本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
監控 GuardDuty 用量和估算成本
GuardDuty 提供用量指標,可追蹤保護計畫資料來源日誌/事件的處理,以及 GuardDuty 執行期監控的 VCPUs 隨時間的變化。
在此頁面上:
Amazon CloudWatch 用量指標
GuardDuty 會將用量指標發佈至 Amazon Amazon CloudWatch,讓您能夠:
追蹤一段時間內的實際用量
建立自訂儀表板和警示
在成本計算器中匯出 AWS 成本估算的用量資料
GuardDuty 用量指標會根據您的帳戶組態發佈:
對於獨立帳戶 (不屬於組織),您可以在 Amazon CloudWatch 中檢視帳戶用量指標
對於屬於組織的帳戶,指標會發佈到委派管理員帳戶 (組織的 GuardDuty 管理員),呈現整個組織的彙總用量
GuardDuty 用量指標會在 24 小時內發佈至 Amazon CloudWatch。
指標詳細資訊
GuardDuty 會將下列用量指標發佈Hourly至 AWS/GuardDuty 命名空間下的 Amazon CloudWatch:
| 保護計畫 | 資料來源 | 指標名稱 | 單位 | Description |
| 基礎威脅偵測 | CloudTrailEvents | AnalyzedCount | 計數 | 分析的 CloudTrail 管理事件數目 |
| 基礎威脅偵測 | VPCFlowLogDNSLogEvents | AnalyzedBytes | 位元組 | 分析的 VPC 流程日誌和 DNS 日誌數量 |
| S3 保護 | S3DataEvents | AnalyzedCount | 計數 | 分析的 S3 資料事件數目 |
| Amazon EKS 保護 | KubernetesAuditLogs | AnalyzedCount | 計數 | 分析的 Amazon EKS 稽核日誌事件數目 |
| Lambda 保護 | LambdaNetworkLogs | AnalyzedBytes | 位元組 | 分析的 Lambda 網路日誌量 |
| 執行時期監控 | RuntimeMonitoringEC2 | MonitoredVcpuHours | 計數 (vCPU-Hours) | 執行期監控監控的 EC2 vCPU 時數 |
| 執行時期監控 | RuntimeMonitoringEKS | MonitoredVcpuHours | 計數 (vCPU-Hours) | 執行期監控監控的 Amazon EKS vCPU 時數 |
| 執行時期監控 | RuntimeMonitoringFargate | MonitoredVcpuHours | 計數 (vCPU-Hours) | 執行期監控監控的 Fargate vCPU 時數 |
| EC2 的惡意軟體防護 | OnDemandEBSSnapshot | ScannedBytes | 位元組 | 掃描的隨需 EBS 快照資料量 |
| EC2 的惡意軟體防護 | OnDemandEBSVolume | ScannedBytes | 位元組 | 掃描的隨需 EBS 磁碟區資料磁碟區 |
| EC2 的惡意軟體防護 | MalwareProtectionEBS | ScannedBytes | 位元組 | 惡意軟體防護掃描的 EBS 資料量 |
| Amazon RDS 保護 | RDS | MonitoredAcuHours | 計數 (ACU-Hours) | 監控的 Amazon RDS Aurora 容量單位 |
| Amazon RDS 保護 | RDSLimitless | MonitoredAcuHours | 計數 (ACU-Hours) | 監控的 Amazon RDS Aurora 無限 ACU 時數 |
| Amazon RDS 保護 | AuroraScaleout | MonitoredAcuHours | 計數 (ACU-Hours) | Aurora 橫向擴展 ACU 監控時數 |
| Amazon RDS 保護 | RDS | MonitoredVcpuHours | 計數 (vCPU-Hours) | 監控的 Amazon RDS vCPU 時數 |
指標維度
獨立 GuardDuty 帳戶:指標包含
AccountId, DataSource維度組織層級 (委派管理員):指標包含
DataSource維度
S3 的惡意軟體防護
GuardDuty Malware Protection for S3保護計畫會將下列用量指標發佈至 AWS/GuardDuty/MalwareProtection 命名空間下的 Amazon CloudWatch:
| 指標名稱 | 單位 | Description |
| CompletedScanCount | 計數 | 在指定時間範圍內完成的 S3 物件惡意軟體掃描數量。 |
| FailedScanCount | 計數 | 在指定時間範圍內失敗的 S3 物件惡意軟體掃描次數。 |
| SkippedScanCount | 計數 | 在指定時間範圍內略過的 S3 物件惡意軟體掃描次數。 |
| InfectedScanCount | 計數 | 在指定時間範圍內偵測到潛在惡意物件的 S3 物件惡意軟體掃描次數。 |
| CompletedScanBytes | 計數 | 在指定時間範圍內掃描的 S3 物件位元組數。 |
指標維度
所有指標都包含
Malware Protection Plan Id, Resource Name維度SkippedScanCount 指標包含
Skipped Reason作為額外的維度
了解 GuardDuty 用量
GuardDuty 事件處理
啟用時,GuardDuty 會自動直接從所選日誌來源取用事件和日誌 AWS 區域。GuardDuty 會從個別的獨立資料來源擷取事件,以提供完整的安全值。
重要
您的個別服務日誌組態或篩選規則 (適用於 VPC 流程日誌、DNS 日誌、CloudTrail 事件、S3 資料事件、Kubernetes 稽核日誌和 Lambda 網路日誌) 不會影響 GuardDuty 處理的日誌/事件。
GuardDuty VPC 流程日誌處理由 GuardDuty 執行期監控監控之執行個體的費用
對於 GuardDuty 執行期監控 (透過 EC2 執行期代理程式或 Amazon EKS 執行期代理程式) 監控的執行個體,只要代理程式主動傳送執行期事件資料,GuardDuty 就不會收取 VPC 流量日誌處理費用。如果代理程式停止傳輸事件資料,GuardDuty 會還原為透過 VPC 流程日誌收費。
啟用執行期監控可降低 GuardDuty Amazon CloudWatch 用量指標中的 VPC 流量日誌用量。停用執行期監控會還原 VPC 流量日誌用量。
估算 GuardDuty 成本
GuardDuty 為大多數保護計劃提供每個 AWS 帳戶 30 天的免費試用。在此期間,您可以:
透過 GuardDuty 用量指標監控您的實際用量
根據觀察到的用量模式,使用 AWS 定價計算器估計每月成本
下列保護計畫包含 30 天的免費試用:
基礎 GuardDuty
GuardDuty S3 保護
GuardDuty Amazon EKS 保護
GuardDuty 執行期監控
GuardDuty Amazon RDS 保護
GuardDuty Lambda 保護
EC2 的 GuardDuty 惡意軟體防護 (僅適用於使用 Foundational GuardDuty 啟用時 GuardDuty 起始的掃描)
Security Hub 客戶
Security Hub 透過其附加的威脅分析計劃為 GuardDuty Threat Detection 提供簡化的定價模式,整合多個 GuardDuty DataSources 的計量。使用 Security Hub Threat Analytics 計劃 (Security Hub 搭配 GuardDuty) 時:
已合併多個 GuardDuty DataSources
值得注意的是,為了簡單起見,Amazon EKS 稽核日誌事件和 S3 資料事件會使用固定轉換率轉換為 GB
若要建立 Security Hub 成本估算,請參閱 AWS Security Hub 文件。
注意:GuardDuty 的 30 天免費試用狀態與 Security Hub 整合無關。啟用或停用 Security Hub:
如果您已使用 GuardDuty 的試用期,則不會授予新的免費試用
不會中斷或重新啟動持續的免費試用
不會延長現有的試用期間
