管理 Amazon GuardDuty 调查发现
GuardDuty 提供了多项重要功能,可帮助您对调查发现进行分类、存储和管理。这些功能将帮助您根据特定环境定制调查发现,减少低价值调查发现带来的干扰,让您专注于独特的 AWS 环境面临的威胁。查看本页上的主题,了解如何使用这些功能来提高安全调查发现在环境中的价值。
主题:
- Amazon GuardDuty 中的摘要控制面板
-
了解 GuardDuty 控制台中可用的摘要控制面板的组件。
- 在 GuardDuty 中筛选调查发现
-
了解如何根据您指定的条件筛选 GuardDuty 调查发现。
- GuardDuty 中的抑制规则
-
了解如何通过抑制规则自动筛选 GuardDuty 提醒您的调查发现。抑制规则会根据筛选条件自动存档调查发现。
- 使用实体列表和 IP 地址列表自定义威胁检测
-
使用基于可公开路由 IP 地址的 IP 列表和威胁列表自定义 GuardDuty 监控范围。可信 IP 列表可防止从您认为可信的 IP 生成非 DNS 调查发现,而 Threat Intel Lists 将会使 GuardDuty 提醒您来自用户定义的 IP 的活动。
- 将生成的调查发现导出到 Amazon S3
-
将生成的调查发现导出到 Amazon S3 存储桶,以便您可以在 GuardDuty 中的 90 天调查发现保留期结束后保存记录。使用这些历史数据来跟踪您账户中可能的可疑活动,并评估建议的补救措施是否成功。
- 使用 Amazon EventBridge 处理 GuardDuty 调查发现
-
通过 Amazon EventBridge 事件设置 GuardDuty 调查发现自动通知。您还可以通过 EventBridge 自动执行其他任务,以便响应调查发现。
- 了解 CloudWatch Logs 以及在 EC2 恶意软件防护扫描期间跳过资源的原因
-
了解如何针对 GuardDuty EC2 恶意软件防护审计 CloudWatch Logs,以及在扫描过程中可能跳过受影响 Amazon EC2 实例或 Amazon EBS 卷的原因。
- 报告 EC2 恶意软件防护中的误报
-
了解如何报告 S3 恶意软件防护中可能的威胁检测误报。
- 在 S3 恶意软件防护中将 S3 对象扫描结果报告为误报
-
了解如何报告 S3 恶意软件防护中可能的威胁检测误报。
