Amazon GuardDuty 常见问题

服务概述

GuardDuty 是一项智能威胁检测服务,可持续监控您的 AWS 账户、工作负载、运行时活动和数据,以发现恶意活动。如果检测到潜在恶意活动,例如异常行为、凭证泄漏或命令和控制基础设施 (C2) 通信,GuardDuty 将会生成详细的安全检测结果,可用于获得安全可见性并协助进行修复。

借助 GuardDuty,您可以更轻松地持续监控 AWS 账户、工作负载和运行时活动。GuardDuty 被设计为完全独立于您的资源运行,并且不会对您的工作负载产生性能或可用性影响。该服务完全托管,集成了威胁情报、机器学习 (ML) 异常检测和恶意软件扫描。GuardDuty 提供的警报内容详细,可行动性强,适合与现有的事件管理和工作流程系统集成。您无需预付任何费用,只需为分析的事件付费,不需要部署额外的软件,也不需要订阅威胁情报源。

GuardDuty 是一项按使用量付费的服务,您只需为所产生的使用量付费。GuardDuty 价格基于分析的服务日志量、虚拟 CPU (vCPU) 数量或用于 Amazon RDS 事件分析的 Aurora Serverless v2 实例的 Aurora 容量单位 (ACU)、在运行时系统监控的 Amazon Elastic Kubernetes Service (Amazon EKS) 或 Amazon Elastic Container Service (Amazon ECS) 工作负载的数量和大小,以及扫描恶意软件的数据卷。

分析的服务日志经过筛选以优化成本,并直接与 GuardDuty 集成,这意味着您无需单独启用这些日志或支付这些日志的费用。 如果您的账户启用了 EKS 运行时系统监控,则无需为分析部署并激活 GuardDuty 代理的实例中的 VPC 流日志付费。运行时安全代理为我们提供了类似(且更符合上下文)的网络遥测数据。因此,为了避免向客户重复收费,我们不会对安装了代理的 Amazon Elastic Compute Cloud (Amazon EC2) 实例的 VPC 流日志收费。

有关其他详细信息和定价示例,请参阅 Amazon GuardDuty 定价

估计成本代表单个付款人账户的成本,您将会在 GuardDuty 管理员账户中看到每个成员账户的计费使用量和平均每日成本。如果您要查看详细使用信息,则必须转到单个账户。

可以,GuardDuty 新账户均可以免费试用此服务 30 天。免费试用期间,您可以使用所有的功能和检测服务。在免费试用期间,您可以在 GuardDuty 控制台使用情况页面查看试用结束后的成本估计。如果是 GuardDuty 管理员,您将可查看自己的成员账户的估计成本。在 30 天以后,您可以前往 AWS Billing Console 查看此功能的实际成本。

尚未启用 GuardDuty 功能的新老 GuardDuty 账户持有者均可在 AWS Free Tier 中免费试用 30 天(对于恶意软件防护功能,免费试用仅适用于 GuardDuty 发起的针对 Amazon EBS 数据卷的恶意软件扫描)。适用于 Amazon S3 的恶意软件防护不提供免费试用。在免费试用期及之后,您可以随时在按数据来源细分的 GuardDuty 控制台使用页面上监控您的预计每月支出。

GuardDuty 可对您的 AWS 账户、工作负载和数据进行广泛的安全监测,以帮助识别威胁,例如攻击者侦察;实例、账户、桶或 Amazon EKS 集群盗用;以及恶意软件。 Macie 是一种完全托管的敏感数据发现服务,使用机器学习和模式匹配来发现 Amazon Simple Storage Service(Amazon S3)中的敏感数据。

GuardDuty 是一种区域性服务。即使启用多个账户并使用多个 AWS 区域,GuardDuty 的安全调查发现仍会保留在生成底层数据的区域。这样可以确保分析的所有数据以区域为基础,且不会跨越 AWS 区域边界。但是,您可以选择使用 Amazon EventBridge 或将检测结果推送到自己的数据存储(例如 Amazon S3)中,然后在您认为合适时将这些检测结果进行聚合,从而聚合 GuardDuty 在各个区域生成的安全检测结果。您还可以将 GuardDuty 检测结果发送到 AWS Security Hub 并使用其跨区域聚合功能。

AWS 区域服务列表中列出了 GuardDuty 区域可用性。 有关提供 GuardDuty 功能的区域的完整列表,请访问特定于区域的功能可用性

很多技术合作伙伴已集成 GuardDuty 并将其用作构建基础。还有很多拥有关于 GuardDuty 的专业知识的咨询机构、系统集成商和托管安全服务提供商。有关详细信息,请参阅 Amazon GuardDuty 合作伙伴页面。

Foregenix 发布的白皮书详细评估了 GuardDuty 帮助满足合规性要求的有效性,例如 PCI DSS 要求 11.4,它要求在网络中的关键点使用入侵检测技术。

启用 GuardDuty

只需在 AWS 管理控制台中执行几个步骤,即可设置和部署 GuardDuty。启用后,GuardDuty 会立即以近乎实时的方式开始大规模分析持续的账户和网络活动流。无需部署或管理额外的安全软件、传感器或网络设备。该服务预先集成了将会持续更新和维护的威胁情报。

可以,GuardDuty 拥有多账户管理功能,允许您从单个管理员账户关联并管理多个 AWS 账户。使用该功能后,系统会将所有安全检测结果聚合到管理员账户,供用户查看并采取修复措施。使用此配置时,EventBridge 事件也会聚合到 GuardDuty 管理员账户中。此外,GuardDuty 还与 AWS Organizations 集成,允许您为贵组织委派 GuardDuty 管理员账户。委派管理员(DA)账户是一个集中账户,合并所有结果并能配置所有成员账户。

GuardDuty 分析的基础数据来源包括:AWS CloudTrail 管理事件日志、CloudTrail 管理事件以及 Amazon EC2 VPC 流日志和 DNS 查询日志。GuardDuty 保护计划可监控其他资源类型,包括 CloudTrail S3 数据事件(S3 保护)、Amazon EKS 审计日志和 Amazon EKS 运行时活动(EKS 保护)、Amazon ECS 运行时活动(ECS 运行时监控)、Amazon EC2 运行时活动(EC2 运行时监控)、Amazon EBS 卷数据(恶意软件保护)、Amazon Aurora 登录事件(RDS 保护)和网络活动日志(Lambda 保护)。该服务经过优化,可以使用大量数据近乎实时地执行安全检测。GuardDuty 使您可以访问专门针对云服务开发和优化的内置检测技术,该数据由 GuardDuty 工程团队维护和不断改进。

启用之后,GuardDuty 就开始分析是否存在恶意活动或未经授权的活动。收到检测结果的时间取决于您账户中的活动级别。GuardDuty 不分析历史数据,只分析在其启用后开始的活动。如果 GuardDuty 识别出潜在威胁,您将在 GuardDuty 控制台中收到检测结果。

不,GuardDuty 直接从 CloudTrail、VPC 流日志、DNS 查询日志和 Amazon EKS 中提取独立的数据流。您不需要管理 Amazon S3 存储桶策略,也不需要修改收集和存储日志的方式。GuardDuty 权限作为与服务关联的角色管理。您可以随时禁用 GuardDuty,那样将会删除所有 GuardDuty 权限。这使得您可以更轻松地启用该服务,因为避免了复杂的配置。与服务关联的角色也消除了 AWS Identity and Access Management (IAM) 权限错误配置或 Amazon S3 存储桶策略变更影响服务运行的几率。最后,与服务关联的角色使 GuardDuty 能够近乎实时地高效使用大量数据,并且几乎甚至完全不影响您的账户或工作负载的性能和可用性。

当您首次启用 GuardDuty 时,它完全独立于您的 AWS 资源运行。如果将 GuardDuty 运行时监控配置为自动部署 GuardDuty 安全代理,可能会导致资源使用率增加,还会在用于运行受监控工作负载的 VPC 中创建 VPC 端点。

不,GuardDuty 不会管理或保留您的日志。GuardDuty 使用的所有数据都会被近乎实时地分析,然后丢弃。这让 GuardDuty 不仅经济、高效,还能降低数据残留的风险。如需传输和保存日志,您应该直接使用 AWS 的日志记录和监控服务,这些服务可以提供功能全面的传输和保存选项。

您可以随时在常规设置中选择暂停该服务,以阻止 GuardDuty 分析您的数据来源。这样会让该服务立即停止分析数据,但不会删除您的现有检测结果或配置。您也可以在常规设置中选择禁用该服务。这样会删除包括现有检测结果和配置在内的所有剩余数据,然后撤销该服务的权限并重置该服务。您还可以通过管理控制台或通过 AWS CLI 选择性地禁用一些功能,例如 GuardDuty S3 Protection 或 GuardDuty EKS Protection。

激活 GuardDuty

GuardDuty 让您可以访问专门针对云服务开发和优化的内置检测技术。其检测算法由 GuardDuty 工程师进行维护和不断改进。主要检测类别包括以下各项:

  • 侦察:表明攻击者在进行侦察的活动,例如 API 活动异常、VPC 内部端口扫描、登录请求失败模式异常或未被阻止的来自已知不良 IP 地址的端口探测。
  • 实例盗用:表明存在实例盗用的活动,例如加密货币挖矿、恶意使用域名生成算法 (DGA)、出站拒绝服务活动、网络流量异常高、网络协议异常、与已知恶意 IP 进行出站实例通信、外部 IP 地址使用 Amazon EC2 临时凭证以及使用 DNS 造成数据外泄。
  • 账户盗用:表明存在账户盗用的常见形式包括:来自异常位置或匿名代理的 API 调用、试图停用 CloudTrail 日志记录功能、实例或基础设施异常启动、在异常区域部署基础设施、凭证泄漏、可疑的数据库登录活动以及来自已知恶意 IP 地址的 API 调用。
  • 存储桶入侵:指示存储桶入侵的活动,例如指示凭证滥用的可疑数据访问模式、来自远程主机的异常 Amazon S3 API 活动、来自已知恶意 IP 地址的未授权 Amazon S3 访问,以及用户为在 Amazon S3 存储桶中检索数据而进行的 API 调用,该用户之前没有访问存储桶的历史记录或者从异常位置进行了调用。GuardDuty 持续监控和分析 CloudTrail S3 数据事件(例如 GetObject、ListObjects 和 DeleteObject),以检测您所有 Amazon S3 存储桶中的可疑活动。
  • 恶意软件:GuardDuty 可以检测是否存在可能会被用于危害您的 Amazon EC2 实例或容器工作负载,或者上传到您的 Amazon S3 存储桶的恶意软件(例如木马、蠕虫、加密矿工、rootkit 或机器人)。
  • 容器盗用:通过分析其 Amazon EKS 审计日志和 Amazon EKS 或 Amazon ECS 中的容器运行时活动,对 Amazon EKS 集群进行持续监控和分析,从而检测出容器工作负载中可能存在的恶意或可疑行为。 

以下是 GuardDuty 调查发现类型的完整列表

GuardDuty 威胁情报由确定攻击者会使用的 IP 地址和域组成。GuardDuty 威胁情报由 AWS 以及 Proofpoint 和 CrowdStrike 等第三方提供商提供。这些威胁情报馈送数据已预先集成到 GuardDuty 中,并会免费持续更新。

可以,GuardDuty 允许您上传自己的威胁情报或可信 IP 地址列表。使用该功能时,您上传的安全列表仅适用于您的账户,不与其他客户共享。

如果检测到潜在威胁,GuardDuty 会向 GuardDuty 控制台和 EventBridge 发送详细的安全检测结果。这使警报更有可操作性,并能与现有的事件管理或工作流程系统更轻松地集成。检测结果包括类别、受影响的资源以及与该资源相关的元数据,例如严重程度。

GuardDuty 检测结果采用常见的 JSON 格式,Macie 和 Amazon Inspector 采用的也是这种格式。客户和合作伙伴可以更轻松地利用这三项服务的安全检测结果,并将其纳入更广泛的事件管理、工作流程或安全解决方案中。

安全检测结果在 GuardDuty 控制台和 API 中的保留时间是 90 天。90 天后,系统会丢弃检测结果。要在 90 天后继续保留检测结果,您可以启用 EventBridge 将检测结果自动推送到您账户的 Amazon S3 存储桶或其他数据存储中进行长期保留。

可以,您可以选择使用 EventBridge 或将检测结果推送到自己的数据存储(例如 Amazon S3)中,然后在您认为合适时将这些检测结果进行聚合,从而聚合 GuardDuty 在各个区域生成的安全检测结果。您还可以将 GuardDuty 检测结果发送到 Security Hub 并使用其跨区域聚合功能。

借助 GuardDuty、EventBridge 和 AWS Lambda,您可以根据安全检测结果灵活设置自动修复措施。例如,您可以创建一个 Lambda 函数,使其根据安全检测结果来修改 AWS 安全组规则。如果 GuardDuty 检测结果表明已知的恶意 IP 正在探测您的 Amazon EC2 实例之一,您可以利用 EventBridge 规则来发起一个 Lambda 函数,以便自动修改您的安全组规则并限制对相应端口的访问,从而解决这个问题。

有专门的团队负责 GuardDuty 检测功能的工程、管理和迭代。这样可以保证新检测功能的定期更新以及现有检测功能的持续迭代。该服务内置了一些反馈机制,例如 GuardDuty 用户界面(UI)中每条安全检测结果都附带表示认可或否定的选项。这让您能够提供反馈,以便纳入以后的 GuardDuty 检测功能中。

不能,GuardDuty 让您摆脱了开发和维护自己的自定义规则带来的沉重负担和复杂性。我们会根据客户的反馈以及 AWS 安全工程师和 GuardDuty 工程团队的研究结果,持续增加新的检测功能。但是,客户配置的自定义选项包括添加您自己的威胁列表和可信 IP 地址列表

GuardDuty S3 Protection

对于当前 GuardDuty 账户,可以在 S3 Protection 页面的控制台中激活 S3 Protection,也可以通过 API 激活。这将开始 30 天的 GuardDuty S3 Protection 功能免费试用。

是的,您可以免费试用 30 天。每个区域中的每个账户均可获得 GuardDuty 的 30 天免费试用,包括 S3 Protection 功能。已启用 GuardDuty 的账户在首次激活 S3 Protection 功能时,也将获得 30 天的免费试用期。

符合。默认情况下,通过控制台或 API 启用 GuardDuty 的任何新账户也将启用 S3 Protection。使用 AWS Organizations 自动启用功能创建的新 GuardDuty 账户不会打开 S3 Protection,除非打开了“S3 自动启用”选项。

不能,必须启用 GuardDuty 服务才能使用 S3 Protection。当前的 GuardDuty 账户有用于启用 S3 Protection 的选项,新 GuardDuty 账户在启用 GuardDuty 服务后即默认拥有该功能。

是的,默认情况下,S3 Protection 会监控环境中的所有 Amazon S3 存储桶。

不,GuardDuty 可以直接访问 CloudTrail S3 数据事件日志。您不需要在 CloudTrail 中启用 S3 数据事件日志记录,因此将不会产生相关的成本。请注意,GuardDuty 不会存储日志,仅会将其用于分析。

GuardDuty EKS Protection

GuardDuty EKS Protection 是一种 GuardDuty 功能,通过分析 Amazon EKS 审计日志监控 Amazon EKS 集群控制面板活动。GuardDuty 与 Amazon EKS 集成,可直接访问 Amazon EKS 审计日志,而无需您打开或存储这些日志。这些审计日志是与安全相关的时间顺序记录,它们记录在 Amazon EKS 控制面板上执行的操作顺序。此类 Amazon EKS 审计日志为 GuardDuty 提供所需的可见性,以持续监控 Amazon EKS API 活动并应用经过验证的威胁情报和异常检测来识别可能使您的 Amazon EKS 集群遭未经授权访问的恶意活动或配置更改。当发现威胁时,GuardDuty 会生成安全结果,其中包括威胁类型、严重程度和容器级详细信息(例如,容器组 ID、容器映像 ID 和相关标签)。

GuardDuty EKS Protection 可以检测与 Amazon EKS 审计日志中捕获的用户和应用程序相关的威胁。Amazon EKS 威胁检测包括由已知恶意攻击者访问或者来自 Tor 节点、由可能指示错误配置的匿名用户执行的 API 操作以及可能导致未授权访问 Amazon EKS 集群的错误配置的 Amazon EKS 集群。此外,通过使用 ML 模型,GuardDuty 可以识别与特权提升技术一致的模式,例如通过对基础 Amazon EC2 主机的根级访问恶意启动容器。有关所有新检测功能的完整列表,请参阅 Amazon GuardDuty 调查发现类型

不需要。GuardDuty 可直接访问 EKS 审计日志。请注意,GuardDuty 只会将这些日志用于分析;它不会存储,而且您也不需要启用或为这些 Amazon EKS 审计日志付费即可与 GuardDuty 进行共享。为优化成本,GuardDuty 会应用智能筛选条件,只使用与安全威胁检测有关的审计日志子集。

是的,您可以免费试用 30 天。每个区域中的每个新 GuardDuty 账户可免费试用 GuardDuty 30 天,其中包括 GuardDuty EKS Protection 功能。现有的 GuardDuty 账户则可以试用 GuardDuty EKS Protection 30 天,而不会产生额外费用。在免费试用期间,您可以在 GuardDuty 控制台使用情况页面查看试用结束后的成本估计。如果是 GuardDuty 管理员,您将可查看自己的成员账户的估计成本。在 30 天以后,您可以前往 AWS Billing Console 查看此功能的实际成本。

必须为每个账户分别开启 GuardDuty EKS Protection。您可以从 GuardDuty EKS Protection 控制台页面的 GuardDuty 控制台中通过单个操作为账户激活该功能。如果您在 GuardDuty 多账户配置中进行操作,则可以从 GuardDuty 管理员账户 GuardDuty EKS Protection 页面为整个组织激活 GuardDuty EKS Protection。此操作将在所有独立成员账户中激活 Amazon EKS 持续监控。对于使用 AWS Organizations 自动激活功能创建的 GuardDuty 账户,您必须明确开启“Amazon EKS 自动激活”。一旦为某个账户激活该功能,该账户中的全部现有及未来 Amazon EKS 集群都将接受威胁监控,而无需在您的 Amazon EKS 集群上执行任何配置。

是的,默认情况下,通过控制台或 API 开启 GuardDuty 的任何新账户也将开启 GuardDuty EKS Protection。 对于使用 AWS Organizations 自动启用功能创建的新 GuardDuty 账户,您需要明确地为 EKS Protection 选项启用“自动启用”。 

您可以在控制台中或使用 API 禁用此功能。在 GuardDuty 控制台中,您可以在 GuardDuty EKS Protection 控制台页面上为您的账户禁用 GuardDuty EKS Protection。如果您有 GuardDuty 管理员账户,还可以为您的成员账户禁用此功能。

如果您以前禁用了 GuardDuty EKS Protection,则可以在控制台中或使用 API 重新启用此功能。在 GuardDuty 控制台中,您可以在 GuardDuty EKS Protection 页面上为您的账户启用 GuardDuty EKS Protection。

必须为每个账户分别启用 GuardDuty EKS Protection。如果在 GuardDuty 多账户配置中进行操作,您可以为整个组织启用 Amazon EKS 威胁检测,只需在 GuardDuty 管理员账户 GuardDuty EKS Protection 控制台页面上单击一次即可完成。此操作将在所有独立成员账户中启用 Amazon EKS 威胁检测。一旦为某个账户启用该功能,该账户中的全部现有及未来 Amazon EKS 集群都将接受威胁监控,而无需在您的 Amazon EKS 集群上执行手动配置。

如果您不使用 Amazon EKS,并且已启用 GuardDuty EKS Protection,则不需要承担任何 GuardDuty EKS Protection 费用。但是,当您开始使用 Amazon EKS 时,GuardDuty 将自动监控您的集群并针对发现的问题生成检测结果,您将需要承担此监控的费用。

不能,必须启用 GuardDuty 服务才可使用 GuardDuty EKS Protection。

是,GuardDuty EKS Protection 会监控来自部署在 Amazon EC2 实例上的 Amazon EKS 集群和部署在 Fargate 上的 Amazon EKS 集群的 Amazon EKS 审计日志。

此功能目前仅支持在 Amazon EC2 实例上运行的 Amazon EKS 部署,而且这些 Amazon EC2 实例必须位于您的账户中或 Fargate 上。

不会。按照设计,GuardDuty EKS Protection 不会对 Amazon EKS 工作负载部署造成任何性能、可用性或成本影响。

是,GuardDuty 是一项区域性服务,因此 GuardDuty EKS Protection 必须在每个 AWS 区域中分别启用。

GuardDuty 运行时监控

GuardDuty 运行时监控使用轻量级、完全托管的安全代理,可以更深入地观察所覆盖的资源在容器组(pod)级别或实例级别的运行时活动(如文件访问、进程执行和网络连接)。安全代理将自动部署为进程守护程序集,它会收集运行时事件,并将它们发送到 GuardDuty 进行安全分析处理。这使 GuardDuty 能够识别 AWS 环境中可能遭到入侵的特定实例或容器,并检测将权限升级到更广泛 AWS 环境的企图。当 GuardDuty 检测到潜在威胁时,会生成包含元数据上下文的安全调查发现,其中包括实例、容器、容器组(pod)和进程的详细信息。 

运行时监控适用于在 Amazon EC2 上运行的 Amazon EKS 资源、在 Amazon EC2 或 AWS Fargate 上运行的 Amazon ECS 集群,以及 Amazon EC2 实例。 

对于当前 GuardDuty 账户,可以通过 GuardDuty 控制台,在“运行时监控”页面上激活该功能,也可以通过 API 激活该功能。了解有关 GuardDuty 运行时监控的更多信息。

不。GuardDuty 运行时监控是唯一一个在首次开启 GuardDuty 时未默认启用的保护计划。您可以通过 GuardDuty 控制台,在“运行时监控”页面上激活该功能,也可以通过 API 激活该功能。除非开启了“自动启用运行时监控”选项,使用 AWS Organizations 自动启用功能创建的新 GuardDuty 账户将不会开启运行时监控。

启用 Amazon ECS 运行时监控后,GuardDuty 即可处理任务中的运行时事件。这些任务在 Amazon ECS 集群内运行,而 Amazon ECS 集群在 AWS Fargate 实例上运行。要让 GuardDuty 接收这些运行时事件,必须使用自动代理配置

当您为 Amazon EC2 或 Amazon EKS 启用运行时监控时,您可以选择手动部署 GuardDuty 安全代理,也可以允许 GuardDuty 通过自动代理配置代表您对此做出管理。

有关详细信息,请访问 GuardDuty 用户指南中的关键概念:管理 GuardDuty 安全代理的方法
 

不可以,必须启用 GuardDuty 服务,才能使用 GuardDuty 运行时监控。

有关提供运行时监控的区域的完整列表,请访问特定于区域的功能可用性

您必须为每个独立的账户分别启用 GuardDuty 运行时监控。如果是在 GuardDuty 多账户配置中进行操作,您可以在 GuardDuty 管理员账户的“GuardDuty 运行时监控”控制台页面上,通过一个步骤为整个组织开启此功能。此操作将在所有独立成员账户中为所需的工作负载激活运行时监控。为账户激活该功能后,该账户中所有当前选定和未来选定的工作负载都将受到监控,以检测运行时威胁,并且无需手动配置。

GuardDuty 运行时监控允许您有选择地配置要监控哪些 Amazon EKS 集群Amazon ECS 集群,以进行威胁检测。通过集群级可配置性,您可以有选择地监控特定集群,以进行威胁检测,或者,您也可以继续使用账户级可配置性,分别监控给定账户和区域中的所有 EKS 或 ECS 集群。

与所有安全性、可观测性和其他需要主机上代理的使用案例一样,GuardDuty 安全代理会带来资源利用开销。GuardDuty 安全代理采用轻量级设计,并由 GuardDuty 仔细监控,以尽量减少对所覆盖工作负载的利用率和成本影响。应用程序和安全团队将可以在 Amazon CloudWatch 中监控确切的资源利用率指标。

如果将 GuardDuty 运行时监控配置为自动部署 GuardDuty 安全代理,可能会导致资源使用率增加,还会在用于运行 AWS 工作负载的 VPC 中创建 VPC 端点。 

如果为未运行的工作负载启用了 GuardDuty 运行时监控,将不会产生任何 GuardDuty 运行时监控费用。但是,如果您开始使用 Amazon EKS、Amazon ECS 或 Amazon EC2,并为该工作负载启用了 GuardDuty 运行时监控,当 GuardDuty 自动监控您的集群、任务和实例,并针对已发现的问题生成调查发现时,您将为此付费。 

可以在 GuardDuty 控制台“运行时监控”页面为 AWS 账户或组织禁用 GuardDuty 运行时监控。如果安全代理由 GuardDuty 自动部署,那么在禁用该功能时,GuardDuty 也会移除安全代理。

如果您选择了手动部署 GuardDuty 代理(仅适用于 EKS 运行时监控和 EC2 运行时监控),则需要手动将其移除,并且还必须手动移除已创建的任何 VPC 端点。GuardDuty 用户指南详细介绍了手动移除 EKS 运行时监控EC2 运行时监控的步骤。 

GuardDuty 恶意软件防护

Amazon EBS 数据卷:如果您为恶意软件防护启用了此数据来源,GuardDuty 就会在发现可指示 Amazon EC2 实例或容器工作负载中存在恶意软件的可疑行为时,开始恶意软件扫描。它扫描 GuardDuty 根据 Amazon EBS 卷的快照生成的副本 Amazon EBS 卷是否存在木马、蠕虫、加密矿工、rootkit、自动程序和更多威胁。GuardDuty 恶意软件防护生成情景化的检测结果,可帮助验证可疑行为的来源。这些检测结果还可以传送给适当的管理员,并可发起自动修复。

S3 对象扫描:将存储桶配置为恶意软件防护后,GuardDuty 就会自动扫描新上传的文件,并在检测到恶意软件时,生成包含有关恶意软件详细信息的 Amazon EventBridge 通知,以实现与现有安全事件管理或工作流系统的集成。您可以配置通过将对象移动到账户中的隔离存储桶来自动隔离恶意软件,或者使用对象标签来添加扫描结果的处置,从而更好地根据标签识别和分类扫描对象。

可以在 GuardDuty 用户指南中找到将会发起恶意软件扫描的 Amazon EC2 GuardDuty 调查发现检测结果。

恶意软件防护支持通过扫描挂载到 EC2 实例的 EBS 卷来检测恶意文件。支持的文件系统类型可以在《GuardDuty 用户指南》中找到。

适用于 S3 的恶意软件防护可以使用 GuardDuty 的恶意软件扫描引擎扫描属于大多数同步 S3 存储类的文件,例如 S3 Standard、S3 Intelligent-Tiering、S3 Standard-IA、S3 One Zone-IA 和 Amazon S3 Glacier Instant Retrieval。  该引擎将扫描已知用于传播或包含恶意软件的文件格式,包括可执行文件、.pdf 文件、档案、二进制文件、打包文件、脚本、安装程序、电子邮件数据库、纯文本电子邮件、图像和编码对象。

Malware Protection 可扫描木马、蠕虫、加密矿工、rootkit 和自动程序之类的威胁,它们可能会被用于盗用工作负载,将资源重新用于恶意用途,以及获得对数据的未经授权访问。

有关调查发现类型的完整列表,请参阅《GuardDuty 用户指南》

不需要启用服务日志记录 GuardDuty 或 Malware Protection 功能就可以正常工作。Malware Protection 功能是 GuardDuty 的一部分,它是一种 AWS 服务,使用来自集成内部和外部来源的情报。

GuardDuty 恶意软件防护将根据挂载到您的账户中可能受影响的 Amazon EC2 实例或容器工作负载的 Amazon EBS 卷的快照创建一个副本并进行扫描,而不使用安全代理。您通过与服务关联的角色授予 GuardDuty 的权限允许该服务在 GuardDuty 服务账户中从保留在您的账户中的那个快照创建加密卷副本。然后,GuardDuty Malware Protection 将扫描该卷副本是否存在恶意软件。

对于 Amazon S3 中的对象,GuardDuty 将开始读取、解密和扫描上传到您为 GuardDuty 恶意软件防护配置的存储桶的对象。您可以通过定义仅扫描特定前缀的对象来限制要在存储桶扫描的对象的范围。GuardDuty 将扫描与这些定义的前缀匹配的上传对象,并生成安全调查发现和 Amazon EventBridge 通知,其中包含详细的扫描结果:“已感染”、“已清理”、“已跳过”或“已失败”。通知还将包括与扫描的对象数量和字节数相关的扫描指标。您还可以定义 GuardDuty 根据扫描结果对对象执行的扫描后操作,例如自动隔离或对象标记。

是的。每个区域的每个新 Amazon GuardDuty 账户都可以免费试用 GuardDuty(包括恶意软件防护功能)30 天(仅适用于 GuardDuty 发起的 EBS 数据卷扫描;适用于 Amazon S3 的 GuardDuty 恶意软件防护不提供免费试用)。现有 GuardDuty 账户首次在账户中启用 Malware Protection 时,也可试用 30 天而无需额外收费。在免费试用期间,您可以在 GuardDuty 控制台使用情况页面查看试用结束后的成本估计。如果是 GuardDuty 管理员,您将可查看自己的成员账户的估计成本。在 30 天以后,您可以前往 AWS Billing Console 查看此功能的实际成本。

您可以转到 Malware Protection 页面或使用 API 以在 GuardDuty 控制台中启用 Malware Protection。如果在 GuardDuty 多账户配置中进行操作,您可以在 GuardDuty 管理员账户的 Malware Protection 控制台页面中为整个组织启用此功能。这样将在所有独立成员账户中启用恶意软件监控。对于使用 AWS Organizations 自动启用功能创建的 GuardDuty 账户,您需要明确地为 Malware Protection 选项启用“自动启用”。

对于适用于 S3 的恶意软件防护,您可以通过以下两个步骤将恶意软件扫描功能集成到应用程序中。首先,作为应用程序所有者,您需要在要监控的存储桶上设置存储桶保护配置。您可以在 GuardDuty 控制台中以编程方式为现有存储桶设置此项,也可以在创建新存储桶时进行此项设置。GuardDuty 会将每个受保护的 S3 存储桶的扫描指标发送到您的 EventBridge 事件,让您可以设置警报并定义扫描后操作(例如标记对象或将恶意对象复制到隔离存储桶),GuardDuty 将根据扫描结果执行这些操作。如果您的账户启用了 GuardDuty,那么 GuardDuty 中也会生成安全调查发现。

是,利用控制台或 API 启用了 GuardDuty 的任何新账户默认情况下也将启用 GuardDuty 恶意软件防护(用于扫描 EBS 卷)。对于使用 AWS Organizations 自动启用功能创建的新 GuardDuty 账户,您需要明确地为 Malware Protection 选项启用“自动启用”。 

您可以在控制台中或使用 API 禁用此功能。在 GuardDuty 控制台中、Malware Protection 控制台页面上,您将会看到用于为您的账户禁用 Malware Protection 的选项。如果您有 GuardDuty 管理员账户,还可以为您的成员账户禁用 Malware Protection。

如果禁用了 Malware Protection,您可以在控制台中或使用 API 启用此功能。在 GuardDuty 控制台中、Malware Protection 控制台页面上,您可以为您的账户启用 Malware Protection。

不,如果在计费周期内未扫描恶意软件,将不会产生 Malware Protection 收费。您可以在 AWS Billing Console 中查看此功能的成本。

可以,GuardDuty 拥有多账户管理功能,允许您从单个管理员账户关联并管理多个 AWS 账户。GuardDuty 通过 AWS Organizations 集成支持多账户管理。此集成可帮助安全与合规团队确保 GuardDuty 完全覆盖组织中的所有账户,其中包括 Malware Protection 功能。

否。启用此功能后,GuardDuty 恶意软件防护就将发起恶意软件扫描以响应相关 Amazon EC2 调查发现。您没有部署任何代理,没有需要启用的日志来源,也没有需要进行的其他配置更改。

GuardDuty 恶意软件防护按照设计不会影响您的工作负载的性能。例如,为恶意软件分析创建的 Amazon EBS 卷快照在 24 小时的期限内只能生成一次,并且 GuardDuty 恶意软件防护仅将加密副本和快照保留到完成扫描后几分钟。此外,GuardDuty 恶意软件防护使用 GuardDuty 计算资源进行恶意软件扫描,而非使用客户计算资源。

是,GuardDuty 是一项区域性服务,Malware Protection 必须在每个 AWS 区域中分别启用。

GuardDuty 恶意软件防护根据挂载到您的账户中可能受影响的 Amazon EC2 实例或容器工作负载的 Amazon EBS 卷的快照扫描副本。如果 Amazon EBS 卷使用客户管理的密钥进行加密,您可以选择通过 GuardDuty 共享 AWS Key Management Service(KMS)密钥,该服务使用相同的密钥来加密副本 Amazon EBS 卷。对于未加密的 Amazon EBS 卷,GuardDuty 使用其自己的密钥来加密副本 Amazon EBS 卷。

是,所有副本 Amazon EBS 卷数据(以及副本卷所基于的快照)都留在与原始 Amazon EBS 卷相同的区域中。

每个区域中的每个新 GuardDuty 账户都可以免费试用 GuardDuty(包括恶意软件防护功能)30 天(仅适用于由 GuardDuty 启动的 EBS 数据卷扫描;适用于 Amazon S3 的恶意软件防护不提供免费试用)。现有 GuardDuty 账户首次在账户中启用 Malware Protection 时,也可试用 30 天而无需额外收费。在免费试用期间,您可以在 GuardDuty 控制台使用情况页面估计试用结束后的成本估计。如果是 GuardDuty 管理员,您将可查看自己的成员账户的估计成本。在 30 天以后,您可以前往 AWS Billing Console 查看此功能的实际成本。

EBS 卷恶意软件扫描功能的定价基于卷中扫描的数据量(GB)。您可以从控制台使用扫描选项应用自定义,以使用标签来标记一些要包含在扫描中或从扫描中排除的 Amazon EC2 实例,从而控制成本。此外,GuardDuty 每 24 小时将仅扫描 Amazon EC2 实例一次。如果 GuardDuty 在 24 小时内为 Amazon EC2 实例生成了多个 Amazon EC2 检测结果,则将仅对第一个相关 Amazon EC2 检测结果进行扫描。如果继续生成 Amazon EC2 检测结果,例如在最后一次恶意扫描 24 小时之后,则将对该实例发起新的恶意软件扫描。

S3 存储桶存储对象恶意软件扫描功能的定价基于扫描的数据量(GB),以及在为恶意软件扫描配置的指定 S3 存储桶中扫描的文件数。GuardDuty 只会扫描配置的存储桶中新上传的文件,而不会扫描现有文件或未指定用于恶意软件扫描的存储桶中的文件。

能,您可以通过相应的设置启用当 Malware Protection 扫描检测到恶意软件时保留快照的功能。您可以从 GuardDuty 控制台的设置页面上启用此设置。默认情况下,完成扫描几分钟后将会删除快照,如果扫描未完成则在 24 小时后删除。

GuardDuty 恶意软件防护可将它生成和扫描的每个副本 Amazon EBS 卷保留最多 24 小时。默认情况下,GuardDuty 恶意软件防护完成扫描几分钟后将会删除副本 Amazon EBS 卷。但是在有些情况中,如果服务中断或连接问题干扰其恶意软件扫描,则 GuardDuty 恶意软件防护可能需要将副本 Amazon EBS 卷保留超过 24 小时。发生这种情况时,GuardDuty 恶意软件防护会将副本 Amazon EBS 卷保留最多七天,以留出服务时间来分检和解决中断或连接问题。在中断或故障得到解决之后或者延长保留期结束时,GuardDuty 恶意软件防护将会删除副本 Amazon EBS 卷。

不,GuardDuty 仅根据挂载到可能受影响的 Amazon EC2 实例或容器工作负载的 EBS 卷的快照扫描副本,每 24 小时一次。如果自从上次扫描以来还不到 24 个小时,即使 GuardDuty 生成了多个符合恶意软件扫描触发条件的检测结果,也不会再发起扫描。如果 GuardDuty 在离上次恶意软件扫描 24 小时之后生成符合条件的检测结果,GuardDuty Malware Protection 将会为该工作负载发起新恶意软件扫描。

不,禁用 GuardDuty 服务还将禁用 Malware Protection 功能。

不是,GuardDuty S3 恶意软件防护非常灵活,即使应用程序所有者没有为账户启用基本 GuardDuty,也可以为其 S3 存储桶设置恶意软件防护。基本 GuardDuty 包括对基础来源(例如 AWS CloudTrail 管理事件、VPC 流日志和 DNS 查询日志)的默认监控。

GuardDuty RDS Protection

只需在 GuardDuty 控制台中执行一项操作即可启用 GuardDuty RDS Protection,无需手动部署代理,无需激活数据来源,也无需配置权限。GuardDuty RDS Protection 使用定制的 ML 模型,首先分析和剖析对现有和新 Amazon Aurora 数据库的登录尝试。当识别出可疑行为或已知恶意行为者的尝试时,GuardDuty 会向 GuardDuty 和 Amazon Relational Database Service (RDS) 控制台、Security Hub 和 Amazon EventBridge 发布可操作的安全调查结果,允许与现有安全事件管理或工作流程系统集成。 详细了解 GuardDuty RDS Protection 如何使用 RDS 登录活动监控

对于当前 GuardDuty 账户,可以从 RDS 保护页面上的 GuardDuty 控制台激活该功能,也可以通过 API 激活该功能。 详细了解 GuardDuty RDS Protection

符合。默认情况下,通过控制台或 API 激活 GuardDuty 的任何新账户也将启用 RDS Protection。使用 AWS Organizations 自动启用功能创建的新 GuardDuty 账户不会打开 RDS Protection,除非打开了“RDS 自动启用”选项。

不可以,必须启用 GuardDuty 服务才能使用 GuardDuty RDS Protection。

有关提供 RDS Protection 的区域的完整列表,请访问特定区域的功能可用性

不会,Aurora 数据库的 GuardDuty 威胁检测经过设计,不会对您的 Amazon Aurora 数据库产生性能、可用性或成本影响。

GuardDuty Lambda Protection

GuardDuty Lambda Protection 从您的无服务器工作负载开始持续监控网络活动,从 VPC 流日志开始检测威胁,例如被恶意改用于未经授权的加密货币挖矿的 Lambda 函数,或与已知威胁参与者服务器通信的受损 Lambda 函数。在 GuardDuty 控制台中只需几个步骤即可启用 GuardDuty Lambda Protection,使用 AWS Organizations 可以集中为组织中的所有现有和新账户启用该功能。启用后,它会自动开始监控来自账户中所有现有和新的 Lambda 函数的网络活动数据。

对于当前 GuardDuty 账户,可以从 Lambda Protection 页面上的 GuardDuty 控制台激活该功能,也可以通过 API 激活该功能。 详细了解 GuardDuty Lambda Protection

符合。默认情况下,通过控制台或 API 激活 GuardDuty 的任何新账户也将启用 Lambda Protection。使用 AWS Organizations 自动启用功能创建的新 GuardDuty 账户不会打开 Lambda Protection,除非打开了“Lambda 自动启用”选项。

有关提供 Lambda Protection 的区域的完整列表,请访问特定区域的功能可用性

不会,按照设计,GuardDuty Lambda Protection 不会对 Lambda 工作负载造成性能、可用性或成本影响。