Amazon GuardDuty
利用机器学习和威胁情报持续监控和检测 AWS 账户及工作负载威胁的托管威胁检测服务
概述
Amazon GuardDuty 是一项智能威胁检测服务,持续监控和检测针对 AWS 账户、工作负载和数据的恶意活动或异常行为。自动分析 VPC Flow Logs、CloudTrail 事件日志、DNS 日志、S3 数据事件、EKS 审计日志、Lambda 网络活动日志等数据源,使用机器学习、异常检测和集成威胁情报识别威胁。可检测非法 API 调用、加密货币挖矿、C&C 服务器通信、暴力破解攻击、S3 存储桶可疑访问等广泛威胁模式。检测结果按严重程度 (High、Medium、Low) 分类,可与 EventBridge 联动触发自动修复操作。一键启用即可完成,无需更改现有基础设施。
数据源与检测类型的覆盖范围
GuardDuty 分析多种数据源以检测不同类型的威胁。CloudTrail 管理事件检测异常 API 调用模式 (从未使用过的区域调用、异常时间的活动、权限提升尝试)。VPC Flow Logs 检测网络层威胁 (端口扫描、已知恶意 IP 的通信、异常大量数据传输)。DNS 日志检测恶意域名查询 (C&C 通信、加密货币挖矿池连接)。S3 保护检测存储桶级别威胁 (异常访问模式、公开暴露、数据泄露迹象)。EKS 审计日志保护检测 Kubernetes 集群威胁 (特权容器创建、异常 API 服务器访问)。各数据源的启用可独立控制,按分析的数据量计费。
检测结果的优先级排序与自动响应
GuardDuty 的检测结果按严重程度 0.0-10.0 评分并分为 High (7.0-10.0)、Medium (4.0-6.9)、Low (0.1-3.9) 三级。High 级别的发现需要立即调查和响应,如 EC2 实例与已知 C&C 服务器通信、IAM 凭证从异常位置使用等。通过 EventBridge 规则可根据严重程度自动触发响应操作。典型模式包括:High 发现时自动隔离 EC2 实例 (修改安全组阻断所有通信)、自动禁用被盗用的 IAM 凭证、向安全团队发送 SNS 通知。Security Hub 集成可将 GuardDuty 发现与其他安全服务的发现统一管理,实现跨服务的安全态势可视化。
多账户部署与成本优化
Organizations 环境中,可从委托管理员账户统一管理所有成员账户的 GuardDuty。新账户加入组织时自动启用 GuardDuty,确保安全监控无盲区。费用基于分析的数据量,CloudTrail 事件和 VPC Flow Logs 的分析量越大费用越高。成本优化的关键是理解 30 天免费试用期间的使用量估算。试用期间可在控制台确认各数据源的预估月费,据此判断哪些保护功能的费效比最高。对于大量 VPC Flow Logs 的环境,可考虑仅在关键 VPC 启用。但 GuardDuty 的检测能力与分析数据量直接相关,过度削减会产生检测盲区,需在安全性和成本间取得平衡。