什么是 Amazon GuardDuty?
Amazon GuardDuty 是一项威胁检测服务,用于持续监控、分析和处理 AWS 环境中的 AWS 数据来源和日志。GuardDuty 使用恶意 IP 地址和域列表、文件哈希值和机器学习(ML)模型等威胁情报源,来识别 AWS 环境中的可疑和潜在有恶意的活动。以下列表概述了 GuardDuty 可以帮助您检测到的潜在威胁场景:
-
AWS 凭证被盗用和泄露。
-
可能导致勒索软件事件的数据泄露和损毁。在支持的 Amazon Aurora 和 Amazon RDS 数据库引擎版本中,存在表明存在异常行为的异常登录事件模式。
-
Amazon Elastic Compute Cloud (Amazon EC2) 实例和容器工作负载中存在未经授权的加密币挖矿活动。
-
Amazon EC2 实例和容器工作负载,以及新上传到 Amazon Simple Storage Service(Amazon S3)存储桶中的文件中存在恶意软件。
-
表明 Amazon Elastic Kubernetes Service(Amazon EKS)集群、Amazon Elastic Container Service(Amazon ECS)– AWS Fargate 任务以及 Amazon EC2 实例和容器工作负载中有未经授权行为的操作系统级别、联网和文件事件。
以下视频概括介绍了 GuardDuty 如何帮助您检测 AWS 环境中的威胁。
GuardDuty 的功能
以下是 Amazon GuardDuty 可帮助您监控、检测和管理 AWS 环境中的潜在威胁的一些主要方法。
- 持续监控特定的数据来源和事件日志
-
-
基础威胁检测:当您在 AWS 账户中启用 GuardDuty 时,GuardDuty 会自动开始提取与该账户关联的基础数据来源。这些数据来源包括 AWS CloudTrail 管理事件、VPC 流日志(来自 Amazon EC2 实例)和 DNS 日志。您无需启用其他任何功能,GuardDuty 即可开始分析和处理这些数据来源,生成相关的安全调查发现。有关更多信息,请参阅 GuardDuty 基础数据来源。
-
扩展威胁检测:此功能可检测 AWS 账户内跨越基础数据来源、多种类型的 AWS 资源和时间的多阶段攻击。您的账户中可能存在多个单独事件,这些事件本身并未构成明显的威胁。但是,当观察到这些事件的顺序表明存在可疑活动时,GuardDuty 会将其识别为攻击序列。GuardDuty 通过生成相关的攻击序列调查发现类型来通知您,以提供有关观察到的攻击序列的详细信息。
您无需支付任何额外费用,系统会自动为每个启用 GuardDuty 的 AWS 账户 启用扩展威胁检测功能。此功能不需要您启用任何以使用案例为中心的防护计划。但是,为了提高 Amazon S3 资源的安全性,GuardDuty 建议在您的账户中启用 S3 防护。这将有助于扩展威胁检测识别可能影响 Amazon S3 资源的多阶段攻击。
有关此功能的工作原理及其涵盖的威胁场景的更多信息,请参阅 GuardDuty 扩展威胁检测。
-
以应用场景为重点的 GuardDuty 防护计划:为增强对 AWS 环境安全的威胁检测可见性,GuardDuty 提供了可以选择启用的专用防护计划。防护计划有助您监控来自其他 AWS 服务的日志和事件。这些来源包括 EKS 审计日志、RDS 登录活动、CloudTrail 中的 Amazon S3 数据事件、EBS 卷,涵盖 Amazon EKS、Amazon EC2 和 Amazon ECS-Fargate 的运行时监控,以及 Lambda 网络活动日志等。GuardDuty 将这些日志和事件来源合并为一个新名词,称之为功能。您可以随时在支持的 AWS 区域中启用一个或多个专用防护计划。GuardDuty 将根据您启用的防护计划开始监控、处理和分析活动。有关每个防护计划及其工作原理的更多信息,请参阅相应的防护计划文档。
防护计划 描述 识别潜在的安全风险,例如泄露和损毁 Amazon S3 存储桶中数据的尝试。
EKS 审计日志监控会分析来自 Amazon EKS 集群的 Kubernetes 审计日志,以确定是否存在可能可疑以及有恶意的活动。
监控和分析 Amazon EKS、Amazon EC2 和 Amazon ECS(包括 AWS Fargate)上的操作系统级别事件,从而检测潜在的运行时威胁。
通过扫描与 Amazon EC2 实例关联的 Amazon EBS 卷,检测可能存在的恶意软件。提供了按需使用此功能的选项。
检测 Amazon S3 存储桶中新上传的对象中可能存在的恶意软件。
分析和剖析 RDS 登录事件,识别对受支持 Amazon Aurora 和 Amazon RDS 数据库的潜在访问权限威胁。
从 VPC 流日志开始,监控 Lambda 网络活动日志,以检测对 AWS Lambda 函数的威胁。这些潜在威胁的示例包括加密币挖矿以及与恶意服务器通信等。
单独启用 S3 恶意软件防护
GuardDuty 允许您灵活选择独立使用 S3 恶意软件防护,而不启用 Amazon GuardDuty 服务。有关开始仅使用 S3 恶意软件保护的更多信息,请参阅 GuardDuty S3 恶意软件防护。要使用所有其他的防护计划,您必须启用 GuardDuty 服务。
-
- 管理多账户环境
-
您可以使用 AWS Organizations(推荐)或旧版邀请方法来管理多账户 AWS 环境。有关更多信息,请参阅 GuardDuty 中的多个账户。
- 针对检测到的威胁生成安全调查发现
-
当 GuardDuty 检测到与 AWS 资源相关的潜在安全威胁时,将会开始生成安全调查发现,提供有关可能失陷资源的信息。在账户中启用 GuardDuty 后,可生成示例发现结果来查看相关的调查发现详细信息。有关安全调查发现的完整列表,请参阅 GuardDuty 调查发现类型。
借助 GuardDuty,您还可以使用生成特定 GuardDuty 安全调查发现的测试程序脚本,从而了解如何检查和响应 GuardDuty 调查发现。有关更多信息,请参阅 在专用账户中测试 GuardDuty 调查发现。
- 评估和管理安全调查发现
-
GuardDuty 可跨账户合并安全调查发现,然后在 GuardDuty 控制台的“摘要”控制面板中显示结果。您也可以通过 AWS Security Hub CSPM API、AWS Command Line Interface 或 AWS SDK 检索调查发现。通过全面了解您当前的安全状态,您可以识别趋势和潜在的问题,并采取必要的补救措施。有关更多信息,请参阅 管理 GuardDuty 调查发现。
- 与相关 AWS 安全服务集成
-
为进一步帮助您分析和调查 AWS 环境中的安全趋势,可考虑将以下 AWS 安全相关服务与 GuardDuty 结合使用。
-
AWS Security Hub CSPM:该服务可让您全面了解 AWS 资源的安全状态,并帮助您根据安全行业标准和最佳实践检查您的 AWS 环境。这部分是通过使用、聚合、整理来自多个 AWS 服务(包括 Amazon Macie)以及支持的 AWS 合作伙伴网络(APN)产品的安全调查发现,以及确定其优先顺序来实现的。Security Hub 可以帮助您分析安全趋势,并识别整个 AWS 环境中最高优先级的安全问题。
有关将 GuardDuty 与 Security Hub 结合使用的信息,请参阅将 GuardDuty 与 AWS Security Hub CSPM 集成。要了解有关 Security Hub 的更多信息,请参阅 AWS Security Hub CSPM 用户指南。
-
Amazon Detective:该服务可帮助您分析、调查和快速识别安全调查发现或可疑活动的根本原因。Detective 会自动从AWS资源收集日志数据。然后,它使用机器学习、统计分析和图形理论生成可视化效果,帮助更快、更高效地进行安全调查。Detective 的预构建数据聚合、摘要和上下文有助于分析和确定潜在安全问题的性质和范围。
有关将 GuardDuty 与 Detective 结合使用的更多信息,请参阅将 GuardDuty 与 Amazon Detective 集成。要了解有关 Detective 的更多信息,请参阅 Amazon Detective 用户指南。
-
Amazon EventBridge:借助该服务可以准实时地接收通知和响应 GuardDuty 安全调查发现。GuardDuty 会在调查发现发生变化时创建一个事件。您可以选择从 EventBridge 接收通知的频率。有关更多信息,请参阅《Amazon EventBridge 用户指南》中的 What is Amazon EventBridge。
-
PCI DSS 合规性
GuardDuty 支持由商家或服务提供商处理、存储和传输信用卡数据,而且已经验证符合支付卡行业(PCI)数据安全标准(DSS)。有关 PCI DSS 的更多信息,包括如何请求 AWS PCI Compliance Package 的副本,请参阅 PCI DSS 第 1 级
有关更多信息,请参阅《AWS 安全博客》中的 New third-party test compares Amazon GuardDuty to network intrusion detection systems
