本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
监控 GuardDuty 使用情况和估算成本
GuardDuty 提供使用率指标,用于跟踪一段时间内监控的保护计划、数据源 logs/events 和 GuardDuty 运行 VCPUs 时间的处理情况。
在此页面中:
Amazon CloudWatch 使用量指标
GuardDuty 向 Amazon Amazon 发布使用量指标 CloudWatch,使您能够:
跟踪一段时间内的实际使用情况
创建自定义仪表板和警报
在成本计算器中导出使用数据以进行 AWS 成本估算
GuardDuty 使用量指标是根据您的账户配置发布的:
对于独立账户(不属于组织),您可以在 Amazon 中查看您的账户使用指标 CloudWatch
对于属于组织的账户,指标会发布到委托管理员账户(组织的管理 GuardDuty 员),显示整个组织的汇总使用情况
GuardDuty 使用量指标将在 24 小时 CloudWatch 内在 Amazon 上发布。
指标详情
GuardDuty 在AWS/GuardDuty命名空间 CloudWatch 下向 Amazon 发布以下使用指标Hourly:
| 保护计划 | 数据源 | 指标名称 | 单位 | 描述 |
| 基础威胁检测 | CloudTrailEvents | AnalyzedCount | 计数 | 分析的 CloudTrail 管理事件数量 |
| 基础威胁检测 | VPCFlow记录DNSLog事件 | AnalyzedBytes | 字节 | 分析的 VPC 流日志和 DNS 日志量 |
| S3 防护 | S3 DataEvents | AnalyzedCount | 计数 | 分析的 S3 数据事件数量 |
| 亚马逊 EKS 保护 | KubernetesAuditLogs | AnalyzedCount | 计数 | 分析的 Amazon EKS 审核日志事件数量 |
| Lambda 保护 | LambdaNetworkLogs | AnalyzedBytes | 字节 | 分析的 Lambda 网络日志量 |
| 运行时监控 | RuntimeMonitoringEC2 | MonitoredVcpuHours | 计数(vCPU 小时数) | EC2 运行时监控监控的 vCPU 小时数 |
| 运行时监控 | RuntimeMonitoringEKS | MonitoredVcpuHours | 计数(vCPU 小时数) | 由运行时监控监控的 Amazon EKS vCPU 时长 |
| 运行时监控 | RuntimeMonitoringFargate | MonitoredVcpuHours | 计数(vCPU 小时数) | 运行时监控监控的 Fargate vCPU 时长 |
| 恶意软件防护 EC2 | OnDemandEBSSnapshot | ScannedBytes | 字节 | 扫描的按需 EBS 快照数据量 |
| 恶意软件防护 EC2 | OnDemandEBSVolume | ScannedBytes | 字节 | 扫描的按需 EBS 卷数据量 |
| 恶意软件防护 EC2 | MalwareProtectionEBS | ScannedBytes | 字节 | 恶意软件防护扫描的 EBS 数据量 |
| 亚马逊 RDS 保护 | RDS | MonitoredAcuHours | 计数(ACU 小时数) | 监控 Amazon RDS Aurora 容量单位 |
| 亚马逊 RDS 保护 | RDSLimitless | MonitoredAcuHours | 计数(ACU 小时数) | Amazon RDS Aurora 监控 ACU 无限时长 |
| 亚马逊 RDS 保护 | AuroraScaleout | MonitoredAcuHours | 计数(ACU 小时数) | 监控 Aurora Scaleout ACU 时长 |
| 亚马逊 RDS 保护 | RDS | MonitoredVcpuHours | 计数(vCPU 小时数) | 监控 Amazon RDS vCPU 时长 |
指标维度
独立 GuardDuty 账户:指标包括
AccountId, DataSource维度组织级别(授权管理员):指标包括维度
DataSource
S3 恶意软件防护
GuardDuty Malware Protection for S3保护计划在AWS/GuardDuty/MalwareProtection命名空间 CloudWatch 下向 Amazon 发布以下使用指标:
| 指标名称 | 单位 | 描述 |
| CompletedScanCount | 计数 | 在给定时间范围内完成的 S3 对象恶意软件扫描次数。 |
| FailedScanCount | 计数 | 在给定时间范围内失败的 S3 对象恶意软件扫描次数。 |
| SkippedScanCount | 计数 | 在给定时间范围内跳过的 S3 对象恶意软件扫描次数。 |
| InfectedScanCount | 计数 | 在给定时间范围内检测到可能恶意对象的 S3 对象恶意软件扫描次数。 |
| CompletedScanBytes | 计数 | 在给定时间范围内扫描的 S3 对象字节数。 |
指标维度
所有指标都包含
Malware Protection Plan Id, Resource Name维度SkippedScanCount 指标包括
Skipped Reason作为附加维度
了解 GuardDuty 使用情况
GuardDuty 事件处理
启用后, GuardDuty 会自动使用所选 AWS 区域日志源中的事件和日志。 GuardDuty 从单独的独立数据源摄取事件,以提供全面的安全价值。
重要
您的个人服务日志配置或筛选规则(适用于 VPC 流日志、DNS 日志、 CloudTrail 事件、S3 数据事件、Kubernetes 审计日志和 Lambda 网络日志)不会影响所处理的内容。 logs/events GuardDuty
GuardDuty GuardDuty 运行时监控监控的实例的 VPC 流日志处理费用
对于由 GuardDuty 运行时监控(通过运行时代理或 Amazon EKS 运行时代理)监控的实例,只要代理主动发送运行时事件数据,就 GuardDuty 不会收取 VPC 流日志处理费用。 EC2 如果代理停止传输事件数据,则 GuardDuty 恢复通过 VPC 流日志收费。
启用运行时监控可降低 GuardDuty Amazon 使用指标中的 VPC 流日志 CloudWatch 使用量。禁用运行时监控可恢复 VPC 流日志的使用。
估算成本 GuardDuty
GuardDuty 对于大多数保护计划,每个 AWS 账户均可免费试用 30 天。在此试用期内,您可以:
通过使用量指标监控您的实际 GuardDuty 使用情况
根据您观察到的使用模式,使用 AWS 定价计算器估算您的每月费用
以下保护计划包括 30 天免费试用:
基础的 GuardDuty
GuardDuty S3 防护
GuardDuty 亚马逊 EKS 保护
GuardDuty 运行时监控
GuardDuty 亚马逊 RDS 保护
GuardDuty Lambda 保护
GuardDuty 恶意软件防护 EC2 (仅适用于 GuardDuty启用 Foundat GuardDuty ional 时启动的扫描)
Security Hub 客户
Security Hub 通过其附加的 GuardDuty 威胁分析计划为威胁检测提供了简化的定价模式,整合了多种计量 GuardDuty DataSources。使用 Security Hub 威胁分析计划(带有 Security Hub 的 GuardDuty)时:
多个 GuardDuty DataSources 已合并
值得注意的是,为简单起见,Amazon EKS 审核日志事件和 S3 数据事件使用固定转换率转换为 GB
要估算 Security Hub 成本,请参阅 Sec AWS urity Hub 文档。
注意: GuardDuty30 天免费试用状态与 Security Hub 的集成无关。启用或禁用 Security Hub:
如果您已经使用 GuardDuty了试用期,则不授予新的免费试用期
不会中断或重启正在进行的免费试用
不延长现有试用期
