定价概述
Amazon GuardDuty 是一种按实际使用量付费的威胁检测服务,可持续监控恶意活动和异常行为,以帮助保护您的 AWS 账户、工作负载和数据。GuardDuty 的价格基于所分析的服务日志、事件、工作负载或数据的数量。
GuardDuty 定价等级包括基础定价(即默认的服务覆盖级别)以及 GuardDuty 保护计划定价。当您首次在账户中激活 GuardDuty 时,将自动启用默认 GuardDuty 威胁检测范围以及可用的保护计划范围。但是,您可以自定义任何新账户如何在 GuardDuty 中继承不同的保护计划,运行时系统监控除外 — 每个账户都必须在控制台中手动启用运行时监控功能。
借助 GuardDuty 保护计划,您可以灵活选择随时开启或关闭哪些计划。但是,在活跃的 GuardDuty 账户中,无法禁用 GuardDuty 中的默认威胁检测。
分析的服务日志经过筛选以优化成本,并直接与 GuardDuty 集成,这意味着您无需单独激活这些日志或支付这些日志的费用。
定价因数据来源和 AWS 区域而异,并且可能会受以下因素影响而发生变化:新日志源的引入;现有日志源为降低成本所做的优化;以及日志量随着 AWS 中与工作负载相关的活动变化而出现的增减。有关特定区域功能的可用性,请参阅《GuardDuty 用户指南》。
免费试用
在受支持的地区,尚未尝试 GuardDuty 的 AWS 账户持有者可以利用 30 天免费试用来访问其所有功能和保护计划。此免费试用适用于每个区域的每个新 AWS 账户。此外,即使您目前正在使用或以前使用过 GuardDuty,您仍然可以为您启用的任何额外 GuardDuty 保护计划获得新的 30 天试用期(前提是您尚未启用它们)。GuardDuty 控制台可显示剩余试用天数以及基于数据量估算的平均每日费用,让预算规划变得简单。
*唯一的例外是恶意软件防护,它有单独的免费套餐可用。GuardDuty 免费试用版包含针对 Amazon EBS 的恶意软件防护,而针对 Amazon S3 的恶意软件防护则提供免费套餐,但无试用期。
基础威胁检测定价
为了检测 AWS 环境中未经授权的意外活动,GuardDuty 会分析和处理来自基础数据来源的数据,以检测涉及 AWS Identity and Access Management (IAM) 访问密钥和 Amazon Elastic Compute Cloud (Amazon EC2) 的异常情况。
- AWS CloudTrail 管理事件分析:GuardDuty 将持续分析 CloudTrail 管理事件。管理事件(也称为“控制面板”)提供有关在 AWS 账户中的资源上执行的管理操作的信息。CloudTrail 管理事件分析按每月每 100 万个事件收费,按比例计费。
- Amazon Virtual Private Cloud(Amazon VPC)流日志和 DNS 查询日志分析:GuardDuty 将持续分析 Amazon VPC 流日志和 DNS 查询日志。VPC 流日志和 DNS 查询日志分析每月按 GB 收费。VPC 流日志和 DNS 查询日志分析均按数据量提供折扣。
定价示例
GuardDuty 保护计划
除了基础日志数据来源外,GuardDuty 还可以使用来自 AWS 环境中其他 AWS 服务的数据来监控和分析潜在的安全威胁。这些功能将自动为新的 GuardDuty 账户(运行时系统监控除外)启用,建议为具有这些活动 AWS 工作负载的账户启用这些保护。 但是,您可以自定义新账户如何在 GuardDuty 中继承保护计划。您可以为所有帐户或选定帐户添加保护计划覆盖范围。通过所有 GuardDuty 保护计划,您可以随时灵活地启用或关闭计划。
某些功能在某些区域不可用;如果未显示特定功能的定价数据,请尝试将页面上的任何区域选择器更改为其他区域。
-
S3 Protection
-
EKS Protection
-
运行时系统监控器
-
恶意软件防护
-
RDS 保护
-
Lambda 保护
-
GuardDuty 通过分析 CloudTrail 管理事件和 CloudTrail S3 数据事件来监控针对您的 Amazon Simple Storage Service(Amazon S3)资源的威胁。启用 GuardDuty S3 Protection 后,GuardDuty 会持续分析经过验证的 CloudTrail S3 数据事件,同时监控您的 S3 存储桶中的访问和行为。CloudTrail S3 数据事件分析的计费依据是每月的百万事件数,按比例计费并按数据量提供折扣。
尚未启用 GuardDuty 功能的新的和现有的 GuardDuty 账户持有人可以通过 AWS Free Tier 免费试用 30 天。在免费试用期及之后,您可以随时在按数据来源细分的 GuardDuty 控制台使用页面上监控您的预计每月支出。
定价示例
-
GuardDuty 中的 Amazon Elastic Kubernetes Service(Amazon EKS)保护提供威胁检测范围,帮助您保护 AWS 环境中的 Amazon EKS 集群。
启用 EKS 审计日志监控后,GuardDuty 会持续地分析 EKS 审计日志,并通过只处理用于安全分析的事件来优化成本。EKS 审计日志分析按每月每 100 万个审计日志收费,按比例计费并按数据量提供折扣。
GuardDuty 还为 EKS 工作负载提供运行时系统监控保护,以分析操作系统级行为,例如文件访问、网络连接和流程执行活动。有关此功能定价的信息,请参阅“运行时系统监控”选项卡。
尚未启用 GuardDuty 功能的新的和现有的 GuardDuty 账户持有人可以通过 AWS Free Tier 免费试用 30 天。 在免费试用期及之后,您可以随时在按数据来源细分的 GuardDuty 控制台使用页面上监控您的预计每月支出。定价表
定价示例
-
GuardDuty 为 EKS、Amazon Elastic Container Service(Amazon ECS)(包括在 AWS Fargate 上运行的部署)和 Amazon EC2 工作负载提供运行时监控。当为工作负载激活 GuardDuty 运行时监控时,GuardDuty 开始收集和分析运行时事件以查找可疑或潜在的恶意活动。GuardDuty 运行时监控定价基于受保护的工作负载的数量和大小确定,以虚拟 CPU(vCPU)为单位进行测量。
- 如果您的账户启用了 GuardDuty EKS 运行时监控或 GuardDuty EC2 运行时监控(预览版)(包括 Amazon EC2 上的 Amazon ECS),则无需为分析部署并激活 GuardDuty 代理的实例中的 VPC 流日志付费。 运行时安全代理为我们提供了类似(且更符合上下文)的网络遥测数据。因此,为了避免向客户重复收费,我们不会对安装了代理的 Amazon EC2 实例的 VPC 流日志收费。
- 如果您将 GuardDuty 运行时监控配置为自动部署 GuardDuty 安全代理,这将在用于运行受监控工作负载的 VPC 中创建 VPC 端点。
- 不会向您收取事件交付的相关网络带宽费用。
尚未启用 GuardDuty 功能的新的和现有的 GuardDuty 账户持有人可以通过 AWS Free Tier 免费试用 30 天。 在免费试用期及之后,您可以随时在按数据来源细分的 GuardDuty 控制台使用页面上监控您的预计每月支出。
- 实例每月的 vCPU =(正在监控的支持的预配实例或任务处于活动状态的总小时数)* 实例上的 vCPU 数量/(一个月的小时数)
定价示例
-
GuardDuty 可以识别已经被恶意软件入侵或面临风险的资源。恶意软件防护支持 GuardDuty 检测可能是此入侵来源的恶意软件。
EC2 恶意软件防护:GuardDuty 为连接到 Amazon Elastic Compute Cloud(Amazon EC2)实例和容器工作负载的 Amazon Elastic Block Store(Amazon EBS)卷以及 Amazon S3 存储桶提供完全托管的恶意软件扫描。
对 EBS 数据卷扫描启用 GuardDuty 恶意软件防护功能后,对于检测到发生可能表明存在恶意软件的行为的 EC2 实例或容器工作负载,其附加的 Amazon Elastic Block Store(Amazon EBS)卷的副本将会接受扫描,以检查是否存在恶意软件。GuardDuty 恶意软件防护功能根据每月扫描的 Amazon EBS 数据总量和 GB 数按比例收费。您可设置可配置的防护机制,以控制支出,例如设置在使用量超过指定限制时发送通知的机制,以及使用标签控制要扫描的 EC2 实例。此外,不会扫描超过 2TB(2048GB)的附加 EBS 卷。
您可以选择使用 GuardDuty 启动的恶意软件扫描,也可以调用按需恶意软件扫描。恶意软件防护按需扫描没有免费试用期。
适用于 EC2 的 GuardDuty 恶意软件防护需要 EBS 快照,与适用于 EC2 的 GuardDuty 恶意软件防护分开定价。请参阅 Amazon EBS 定价了解详细信息。
S3 恶意软件防护:
GuardDuty 为您选择的 Amazon Simple Storage Service(Amazon S3)存储桶中新上传的对象提供完全托管的恶意软件扫描。
对 S3 存储桶进行恶意软件防护配置后,GuardDuty 就会自动扫描新上传的文件,并在检测到恶意软件时,生成包含有关恶意软件详细信息的安全调查发现和 Amazon EventBridge 通知,以实现与现有安全事件管理或工作流系统的集成。您可以将工作流配置为通过将对象移动到账户中的隔离存储桶来自动隔离恶意软件,或者使用对象标签来添加扫描结果的处置,从而更好地根据标签识别和分类扫描对象。
S3 对象扫描成本基于每月扫描的对象数据量(GB)和评估的对象数量。S3 恶意软件防护需要 Amazon S3 API,且单独定价。请参阅 Amazon S3 定价了解详细信息。
无需启用 GuardDuty 服务即可为 Amazon S3 启用 GuardDuty 恶意软件防护。
Amazon S3 恶意软件防护功能附带为期 12 个月的免费套餐,其中包括每月 1000 个免费请求和 1GB 免费存储空间,但须满足以下条件:- 新 AWS 账户在创建账户后的前 12 个月内,每月将获得 1000 个请求和 1GB 免费空间。
- 现有 AWS 账户将有资格享受免费套餐,有效期至 2025 年 6 月 11 日。在此期间,启用该功能的账户每月将免费获得 1000 个请求和 1GB 空间。
此免费套餐适用于启用该功能的每个区域的每个账户。免费套餐期结束后,将适用下述标准定价。
定价示例
-
GuardDuty RDS 保护会分析和剖析 Amazon Relational Database Service (Amazon RDS) 的登录活动,以发现您的 Amazon Aurora 数据库(Amazon Aurora MySQL 兼容版和 Aurora PostgreSQL 兼容版)的潜在访问威胁。
开启 GuardDuty RDS 保护功能后,GuardDuty 将立即开始分析和监控您 AWS 账户中 Aurora 数据库的登录活动以发现潜在威胁。GuardDuty RDS 保护的费用基于每月受保护的 RDS 预置实例 vCPU 的数量。对于 Aurora Serverless v2 实例,费用将基于每月受保护的 Aurora Serverless v2 实例 Aurora 容量单位(ACU)的数量。
请注意,扩展到其他数据库引擎登录监控将增加 GuardDuty 为 RDS 保护处理的登录事件量,从而增加该功能的成本。因此,AWS 将在发布前至少 30 天向 RDS 保护客户发送额外登录活动监控通知。
尚未启用 GuardDuty 功能的新的和现有的 GuardDuty 账户持有人可以通过 AWS Free Tier 免费试用 30 天。 在免费试用期及之后,您可以随时在按数据来源细分的 GuardDuty 控制台使用页面上监控您的预计每月支出。
- 实例每月的 vCPU =(正在监控的支持的预配实例处于活动状态的总小时数)* 实例上的 vCPU 数量/(一个月的小时数)
- 实例每月的 ACU =(正在扫描的支持的 Aurora Serverless v2 实例处于活动状态的总小时数)* 实例上的 ACU 数量/(一个月的小时数)
- Amazon RDS 实例支持多线程,允许在单个 CPU 内核上同时运行多个线程。每个线程都表示为实例上的 vCPU。
- ACU 是 Aurora 无服务器 v2 的计量单位。Aurora Serverless v2 容量与您用于预置集群的数据库实例类无关,而是用来指定 Aurora Serverless v2 数据库容量范围的计量单位。
定价示例
-
GuardDuty Lambda 保护会持续监控执行 AWS Lambda 函数时生成的网络活动日志,以检测 Lambda 面临的威胁,例如恶意改用于未经授权的加密货币挖矿的函数,或者与已知威胁参与者服务器通信的受损的 Lambda 函数。
请注意,扩展到其他形式的网络活动监控将增加 GuardDuty 为 Lambda 保护处理的数据量,从而增加该功能的成本。因此,AWS 将在发布前至少 30 天向 Lambda 保护客户发送额外网络活动监控通知。
尚未启用 GuardDuty 功能的新的和现有的 GuardDuty 账户持有人可以通过 AWS Free Tier 免费试用 30 天。 在免费试用期及之后,您可以随时在按数据来源细分的 GuardDuty 控制台使用页面上监控您的预计每月支出。
定价示例