GuardDuty 基础数据来源 - Amazon GuardDuty
AWS CloudTrail 管理事件Amazon VPC 流日志Route53 Resolver DNS 查询日志

GuardDuty 基础数据来源

GuardDuty 使用基础数据来源来检测与已知恶意域和 IP 地址的通信,并识别可能异常的行为和未经授权的活动。在从这些来源传输到 GuardDuty 的过程中,所有日志数据都经过加密。GuardDuty 从这些日志源中提取各种字段以进行分析和异常检测,然后丢弃日志。

首次在某个区域启用 GuardDuty 时,您的 30 天免费试用期包含对所有基础数据来源的威胁检测。在此免费试用期间,您可以监控按每个基础数据来源细分的估计每月使用情况。作为委派 GuardDuty 管理员账户,您可以查看预估月度使用成本,按属于您的组织并启用了 GuardDuty 的每个成员账户细分。30 天试用期结束后,您可以使用 AWS Billing 来获取有关使用成本的信息。

当 GuardDuty 访问来自这些基础数据来源的事件和日志时,不会产生额外成本。

当您在 AWS 账户中启用 GuardDuty 后,将会自动开始监控以下章节介绍的日志来源。您无需启用其他任何功能,GuardDuty 即可开始分析和处理这些数据来源,生成相关的安全调查发现。

AWS CloudTrail 管理事件

AWS CloudTrail 为您提供账户的 AWS API 调用历史记录,包括使用 AWS 管理控制台、AWS SDK、命令行工具和某些 AWS 服务进行的 API 调用。CloudTrail 还可以帮助您确定,哪些用户和账户为支持 CloudTrail 的服务调用了 AWS API、调用的源 IP 地址以及调用的时间。有关更多信息,请参阅《AWS CloudTrail 用户指南》中的什么是 AWS CloudTrail

GuardDuty 可监控 CloudTrail 管理事件,也称为控制面板事件。这些事件可让您深入了解对 AWS 账户中的资源执行的管理操作。

以下是 GuardDuty 监控的 CloudTrail 管理事件示例:

  • 配置安全性(IAM AttachRolePolicy API 操作)

  • 配置路由数据规则(Amazon EC2 CreateSubnet API 操作)

  • 设置日志记录(AWS CloudTrail CreateTrail API 操作)

启用 GuardDuty 后,会开始通过独立和重复的事件流,直接从 CloudTrail 中使用 CloudTrail 管理事件,并分析 CloudTrail 事件日志。

GuardDuty 不会管理 CloudTrail 事件,也不会影响现有的 CloudTrail 配置。同样,您的 CloudTrail 配置不会影响 GuardDuty 使用和处理事件日志的方式。要管理 CloudTrail 事件的访问和保留,请使用 CloudTrail 服务控制台或 API。有关更多信息,请参阅《AWS CloudTrail 用户指南》中的使用 CloudTrail 事件历史记录查看事件

GuardDuty 如何处理 AWS CloudTrail 全球事件

对于大多数 AWS 服务,CloudTrail 事件记录在创建事件的 AWS 区域 中。对于 AWS Identity and Access Management(IAM)、AWS Security Token Service(AWS STS)、Amazon Simple Storage Service(Amazon S3)、Amazon CloudFront 和 Amazon Route 53(Route 53)等全球服务,事件仅在其发生的区域生成,但具有全球意义。

当 GuardDuty 使用具有安全值(如网络配置或用户权限)的 CloudTrail 全球服务事件(GSE)时,会复制这些事件并在启用 GuardDuty 的每个区域中处理这些事件。此行为有助于 GuardDuty 维护每个区域中的用户和角色配置文件,这对于检测异常事件至关重要。

注意

对于这些全局服务事件生成的调查发现,其中的区域值可能与 GuardDuty 创建检测的区域不同。例如,即使 GuardDuty 在其他区域创建检测,调查发现中显示的区域仍可能为 us-east-1

建议您在 AWS 账户中所有可用的 AWS 区域中启用 GuardDuty。即使您没有在特定区域部署资源,启用 GuardDuty 也有助于保护账户免受潜在威胁。威胁行为者可能通过全局服务(例如 IAM、AWS STS 或 Amazon CloudFront)发起攻击。他们可能会尝试创建未经授权的资源以利用业务覆盖较少的区域。GuardDuty 会在所有已启用该服务的区域(包括默认区域和选择加入区域)处理全局服务事件。这有助于 GuardDuty 检测整个 AWS 账户(包括未积极使用资源的区域)中的潜在可疑活动。

Amazon VPC 流日志

Amazon VPC 的 VPC 流日志功能可捕获有关进出网络接口的 IP 流量信息,该网络接口附加至 AWS 环境中的 Amazon Elastic Compute Cloud(Amazon EC2)实例。

启用 GuardDuty 后,会立即开始分析您账户中 Amazon EC2 实例的 VPC 流日志。通过独立且重复的流日志流,直接从 VPC 流日志功能使用 VPC 流日志事件。此过程不会影响任何现有的流日志配置。

Lambda 保护

Lambda 保护是 Amazon GuardDuty 的一项可选增强功能。目前,Lambda 网络活动监控包括来自您账户所有 Lambda 函数的 Amazon VPC 流日志,甚至包括那些不使用 VPC 网络的日志。为了保护您的 Lambda 函数免受潜在的安全威胁,您需要在 GuardDuty 账户中配置 Lambda 保护。有关更多信息,请参阅 Lambda 保护

GuardDuty 运行时监控

当您在 EKS 运行时监控或 EC2 实例运行时监控中管理安全代理(手动或通过 GuardDuty),而 GuardDuty 目前部署在 Amazon EC2 实例上并接收从该实例收集的运行时事件类型时,GuardDuty 不会因分析来自此 Amazon EC2 实例的 VPC 流日志而向您的 AWS 账户收取费用。这有助于 GuardDuty 避免在账户中产生双重使用成本。

GuardDuty 不会管理您的流日志,也不会在您的账户中提供这些日志。要管理对流日志的访问和保留,您必须配置 VPC 流日志功能。

Route53 Resolver DNS 查询日志

如果您为 Amazon EC2 实例使用 AWS DNS 解析程序(默认设置),则 GuardDuty 可以通过内部 AWS DNS 解析程序访问和处理您的请求并响应 Route53 Resolver DNS 查询日志。如果您使用其他 DNS 解析程序(如 OpenDNS 或 GoogleDNS),或者您设置了自己的 DNS 解析程序,则 GuardDuty 无法访问和处理来自此数据来源的数据。

启用 GuardDuty 后,将会立即开始分析来自独立数据流的 Route53 Resolver DNS 查询日志。该数据流与通过 Route 53 解析程序查询日志记录功能提供的数据是分开的。此功能的配置不会影响 GuardDuty 分析。

注意

GuardDuty 不支持监控在 AWS Outposts 上启动的 Amazon EC2 实例的 DNS 日志,因为该环境中没有 Amazon Route 53 Resolver 查询日志记录功能。