【AWS】什么是Amazon GuardDuty
Amazon GuardDuty 是一项由 Amazon Web Services (AWS) 提供的完全托管的威胁检测服务。它通过持续监控您的 AWS 账户、工作负载和存储在 Amazon S3 中的数据是否存在恶意活动和未经授权的行为,从而帮助您保护 AWS 环境。
你可以把 GuardDuty 想象成一个**“智能安全卫士”**,它始终在后台默默地工作,分析您的 AWS 环境中的各种数据源,寻找潜在的安全威胁,并在发现异常时立即向您发出警报。
Amazon GuardDuty 的核心特点和优势
GuardDuty 的设计目标是提供一种简单、智能且经济高效的方式来持续保护您的 AWS 资源。
智能威胁检测:
持续监控: GuardDuty 会持续监控来自多个 AWS 数据源的事件流,包括:
AWS CloudTrail 管理事件: 监控您账户中的 AWS 用户活动和 API 调用。
Amazon VPC 流日志: 监控您的网络流量数据。
DNS 日志: 监控 DNS 查询活动。
AWS CloudTrail S3 数据事件: 监控 Amazon S3 存储桶的访问和活动。
Amazon EBS 卷: 扫描连接到 EC2 实例和容器工作负载的 EBS 卷中的恶意文件。
Amazon S3 恶意软件防护: 持续评估上传到选定 S3 存储桶的新对象中是否存在恶意软件。
Amazon RDS 保护: 检测 Amazon RDS 数据库(从 Amazon Aurora 开始)中的潜在威胁,例如暴力破解攻击、可疑登录。
Amazon EKS 运行时监控: 监控 Amazon EKS 集群的运行时活动,以检测容器级别的威胁。
Amazon Lambda 保护: 检测无服务器应用程序面临的威胁。
威胁情报与机器学习: GuardDuty 结合了 AWS 内部开发的威胁情报(例如已知的恶意 IP 地址、域名列表)、第三方威胁情报源(如 CrowdStrike、Proofpoint)以及机器学习和异常检测算法。这使得它能够识别出传统的基于规则的安全工具可能遗漏的复杂或新型威胁。
行为建模: 通过分析正常行为模式,GuardDuty 可以检测出异常的 API 调用、可疑的出站通信(如与已知命令与控制服务器通信)、未经授权的数据访问、加密货币挖矿活动等。
完全托管:
GuardDuty 是一项完全托管的服务。您无需部署、维护或管理任何安全软件或硬件。AWS 负责所有底层基础设施、威胁情报更新和机器学习模型的维护。
启用 GuardDuty 只需在 AWS 管理控制台中单击几下,即可开始 30 天免费试用。
高可扩展性:
GuardDuty 能够自动扩展,以应对您 AWS 环境中任意规模的活动量,无论您的账户或工作负载如何增长,都能提供持续的威胁检测。
详细且可操作的发现结果:
当 GuardDuty 检测到潜在威胁时,它会生成详细的安全发现结果 (Findings)。这些发现结果包括受影响资源的详细信息、攻击者信息(如 IP 地址、地理位置)以及威胁的严重程度。
这些发现结果可以轻松地与现有的事件管理和工作流系统集成,例如通过 Amazon CloudWatch Events 或 Amazon EventBridge 将警报发送到 AWS Lambda 函数进行自动响应,或发送到您的安全信息和事件管理 (SIEM) 系统。
多账户管理:
GuardDuty 支持通过 AWS Organizations 进行多账户管理。您可以在所有现有账户和新账户中集中启用 GuardDuty,并将所有安全发现结果汇总到一个管理员账户中,从而简化管理和分析。
无性能影响:
GuardDuty 被设计为完全独立于您的资源运行,并且不会对您的工作负载产生性能或可用性影响。
Amazon GuardDuty 的典型用例
账户凭证泄露检测: 识别异常的 API 调用、从不寻常的地理位置进行的访问、或试图禁用 CloudTrail 日志记录以隐藏账户活动的迹象。
实例和容器威胁检测: 发现 EC2 实例、ECS 任务或 EKS 集群上的恶意软件、未经授权的加密挖矿活动、与恶意域名的通信。
S3 存储桶安全: 监控 S3 存储桶的异常访问模式(如未经授权的数据下载、公共访问配置更改)、恶意文件上传。
数据库威胁检测: 识别对 Amazon RDS 数据库的暴力破解攻击或可疑登录活动。
侦察活动检测: 识别攻击者在您的网络中进行扫描、探测或枚举资源的行为。
数据泄露和破坏检测: 发现可能导致数据泄露或勒索软件事件的异常数据访问模式。
合规性审计和安全态势管理: 通过持续的威胁检测,帮助满足合规性要求,并提供对整体安全态势的可见性。
总结来说,Amazon GuardDuty 是一项强大的、基于 AI/ML 的威胁检测服务,它通过持续监控 AWS 环境中的关键数据源,帮助您自动识别并响应潜在的安全威胁,从而保护您的 AWS 账户、工作负载和数据,而无需您进行复杂的部署和维护。 它是 AWS 云安全策略中的一个重要组成部分。
过去考试题
あなたは組織のセキュリティ担当者として、AWS環境内で不正アクセスや異常なアクティビティを自動的に検出し、アラートを受け取りたいと考えています。この要件を満たすAWSのセキュリティ関連サービスはどれですか?
- AWS Config
- Amazon GuardDuty
- AWS Shield
- AWS CloudTrail
过去考试题
Amazon S3に保存されているAWSアカウント、ワークロード、データを保護するために、悪意のある活動や不正なアクションを監視して脅威を検知するAWSサービスはどれか。
- AWS CloudTrail
- AWS Security Hub
- AWS GuardDuty
- AWS Config
AWS GuardDutyはAmazon S3に保存されているデータ、アカウント、ワークロードを保護するサービスで、悪意のある活動や不正なアクションを継続的に監視?検知することができます。
A: AWS CloudTrailはAWSリソースの変更履歴を記録するサービスで、セキュリティ監査に役立ちますが、脅威を検知するサービスではありません。
B: AWS Security Hubは複数のAWSセキュリティサービスの結果を集約して表示するダッシュボードサービスで、直接脅威を検知するものではありません。
D: AWS Configは、AWSリソースの設定状態を記録、監査、評価するサービスで、脅威検知機能はありません。