GuardDuty 调查发现聚合

GuardDuty 会动态更新生成的调查发现。如果 GuardDuty 检测到与同一安全问题相关的新的活动，则不会创建新的调查发现，而会使用最新的详细信息更新原始调查发现。此行为使您无需浏览多个类似报告，就能识别正在发生的问题，并且还减少了已知安全问题的调查发现总量。

例如，对于 UnauthorizedAccess:EC2/SSHBruteForce 调查发现，针对实例的多次访问尝试将聚合到同一调查发现 ID，从而增加调查发现详细信息中的计数数量。这是因为该调查发现表示实例的安全问题，指示未针对此类活动正确保护实例上的 SSH 端口。但是，如果 GuardDuty 检测到针对环境中新实例的 SSH 访问活动，将创建一个具有唯一调查发现 ID 的新调查发现，以提醒您存在与新资源关联的安全问题。

聚合调查发现后，系统会根据该活动最近一次发生的信息进行更新。这意味着，在上面的示例中，如果您的实例是新攻击者的暴力攻击目标，则调查发现的详细信息将会更新，以反映最新源的远程 IP 信息，并且旧信息将被替换。CloudTrail 日志或 VPC Flow 日志仍会提供有关个别活动尝试的完整信息。

触发 GuardDuty 生成新调查发现而不是聚合现有调查发现的条件取决于调查发现类型。每种调查发现类型的聚合标准均由我们的安全工程师确定，以便为您提供账户中各种安全问题的概述。

当 GuardDuty 在账户中生成攻击序列调查发现类型时，只有当 GuardDuty 在账户中识别到相同序列的相似信号时，调查发现才会聚合。否则，GuardDuty 将生成另一个攻击序列。