低利用率。您现在拥有了一个经济高效的架构，可确保您获得所需的安全处理能力，同时最大限度地减少开支。您只需为您使用时消耗的检测容量付费。无论您的企业规模大小，GuardDuty 都能为您提供大规模的安全保障。

只需在 Amazon Web Services 管理控制台中单击一下鼠标或者进行一次 API 调用，您就可以在单个账户中启用 Amazon GuardDuty。在控制台中再单击几下鼠标，即可在多个账户中启用 GuardDuty。Amazon GuardDuty 通过 Amazon Organizations 集成以及在 GuardDuty 内以原生方式支持多个账户。启用后，GuardDuty 会立即开始以近乎实时的方式大规模分析连续的账户和网络活动流。无需部署或管理其他安全软件、传感器或网络设备。威胁情报已预先集成到服务中，并且会不断更新和维护。

GuardDuty 利用人工智能（AI）和机器学习（ML）快速识别针对您的账户、工作负载和数据的复杂、多阶段攻击序列。生成的攻击序列调查结果有助于减少您对安全事件进行分类时需要投入的时间和精力。通过自动关联不同的信号和提供对可能泄露的资源的高可信度洞察，生成的攻击序列调查结果还提供了基于 Amazon Web Services 最佳实践的 MITRE ATT&CK® 映射和规范性补救建议。借助这些增强功能，GuardDuty 能够让客户专注于最关键的威胁并简化他们对活跃事件的响应。