Amazon GuardDuty のアイコン

Amazon GuardDuty 热门2017年〜

利用机器学习的威胁检测服务

阅读约需 1 分钟

它能做什么

Amazon GuardDuty 是持续监控和检测 AWS 账户和工作负载威胁的托管服务。通过机器学习和威胁情报分析 CloudTrail 日志、VPC Flow Logs、DNS 日志等,自动检测未授权访问、恶意软件、加密货币挖矿等威胁。

使用场景

适用于检测 AWS 账户的未授权访问、EC2 实例恶意软件感染检测、S3 存储桶异常访问模式检测、IAM 凭证泄露检测等场景。

日常类比

可以将其比作大楼的监控摄像头和 AI 监控系统。24 小时通过摄像头 (日志) 监控,AI (机器学习) 自动检测可疑行为并通报保安 (管理员)。

什么是 GuardDuty

Amazon GuardDuty 是一键启用的威胁检测服务。无需安装代理或配置日志,启用后即开始监控 AWS 环境。检测到的威胁以「发现结果 (Finding)」形式报告,附带严重程度 (低/中/高) 标记。

可检测的威胁

GuardDuty 检测 3 类威胁。侦察 (端口扫描、异常 API 调用)、实例入侵 (恶意软件通信、加密货币挖矿、C&C 服务器连接)、账户入侵 (来自异常区域的 API 调用、IAM 凭证滥用)。还可额外启用 EKS、S3、RDSLambda 的保护功能。 如需把握可检测威胁的全貌,可参阅 参考书籍 (Amazon)

入门指南

在 GuardDuty 控制台点击「启用 GuardDuty」即可开始。提供 30 天免费试用。发现结果可与 EventBridge 联动通过 Lambda 自动响应,或汇总到 Security Hub 集中管理。与 Organizations 集成可在所有账户批量启用。

注意事项

  • GuardDuty only detects threats - it does not automatically block or remediate. Automate responses with EventBridge + Lambda integration
  • Pricing is based on the volume of logs analyzed, so estimate costs in advance for large environments. The 30-day free trial lets you see actual costs
共有するXB!

相关服务

AWS Security Hub 图标AWS Security Hub集中管理 AWS 安全状态和合规性的服务Amazon Detective 图标Amazon Detective自动分析安全检测结果并调查根本原因的服务AWS Organizations 图标AWS Organizations集中管理多个 AWS 账户的服务Amazon EventBridge 图标Amazon EventBridge路由来自 AWS 服务和 SaaS 应用事件的无服务器事件总线

相关文章

通过 AWS CloudTrail 实现 API 审计日志 - 跟踪设计与安全分析记录所有 API 活动,通过 CloudTrail Lake 的 SQL 查询执行高级分析。介绍 Insights 自动检测异常模式以及与 EventBridge 联动的实时检测。数据隐私保护 - 通过 Amazon Macie 和 GuardDuty 实现敏感数据自动发现与威胁防御解说结合 Amazon Macie 的 S3 敏感数据自动发现与 Amazon GuardDuty 的威胁情报实现数据隐私保护的实践方法。介绍从个人信息识别到实时威胁检测的全面安全对策。通过 Amazon Detective 调查安全事件 - 基于图分析的根本原因定位解说通过 Detective 调查 GuardDuty 发现结果、实体画像和行为图的活用。Amazon GuardDuty 实现威胁检测 - 基于 ML 的异常检测与事件响应解析 GuardDuty 的威胁检测机制、检测结果分类,以及通过 Security Hub 集成实现事件响应的方法。用 AWS Security Hub 集中管理安全态势 - 检测结果的汇聚与自动响应将 GuardDuty/Inspector/Macie 的检测结果以 ASFF 格式汇聚,通过安全标准自动评估量化分数。还介绍 EventBridge 联动的自动修复。

本分类的更多服务

IAM Access Analyzer 图标IAM Access Analyzer 专业检测可从外部访问的资源和未使用的访问权限的服务AWS Certificate Manager 图标AWS Certificate Manager 基础自动化 SSL/TLS 证书的配置、管理和部署的服务AWS Artifact 图标AWS Artifact 专业按需获取 AWS 合规报告和协议的服务AWS Audit Manager 专业自动化合规审计的证据收集和评估的服务AWS CloudHSM 图标AWS CloudHSM 专业使用专用硬件安全模块管理加密密钥的服务Amazon Cognito 图标Amazon Cognito 热门为 Web 和移动应用程序提供认证、授权和用户管理的服务Amazon Detective 图标Amazon Detective 专业自动分析安全检测结果并调查根本原因的服务AWS Directory Service 图标AWS Directory Service 专业在 AWS 上提供托管 Active Directory 的服务

相似的文章与服务

Amazon GuardDuty利用机器学习和威胁情报持续监控和检测 AWS 账户及工作负载威胁的托管威胁检测服务Amazon GuardDuty 实现威胁检测 - 基于 ML 的异常检测与事件响应解析 GuardDuty 的威胁检测机制、检测结果分类,以及通过 Security Hub 集成实现事件响应的方法。漏洞评估与威胁检测 - 使用 Amazon Inspector 和 GuardDuty 实现持续安全监控解析利用 Amazon Inspector 和 Amazon GuardDuty 进行漏洞评估和威胁检测的设计与运维方法。数据隐私保护 - 通过 Amazon Macie 和 GuardDuty 实现敏感数据自动发现与威胁防御解说结合 Amazon Macie 的 S3 敏感数据自动发现与 Amazon GuardDuty 的威胁情报实现数据隐私保护的实践方法。介绍从个人信息识别到实时威胁检测的全面安全对策。安全态势管理 - 用 AWS Security Hub 实现统一安全监控基础设施解析 AWS Security Hub 的统一安全监控与 GuardDuty 联动的威胁检测自动化。介绍安全最佳实践合规状况的可视化和多账户环境的安全治理。