- 安全、身分和合規›
- Amazon GuardDuty›
- 常見問答集
Amazon GuardDuty 常見問答集
服務概觀
什麼是 Amazon GuardDuty?
GuardDuty 是一項智慧型威脅偵測服務,可持續監控您的 AWS 帳戶、工作負載、執行時期活動和資料,偵測惡意活動。如果偵測到潛在的惡意活動,如異常行為、憑證洩露,或者命令與控制基礎設施 (C2) 通訊,Amazon GuardDuty 會產生詳細的安全調查結果,這可用於取得安全可視性並協助進行補救。
Amazon GuardDuty 有哪些主要優勢?
Amazon GuardDuty 可更輕鬆地持續監控您的 AWS 帳戶、工作負載和執行時期活動。GuardDuty 專為完全獨立於您的資源運作而設計,不會對您的工作負載造成效能或可用性影響。該服務完全是由整合的威脅情報、機器學習 (ML) 異常偵測及惡意軟體掃描所管理的。Amazon GuardDuty 提供詳細且可採取行動的提醒,旨在與現有的事件管理和工作流程系統整合。您不必預先支付任何費用,只需按分析的事件付費即可,不必部署其他軟體或訂閱威脅情報饋送。
Amazon GuardDuty 的費用是多少?
GuardDuty 是一項按用量付費的服務,您只需根據自己的使用量付費即可。GuardDuty 價格依據用於 Amazon RDS 事件分析的分析服務日誌、虛擬 CPU (vCPU) 或 Aurora Serverless v2 執行個體 Aurora 容量單位 (ACU) 的數量,執行期受監控的 Amazon Elastic Kubernetes Service (Amazon EKS) 或 Amazon Elastic Container Service (Amazon ECS) 工作負載數量和大小,以及掃描是否有惡意程式碼的資料量而定。
分析的服務日誌經過篩選以優化成本,並直接與 Amazon GuardDuty 整合,這意味著您無需單獨啟用或支付費用。 如果您的帳戶已啟用 EKS 執行期監控,則不會對部署了 GuardDuty 代理程式且處於作用中狀態之執行個體的 VPC 流程日誌分析收取費用。執行時期安全代理程式為我們提供了類似 (且更關聯) 的網路遙測資料。因此,為了避免向客戶重複收費,我們不會對安裝了代理程式的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體中的 VPC 流量日誌收費。
如需有關其他詳細資訊和定價範例,請參閱 Amazon GuardDuty 定價。
GuardDuty 付款人帳戶中的預計成本顯示的是連結帳戶彙總的總成本,還是個別的付款人帳戶成本?
估算成本代表個別付款人帳戶的成本,並且您將在 GuardDuty 管理員帳戶中看到每個成員帳戶的計費使用量和平均每日成本。如果您想查看詳細的用量資訊,必須前往個人帳戶。
Amazon GuardDuty 有免費試用版嗎?
是,任何新加入 Amazon GuardDuty 的帳戶都可以免費試用服務 30 天。在免費試用期間,您將擁有完整功能集和偵測的存取權限。在試用期間,您可以在 Amazon GuardDuty 主控台用量頁面中,檢視試用後的成本估算。如果您是 Amazon GuardDuty 管理員,您將能夠查看成員帳戶的估算成本。30 天後,您可以在 AWS 帳單主控台中,查看此功能的實際成本。
尚未啟用 GuardDuty 功能的新和現有 GuardDuty 帳戶持有人可透過 AWS 免費方案免費試用 30 天(對於 Malware Protection 功能,僅適用於 Amazon EBS 資料磁碟區的 GuardDuty 啟動的惡意軟體掃描功能。適用於 Amazon S3 的 Malware Protection 沒有免費試用版)。在免費試用期間和之後,您隨時可以在 GuardDuty 主控台使用量頁面上監控預估的每月花費,並依資料來源細分。
Amazon GuardDuty 和 Amazon Macie 有什麼不同?
Amazon GuardDuty 為您的 AWS 帳戶、工作負載和資料提供廣泛的安全監控,以協助識別威脅,如攻擊者偵察、執行個體、帳戶、儲存貯體或 Amazon EKS 叢集入侵;以及惡意軟體。 Amazon Macie 是一項全受管敏感資料探索服務,使用 ML 和模式比對來探索您在 Amazon Simple Storage Service (Amazon S3) 中的敏感資料。
Amazon GuardDuty 是區域服務還是全球服務?
Amazon GuardDuty 是區域服務。即使啟用了多個帳戶並使用多個 AWS 區域,Amazon GuardDuty 安全調查結果仍會保存在產生基礎資料的相同區域。這可確保所有資料分析都是基於區域內的,而不會跨 AWS 區域邊界。但是,您可以選擇使用 Amazon EventBridge,跨區域彙總 Amazon GuardDuty 產生的安全調查結果,或將調查結果推送至您的資料存放區 (如 Amazon S3),然後根據需要彙總調查結果。您還可以將 GuardDuty 調查結果傳送至 AWS Security Hub,並使用其跨區域彙總功能。
Amazon GuardDuty 支援哪些區域?
Amazon GuardDuty 區域可用性列於 AWS 區域服務清單中。 如需可使用 GuardDuty 功能的區域完整清單,請瀏覽區域特定功能可用性。
哪些合作夥伴與 Amazon GuardDuty 合作?
已經有許多技術合作夥伴整合並採用 Amazon GuardDuty。此外,也有具備專業知識的諮詢、系統整合商和受管安全服務供應商採用 Amazon GuardDuty。如需詳細資訊,請參閱 Amazon GuardDuty 合作夥伴頁面。
GuardDuty 是否有助於滿足支付卡產業安全標準 (PCI DSS) 的要求?
Foregenix 發佈了一份白皮書,其中提供對 GuardDuty 協助滿足要求的有效性方面的詳細評估,例如 PCI DSS 要求 11.4,這需要在網路的關鍵點採用入侵偵測技術。
啟用 GuardDuty
如何啟用 GuardDuty?
只需在 AWS 管理主控台進行幾個步驟,即可設定並部署 Amazon GuardDuty。啟用後,Amazon GuardDuty 會立即以近乎即時的速度開始大規模分析帳戶和網路活動的持續串流。您不必部署或管理額外的安全軟體、感應器或網路設備。威脅情報已預先整合至服務中,並且會持續更新及維護。
是否可以使用 GuardDuty 管理多個帳戶?
是,Amazon GuardDuty 具備多帳戶管理功能,可讓您將單一管理員帳戶中的多個 AWS 帳戶建立關聯並加以管理。使用這項功能時,所有安全問題清單會彙總到管理員帳戶供檢閱及修復。使用此組態時,EventBridge 事件也會彙總到 Amazon GuardDuty 管理員帳戶。此外,GuardDuty 與 AWS Organizations 整合,可讓您為您的組織委派 Amazon GuardDuty 管理員帳戶。此委派管理員 (DA) 帳戶是一個集中式帳戶,可整合所有問題清單並可設定所有成員帳戶。
Amazon GuardDuty 會分析哪些資料來源?
GuardDuty 分析的基礎資料來源包括:AWS CloudTrail 管理事件日誌、CloudTrail 管理事件以及 Amazon EC2 VPC 流程日誌和 DNS 查詢日誌。GuardDuty 保護計劃可監控其他資源類型,包括 CloudTrail S3 資料事件 (S3 Protection)、Amazon EKS 稽核日誌和 Amazon EKS (EKS Protection) 的執行期活動、Amazon ECS 執行期活動 (ECS 執行期監控)、Amazon EC2 執行期活動 (EC2 執行期監控)、Amazon EBS 磁碟區資料 (惡意軟體防護)、Amazon Aurora 登入事件 (RDS Protection) 和網路活動日誌 (Lambda Protection)。這項服務已經過優化,可運用大量資料以近乎即時的速度處理安全偵測。GuardDuty 可讓您存取內建的偵測技術,這些技術已針對雲端進行優化,並且會由 Amazon GuardDuty 工程部門負責維護及持續改善。
Amazon GuardDuty 多快可以開始運作?
Amazon GuardDuty 啟用後便會開始分析惡意或未授權的活動。開始接收發現結果的時間範圍取決於您帳戶的活動等級。Amazon GuardDuty 不會分析歷史資料,只會分析在其啟用後開始的活動。如果 Amazon GuardDuty 發現任何潛在威脅,您就會在 GuardDuty 主控台收到問題清單。
是否必須啟用 CloudTrail、VPC 流程日誌、DNS 查詢日誌或 Amazon EKS 稽核日誌,才能使 Amazon GuardDuty 正常運作?
否,Amazon GuardDuty 直接從 AWS CloudTrail、VPC 流程日誌、DNS 查詢日誌和 Amazon EKS 中提取獨立的資料串流。您不必管理 Amazon S3 儲存貯體政策或修改您收集及存放日誌的方式。Amazon GuardDuty 許可作為服務連結角色進行管理。您可以隨時停用 Amazon GuardDuty,這會移除所有 Amazon GuardDuty 許可。因為避免了複雜的組態,這可讓您更容易啟用該服務。此外,服務連結角色消除了 AWS Identity and Access Management (IAM) 許可設定錯誤,或 Amazon S3 儲存貯體政策變更將影響服務運作的可能性。最後,透過服務連結角色,還能大幅提升 Amazon GuardDuty 的效率,以近乎即時的速度大量取用資料,而不會對帳戶或工作負載的效能或可用性產生任何影響。
在我的帳戶啟用 Amazon GuardDuty 是否會對效能或可用性造成任何影響?
當您首次啟用 GuardDuty 時,它會完全獨立於 AWS 資源運作。如果您將 GuardDuty 執行期監控設定為自動部署 GuardDuty 安全代理程式,這可能會產生額外的資源使用率,而且也會在用來執行監控工作負載的 VPC 中建立 VPC 端點。
Amazon GuardDuty 是否會管理或保留我的日誌?
否,Amazon GuardDuty 不管理或保留您的日誌。Amazon GuardDuty 取用的所有資料都經過近乎即時的分析,然後再將其捨棄。藉此提升 GuardDuty 的效率、提高經濟效益,並降低資料殘留的風險。針對日誌的交付及保留,建議您使用 AWS 直接記錄及監控服務,以提供功能完整的交付和保留選項。
如何阻止 Amazon GuardDuty 查閱我的日誌和資料來源?
您隨時可以阻止 Amazon GuardDuty 分析您的資料來源,方法是在一般設定中選擇暫停服務。這樣會立即停止服務分析資料,但並不會刪除現有的發現結果或組態。此外,您也可以在一般設定中選擇停用服務。藉此刪除所有剩餘的資料,包括在放棄服務許可及重設服務之前的現有調查清單和組態。您還可以透過管理主控台或 AWS CLI,有選擇地停用 Amazon GuardDuty S3 Protection 或 GuardDuty EKS Protection 等功能。
啟用 GuardDuty
Amazon GuardDuty 可以偵測哪些項目?
Amazon GuardDuty 可讓您存取內建的偵測技術,這些技術是專為雲端開發及進行優化。偵測演算法是由 Amazon GuardDuty 工程師維護及持續改善。主要偵測類別包括下列各項:
- 偵察活動:指示攻擊者進行偵察的活動,例如不尋常的 API 活動、VPC 內部連接埠掃描、異常的失敗登入請求模式,或來自已知惡意 IP 的解鎖連接埠探查。
- 執行個體危害:指示執行個體危害的活動,例如密碼貨幣挖礦、使用網域產生演算法 (DGA) 的惡意軟體、服務活動出站拒絕、不尋常的高網路流量、不尋常的網路協定、出站執行個體與已知惡意 IP 的通訊、外部 IP 地址使用的 Amazon EC2 憑證,以及運用 DNS 使資料外洩。
- 帳戶入侵:指示帳戶入侵的常見模式,包括來自異常地理位置或匿名代理的 API 呼叫、嘗試停用 CloudTrail 日誌記錄、異常執行個體或基礎設施啟動、異常區域中的基礎設施部署、憑證洩露、可疑資料庫登入活動,以及已知惡意 IP 地址的 API 呼叫。
- 儲存貯體入侵:指示儲存貯體危害的活動,例如指示憑證濫用的可疑資料存取模式、遠端主機的異常 Amazon S3 API 活動、已知惡意 IP 地址未經授權的 Amazon S3 存取,以及從先前沒有存取該儲存貯體歷史記錄或沒有從異常位置調用的使用者處擷取 Amazon S3 儲存貯體資料的 API 呼叫。Amazon GuardDuty 持續監控和分析 AWS CloudTrail S3 資料事件 (例如 GetObject、ListObjects、DeleteObject),以偵測所有 Amazon S3 儲存貯體中的可疑活動。
- 惡意軟體:GuardDuty 可偵測可能用來破壞 Amazon EC2 執行個體或容器工作負載或上傳至 Amazon S3 儲存貯體的惡意軟體,例如特洛伊木馬程式、蠕蟲、加密貨幣礦工、Rootkit 或機器人。
- 容器入侵:透過分析 Amazon EKS 稽核日誌和 Amazon EKS 或 Amazon ECS 中的容器執行時期活動,持續監控和分析 Amazon EKS 叢集,藉此偵測可識別容器工作負載中可能存在惡意行為或可疑行為的活動。
這裡提供 GuardDuty 調查結果類型的完整清單。
什麼是 GuardDuty 威脅情報?
Amazon GuardDuty 威脅情報是由攻擊者使用的 IP 地址和網域所組成。Amazon GuardDuty 威脅情報是由 AWS 和第三方供應商 (如 Proofpoint 和 CrowdStrike) 提供。這些威脅情報饋送已預先整合在 GuardDuty 並且會持續更新,無須額外的費用。
是否能提供自己的威脅情報?
是,GuardDuty 允許您上傳自己的威脅情報或可信 IP 地址清單。使用這項功能時,這些清單只會套用至您的帳戶,不會與其他客戶共享。
安全調查結果的交付方式為何?
如果偵測到潛在威脅,Amazon GuardDuty 會傳送詳細的安全問題清單到 Amazon GuardDuty 主控台和 Amazon EventBridge。這樣就能讓提醒更切實可行,而且更容易整合至現有的事件管理系統或工作負載系統。調查結果包括類別、受影響的資源,以及與資源相關聯的中繼資料 (如嚴重性等級)。
GuardDuty 調查結果的格式為何?
Amazon GuardDuty 調查結果採用常見的 JSON 格式,Amazon Macie 和 Amazon Inspector 也使用這種格式。這可讓客戶和合作夥伴輕鬆使用這三項服務提供的問題清單,並將其納入更廣泛的事件管理、工作流程或安全解決方案。
GuardDuty 中的安全調查結果可以使用多久?
安全問題清單透過 Amazon GuardDuty 主控台和 API 保留,供您在 90 天內使用。90 天過後,就會捨棄這些調查結果。如要將發現結果保留 90 天以上的時間,您可以啟用 Amazon EventBridge 將調查結果自動推送至您帳戶中的 Amazon S3 儲存貯體或另一個資料存放區以長期保留。
是否可以彙總 GuardDuty 調查結果?
是,您可以選擇使用 Amazon EventBridge,跨區域彙總 Amazon GuardDuty 產生的安全調查結果,或將調查結果推送至您的資料存放區 (如 Amazon S3),然後根據需要彙總調查結果。您還可以將 GuardDuty 調查結果傳送至 Security Hub,並使用其跨區域彙總功能。
是否可以使用 GuardDuty 採取自動化預防性動作?
使用 Amazon GuardDuty、Amazon EventBridge 和 AWS Lambda 時,您可以根據安全問題清單彈性設定自動化修復性動作。例如,您可以建立 Lambda 函數,根據安全調查結果修改 AWS 安全群組規則。如果您取得的 Amazon GuardDuty 調查結果指出其中一個 Amazon EC2 執行個體正被某個已知的惡意 IP 探查,您可以透過 Amazon EventBridge 規則啟動 Lambda 函數,來自動修改安全群組規則並限制該連接埠的存取,藉此解決問題。
GuardDuty 偵測的開發和管理過程為何?
Amazon GuardDuty 旗下有一個團隊,專注於工程、管理及反覆運作方面的偵測。藉此定期地為服務提供新的偵測功能,並持續重複利用現有的偵測功能。服務中內建數個意見回饋機制,例如對於在 GuardDuty 使用者介面 (UI) 中發現的每個安全問題清單表示滿意和不滿意。這可讓您提供意見回饋,以便納入將來的 GuardDuty 偵測反覆運作。
是否可以在 Amazon GuardDuty 中寫入自訂的偵測?
否,Amazon GuardDuty 免除了開發和維護自訂規則集的繁重工作和複雜程度。我們會根據客戶意見回饋以及 AWS 安全工程團隊和 Amazon GuardDuty 工程團隊的研究持續加入新的偵測。但是,客戶設定的自訂項包括新增您自己的威脅清單和可信 IP 地址清單。
Amazon GuardDuty S3 Protection
如果我目前正在使用 GuardDuty,我該如何開始使用 S3 Protection?
針對目前的 GuardDuty 帳戶,可在 S3 Protection 頁面的主控台或透過 API 啟用 S3 Protection。這將開始 Amazon GuardDuty S3 Protection 的 30 天免費試用。
是否可以免費試用 GuardDuty S3 Protection?
是,有 30 天的免費試用期。每個區域中的每個帳戶都可以免費試用 Amazon GuardDuty 30 天,其中包括 S3 Protection 功能。對於已啟用 Amazon GuardDuty 的帳戶,在首次啟用 S3 Protection 功能時還將獲得 30 天的免費試用期。
如果我是 GuardDuty 的新使用者,是否會預設為我的帳戶啟用 S3 Protection?
是。對於透過主控台或 API 啟用 Amazon GuardDuty 的任何新帳戶,也預設會啟用 S3 Protection。使用 AWS Organizations 自動啟用功能建立的新 Amazon GuardDuty 帳戶不會啟用 S3 Protection,除非開啟 S3 自動啟用選項。
是否可以在不啟用完整 GuardDuty 服務 (包括分析 VPC 流程日誌、DNS 查詢日誌和 CloudTrail 管理事件) 的情況下,使用 GuardDuty S3 Protection?
否,必須啟用 Amazon GuardDuty 服務,才能使用 S3 Protection。目前的 Amazon GuardDuty 帳戶可以選擇啟用 S3 Protection,並且一旦啟用 Amazon GuardDuty 服務,新的 Amazon GuardDuty 帳戶會預設擁有該功能。
GuardDuty 是否會監控我帳戶中的所有儲存貯體,以協助保護我的 Amazon S3 部署?
是,S3 Protection 預設會監控您環境中的所有 Amazon S3 儲存貯體。
是否需要為 S3 Protection 開啟 CloudTrail S3 資料事件日誌記錄?
否,Amazon GuardDuty 可直接存取 CloudTrail S3 資料事件日誌。您無需在 CloudTrail 中啟用 S3 資料事件日誌記錄,因此不會產生相關費用。請注意,Amazon GuardDuty 不存放日誌,並且僅將其用於分析。
GuardDuty EKS Protection
GuardDuty EKS Protection 如何運作?
GuardDuty EKS Protection 是一項 GuardDuty 功能,可透過分析 Amazon EKS 稽核日誌,來監控 Amazon EKS 叢集控制平面活動。GuardDuty 與 Amazon EKS 整合,可直接存取 Amazon EKS 稽核日誌,而無需開啟或存放這些日誌。這些稽核日誌是與安全相關、按時間順序的記錄,記錄了在 Amazon EKS 控制平面執行的動作序列。這些 Amazon EKS 稽核日誌為 GuardDuty 提供了對 Amazon EKS API 活動進行持續監控所需的可視性,並運用經驗證的威脅情報和異常偵測,來識別可能讓您的 Amazon EKS 叢集暴露於未經授權存取的惡意活動或組態變更。識別威脅後,Amazon GuardDuty 會產生包含威脅類型、嚴重性級別和容器級詳細資訊 (如 pod ID、容器映像 ID 和關聯標籤) 的安全問題清單。
GuardDuty EKS Protection 可以在我的 Amazon EKS 工作負載上偵測到哪些類型的威脅?
GuardDuty EKS Protection 可以偵測與 Amazon EKS 稽核日誌中擷取的使用者和應用程式活動相關的威脅。Amazon EKS 威脅偵測包括已知惡意人士或從 Tor 節點存取的 Amazon EKS 叢集、匿名使用者執行的可指示組態設定錯誤的 API 動作,以及可能導致未經授權存取 Amazon EKS 叢集的組態設定錯誤。此外,使用 ML 模型,Amazon GuardDuty 可識別與權限升級技術一致的模式,例如疑似啟動對底層 Amazon EC2 主機具有根級存取權的容器。如需有關所有新偵測項的完整清單,請參閱 Amazon GuardDuty 調查結果類型。
是否需要開啟 Amazon EKS 稽核日誌?
否,Amazon GuardDuty 可以直接存取 Amazon EKS 稽核日誌。請注意,GuardDuty 僅使用這些日誌進行分析;它並不存放這些日誌,您也不需要啟用或支付這些 Amazon EKS 稽核日誌,以便與 GuardDuty 共享。為了最佳化成本,Amazon GuardDuty 會套用智慧篩選條件,以便僅取用與安全威脅偵測相關的稽核日誌子集。
是否可以免費試用 GuardDuty EKS Protection 功能?
是,有 30 天的免費試用期。每個區域中的每個新 Amazon GuardDuty 帳戶都會獲得 30 天的 GuardDuty 免費試用期,包括 GuardDuty EKS Protection 功能。現有 GuardDuty 帳戶可免費獲得 30 天的 GuardDuty EKS Protection 功能試用期。在試用期間,您可以在 Amazon GuardDuty 主控台用量頁面中,檢視試用後的成本估算。如果您是 Amazon GuardDuty 管理員,您將能夠查看成員帳戶的估算成本。30 天後,您可以在 AWS 帳單主控台中,查看此功能的實際成本。
如果我目前正在使用 Amazon GuardDuty,如何開始使用 GuardDuty EKS Protection?
必須為每個個別帳戶開啟 GuardDuty EKS Protection。您可以前往 GuardDuty EKS Protection 主控台頁面,在 Amazon GuardDuty 主控台執行單一動作,即可為您的帳戶開啟該功能。如果您在 Amazon GuardDuty 多帳戶組態中執行,則可以透過 Amazon GuardDuty 管理員帳戶 GuardDuty EKS Protection 頁面,在整個組織中開啟 GuardDuty EKS Protection。這將針對所有個別成員帳戶中的 Amazon EKS 開啟持續威脅偵測。針對使用 AWS Organizations 自動啟用功能建立的 GuardDuty 帳戶必需明確開啟 Amazon EKS 自動啟用。針對一個帳戶啟用後,將會監控帳戶中所有現有和未來的 Amazon EKS 叢集是否存在威脅,並且不用對您的 Amazon EKS 叢集進行任何組態設定。
如果我是 Amazon GuardDuty 新使用者,是否預設會為我的帳戶啟用 GuardDuty EKS Protection?
是,對於透過主控台或 API 開啟 Amazon GuardDuty 的任何新帳戶,也預設會啟用 GuardDuty EKS Protection。 針對使用 AWS Organizations 自動啟用功能建立的新 Amazon GuardDuty 帳戶,您需要明確啟用 EKS Protection 選項自動啟用。
如何停用 GuardDuty EKS Protection 功能?
您可以在主控台中或使用 API 停用該功能。在 Amazon GuardDuty 主控台中,您可以在 GuardDuty EKS Protection 主控台頁面上,為您的帳戶停用 GuardDuty EKS Protection。如果您有 Amazon GuardDuty 管理員帳戶,您還可以為您的成員帳戶停用此功能。
如果停用 GuardDuty EKS Protection 功能,如何再次啟用?
如果您之前停用了 GuardDuty EKS Protection,您可以在主控台中或使用 API 重新啟用該功能。在 Amazon GuardDuty 主控台中,您可以在 GuardDuty EKS Protection 主控台頁面上,為您的帳戶啟用 GuardDuty EKS Protection。
是否必須在每個 AWS 帳戶和 EKS 叢集上單獨啟用 GuardDuty EKS Protection?
必須為每個個別帳戶啟用 GuardDuty EKS Protection。如果您在 Amazon GuardDuty 多帳戶組態中執行,只需按一下 Amazon GuardDuty 管理員帳戶 GuardDuty EKS Protection 主控台頁面,即可在整個組織中啟用 Amazon EKS 威脅偵測。這將針對所有個別成員帳戶中的 Amazon EKS 啟用威脅偵測。為帳戶啟用威脅偵測後,將會監控帳戶中所有現有和未來的 Amazon EKS 叢集是否存在威脅,並且無需對您的 Amazon EKS 叢集進行手動組態設定。
如果我不使用 Amazon EKS 並在 Amazon GuardDuty 中啟用 GuardDuty EKS Protection,是否會收費?
如果您不使用 Amazon EKS 並啟用 GuardDuty EKS Protection,不會產生任何 GuardDuty EKS Protection 費用。但是,當您開始使用 Amazon EKS 時,Amazon GuardDuty 會自動監控您的叢集,並針對已識別的問題產生問題清單,您需要為此監控付費。
是否可以在不啟用完整 Amazon GuardDuty 服務 (包括分析 VPC 流程日誌、DNS 查詢日誌和 CloudTrail 管理事件) 的情況下,啟用 GuardDuty EKS Protection?
否,必須啟用 Amazon GuardDuty 服務,才能使用 GuardDuty EKS Protection。
GuardDuty EKS Protection 是否會針對 AWS Fargate 上的 Amazon EKS 部署監控 Amazon EKS 稽核日誌?
是,GuardDuty EKS Protection 功能會監控部署在 Amazon EC2 執行個體上的 Amazon EKS 叢集和部署在 Fargate 上的 Amazon EKS 叢集的稽核日誌。
Amazon GuardDuty 是否監控 Amazon EC2 或 Amazon EKS Anywhere 上的非受管 Amazon EKS?
目前,此功能僅支援在您的帳戶或 AWS Fargate 的 Amazon EC2 執行個體上執行的 Amazon EKS 部署。
使用 GuardDuty EKS Protection 功能是否會影響在 Amazon EKS 上執行容器的效能或成本?
否,GuardDuty EKS Protection 的設計並未對 Amazon EKS 工作負載部署產生任何效能、可用性或成本影響。
是否必須在每個 AWS 區域個別啟用 GuardDuty EKS Protection 功能?
是,Amazon GuardDuty 是一項區域服務,因此必須在每個 AWS 區域中分別啟用 GuardDuty EKS Protection。
GuardDuty 執行期監控
GuardDuty 執行期監控如何運作?
GuardDuty 執行期監控使用輕量且完全受管理的安全代理程式,在所涵蓋資源的網站或執行個體層級上,提升執行時期活動的資訊透明度,例如檔案存取、程序執行以及網路連線。安全代理程式會自動部署為一個常駐程式,負責收集執行時期事件並傳遞給 GuardDuty 以進行安全分析處理。這可讓 GuardDuty 識別 AWS 環境中可能遭到入侵的特定執行個體或容器,並偵測嘗試將權限提升至更廣泛的 AWS 環境的行為。當 GuardDuty 偵測到潛在威脅時,便會產生安全調查結果,其中包括執行個體、容器、Pod 和程序詳細資訊等中繼資料內容。
GuardDuty 執行期監控支援哪些 AWS 服務?
執行期監控適用於在 Amazon EC2 上執行的 Amazon EKS 資源、在 Amazon EC2 或 AWS Fargate 上執行的 Amazon ECS 叢集,以及 Amazon EC2 執行個體。
如果我目前正在使用 GuardDuty,如何開始使用執行期監控?
針對目前的 GuardDuty 帳戶,可從「執行期監控」頁面上的 GuardDuty 主控台或透過 API 啟用該功能。進一步了解 GuardDuty 執行期監控。
如果我是 GuardDuty 的新使用者,我的帳戶是否會預設開啟執行期監控?
否。在您首次開啟 GuardDuty 時,GuardDuty 執行期監控是唯一預設未啟用的保護計畫。可從「執行期監控」頁面上的 GuardDuty 主控台或透過 API 啟用該功能。針對使用 AWS Organizations 自動啟用功能建立的新 Amazon GuardDuty 帳戶,不會啟用執行期監控,除非開啟「自動啟用執行期監控」選項。
GuardDuty 安全代理程式有哪些部署選項?
當您啟用 Amazon ECS 執行期監控時,GuardDuty 就可以使用任務中的執行時期事件。這些任務會在 Amazon ECS 叢集內執行,從而在 AWS Fargate 執行個體上執行。若要讓 GuardDuty 接收這些執行時期事件,您必須使用自動代理程式組態。
當您為 Amazon EC2 或 Amazon EKS 啟用執行期監控時,您可以選擇手動部署 GuardDuty 安全代理程式,或允許 GuardDuty 使用自動代理程式組態為您管理。
如需詳細資訊,請參閱 GuardDuty 使用者指南中的關鍵概念 - 管理 GuardDuty 安全代理程式的方法。
是否可以在不啟用完整 GuardDuty 服務的情況下,使用 GuardDuty 執行期監控?
否,必須啟用 Amazon GuardDuty 服務,才能使用 GuardDuty 執行期監控。
GuardDuty 執行期監控是否在目前提供 GuardDuty 的所有區域開放使用?
如需可使用執行期監控的區域完整清單,請瀏覽區域特定功能可用性。
GuardDuty 執行期監控是否必須在每個 AWS 帳戶上個別啟用?
GuardDuty 執行期監控必須在每個帳戶進行啟用。如果您在 Amazon GuardDuty 多帳戶組態中執行,只需在 Amazon GuardDuty 管理員帳戶 GuardDuty 執行期監控主控台頁面進行一個步驟,即可為整個組織啟用該功能。這將針對所有個別成員帳戶中的所需工作負載啟用執行期監控。一旦為帳戶啟動,帳戶中的所有現有和未來選取的工作負載都會受到執行期威脅監控,而且不需要手動設定。
我可以修改在 Amazon EKS 或 Amazon ECS 中監控特定叢集的方式嗎?
GuardDuty 執行期監控可讓您選擇性地設定要監控哪些 Amazon EKS 叢集或 Amazon ECS 叢集以進行威脅偵測。您可藉由叢集層級的設定來選擇要監控哪些特定叢集以進行威脅偵測,或繼續使用帳戶層級設定來分別監控指定帳戶和區域中的所有 EKS 或 ECS 叢集。
使用 GuardDuty 執行期監控是否會影響執行 AWS 工作負載的效能或成本?
就跟所有需要主機代理程式的安全性、可觀測性和其他使用案例一樣,GuardDuty 安全代理程式會產生資源使用開銷。GuardDuty 安全代理程式採用輕量型設計,並受到 GuardDuty 的仔細監控,確保盡可能降低對涵蓋工作負載的使用率和成本影響。應用程式及安全團隊可使用精確的資源使用率指標,以利在 Amazon CloudWatch 中進行監控。
如果您將 GuardDuty 執行期監控設定為自動部署 GuardDuty 安全代理程式,這可能會產生額外的資源使用率,而且也會在用來執行 AWS 工作負載的 VPC 中建立 VPC 端點。
如果我不使用 Amazon EKS、Amazon ECS 或 Amazon EC2,並為其中一個工作負載開啟 GuardDuty 執行期監控,這樣會產生 GuardDuty 執行期監控費用嗎?
如果您針對未執行的工作負載啟用 GuardDuty 執行期監控,將不會產生任何 GuardDuty 執行期監控費用。但是,當您開始使用 Amazon EKS、Amazon ECS 或 Amazon EC2,並為該工作負載啟用 GuardDuty 執行期監控時,GuardDuty 會自動監控您的叢集、任務和執行個體並在產生已識別問題的調查結果時向您收費。
如何停用 GuardDuty 執行期監控?
您可以在 GuardDuty 主控台的「執行期監控」頁面中,針對 AWS 帳戶或組織停用 GuardDuty 執行期監控。如果安全代理程式是由 GuardDuty 自動部署,則在停用功能時,GuardDuty 也會移除安全代理程式。
如果您選擇手動部署 GuardDuty 代理程式 (僅適用於 EKS 執行期監控和 EC2 執行期監控),則需要手動移除該代理程式,並且必須手動刪除建立的任何 VPC 端點。手動移除 EKS 執行期監控和 EC2 執行期監控的步驟詳述於 GuardDuty 使用者指南中。
Amazon GuardDuty Malware Protection
Amazon GuardDuty 惡意軟體防護如何運作?
Amazon EBS 資料磁碟區:如果您已為 Malware Protection 啟用此資料來源,則 GuardDuty 在識別指示 Amazon EC2 執行個體或容器工作負載中存在惡意軟體的可疑行為時,會開始進行惡意軟體偵測掃描。它會掃描 Amazon GuardDuty 根據您的 Amazon EBS 磁碟區快照產生的複本 Amazon EBS 磁碟區,以查找特洛伊木馬、蠕蟲、加密礦工、Rootkit、機器人等。Amazon GuardDuty Malware Protection 會產生內容相關調查結果,能夠協助驗證可疑行為的來源。這些調查結果還可傳送至適當的管理員並啟動自動修復。
S3 物件掃描:設定儲存貯體以進行惡意軟體防護後,GuardDuty 會自動掃描新上傳的檔案,如果偵測到惡意軟體,便會產生 Amazon EventBridge 通知提供有關惡意軟體的詳細資訊,從而允許與現有安全事件管理或工作流程系統整合。您可以設定為將物件移至帳戶中的隔離儲存貯體,以自動隔離惡意軟體,或使用物件標籤新增掃描結果的處理方式,以便根據標籤更好地識別掃描物件並分類。
哪些 Amazon EC2 的 GuardDuty 調查結果類型會啟動惡意軟體掃描?
如需會啟動惡意軟體掃描的 Amazon EC2 相關 GuardDuty 調查結果詳細資料,請參閱 GuardDuty 使用者指南。
Amazon GuardDuty Malware Protection 可以掃描哪些資源和檔案類型?
Malware Protection 支援透過掃描連接至 Amazon EC2 執行個體的 Amazon EBS,來偵測惡意檔案。可在 GuardDuty 使用者指南中找到支援的檔案系統類型。
適用於 S3 的 Malware Protection 可利用 GuardDuty 的惡意程式掃描引擎,掃描屬於大多數同步 S3 儲存類別的檔案,例如 S3 標準、S3 智慧分層、S3 標準 IA、S3 單區域 IA 和 Amazon S3 Glacier Instant Retrieval。 此功能將掃描已知用於傳播或包含惡意軟件的檔案格式,包括可執行檔,.pdf 檔案,封存,二進位檔案,封裝檔案,指令碼,安裝程式,電子郵件資料庫,純文字電子郵件,映像和編碼物件。
Amazon GuardDuty Malware Protection 可以偵測哪些類型的威脅?
Malware Protection 可掃描特洛伊木馬、蠕蟲、加密礦工、Rootkit、機器人等,這些可能會被用於入侵工作負載、將資源重新用於惡意用途,以及未經授權存取資料。
如需調查結果類型的完整清單,請參閱 GuardDuty 使用者指南。
是否需要開啟日誌記錄,才能使 Amazon GuardDuty Malware Protection 運作?
Amazon GuardDuty 或 Malware Protection 功能無需啟用服務日誌記錄即可運作。Malware Protection 功能是 Amazon GuardDuty 的一部分,Amazon GuardDuty 是一項 AWS 服務,使用來自整合的內部和外部來源的情報。
Amazon GuardDuty Malware Protection 如何在沒有代理程式的情況下完成掃描?
Amazon GuardDuty Malware Protection 不使用安全代理程式,而是根據連接至您帳戶中可能受感染的 Amazon EC2 執行個體或容器工作負載的 Amazon EBS 磁碟區的快照,來建立和掃描複本。您透過服務連結角色授予 Amazon GuardDuty 的許可,允許該服務透過保留在您帳戶中的快照,在 GuardDuty 的服務帳戶中建立加密磁碟區複本。Amazon GuardDuty Malware Protection 隨後會掃描磁碟區複本,以查找惡意軟體。
對於 Amazon S3 中的物件,GuardDuty 會開始讀取、解密和掃描上傳到您已設定為 GuardDuty Malware Protection 的儲存貯體中的物件。您可以定義僅掃描特定前綴的物件,以限制要掃描儲存貯體中的物件範圍。GuardDuty 會掃描上傳與這些定義前綴相符的物件,並產生安全性調查結果和 Amazon EventBridge 通知,其中包含詳細掃描結果:受感染、清除、跳過或失敗。通知還將包含與掃描物件數目和位元組相關的掃描測量結果。您也可以定義 GuardDuty 將根據掃瞄結果對物件執行的掃描後動作,例如自動隔離或物件標記。
是否可以免費試用 Amazon GuardDuty Malware Protection?
是,每個區域的每個新的 GuardDuty 帳戶都會獲得 30 天免費試用 GuardDuty,包括 Malware Protection 功能 (僅適用於啟用 GuardDuty 的 EBS 資料磁碟區掃描;適用於 Amazon S3 的 GuardDuty Malware Protection 沒有免費試用版)。現有 Amazon GuardDuty 帳戶首次在帳戶中啟用 Malware Protection 時,可免費享受 30 天試用期。在試用期間,您可以在 Amazon GuardDuty 主控台用量頁面中,檢視試用後的成本估算。如果您是 Amazon GuardDuty 管理員,您將能夠查看成員帳戶的估算成本。30 天後,您可以在 AWS 帳單主控台中,查看此功能的實際成本。
如果我目前正在使用 Amazon GuardDuty,如何開始使用 GuardDuty Malware Protection?
您可以前往 Malware Protection 頁面或使用 API,在 Amazon GuardDuty 主控台中啟用 Malware Protection。如果在 Amazon GuardDuty 多帳戶組態中運作,您可以在整個組織中,透過 Amazon GuardDuty 管理員帳戶的 Malware Protection 主控台頁面啟用該功能。這會啟用對所有個別成員帳戶中惡意軟體的監控。針對使用 AWS Organizations 自動啟用功能建立的 Amazon GuardDuty 帳戶,您需要明確啟用 Malware Protection 選項自動啟用。
針對適用於 S3 的 Malware Protection,您可以按照兩個步驟將惡意軟體掃描整合到應用程式中。首先,身為應用程式擁有者,您需要在要監控的儲存貯體上設定儲存貯體保護組態。您可以在 GuardDuty 主控台中以程式設計的方式為現有儲存貯體進行設定,或在建立新儲存貯體時加以設定。GuardDuty 會針對每個受保護的 S3 儲存貯體傳送掃瞄測量結果至 EventBridge 事件,讓您設定警示並定義掃瞄後動作,例如將物件標記或將惡意物件複製到 GuardDuty 將根據掃瞄結果執行的隔離儲存貯體。如果您的帳戶啟用了 GuardDuty,則在 GuardDuty 中也會產生安全性調查結果。
如果我是 Amazon GuardDuty 的新使用者,是否會預設為我的帳戶啟用適用於 EC2 的 Malware Protection?
是,對於使用主控台或 API 啟用 Amazon GuardDuty 的任何新帳戶,也預設會啟用 Amazon GuardDuty Malware Protection (適用於 EBS 資料磁碟區掃描)。針對使用 AWS Organizations 自動啟用功能建立的新 Amazon GuardDuty 帳戶,您需要明確啟用 Malware Protection 選項自動啟用。
如何停用 Amazon GuardDuty Malware Protection?
您可以在主控台中或使用 API 停用該功能。您將在 Malware Protection 主控台頁面的 Amazon GuardDuty 主控台中,看到為您的帳戶停用 Malware Protection 的選項。如果您有 Amazon GuardDuty 管理員帳戶,您還可以為您的成員帳戶停用 Malware Protection。
如果停用 Amazon GuardDuty Malware Protection,如何再次啟用?
如果停用了 Malware Protection,您可以在主控台中或使用 API 啟用該功能。您可以在 Amazon GuardDuty 主控台的 Malware Protection 主控台頁面,為您的帳戶啟用 Malware Protection。
如果在計費期間未執行 Amazon GuardDuty 惡意軟體掃描,是否會產生任何費用?
否,如果在計費期間沒有對 Malware Protection 進行掃描,則不會對 Malware Protection 收取任何費用。您可以在 AWS 帳單主控台中檢視此功能的成本。
Amazon GuardDuty Malware Protection 是否支援多帳戶管理?
是,Amazon GuardDuty 具備多帳戶管理功能,可讓您將單一管理員帳戶中的多個 AWS 帳戶建立關聯並加以管理。Amazon GuardDuty 透過 AWS Organizations 整合進行多帳戶管理。這種整合有助於安全與合規團隊確保在組織的所有帳戶中全面啟用 Amazon GuardDuty,包括 Malware Protection。
我是否需要進行任何組態變更、部署任何軟體或修改 AWS 部署,才能開始使用適用於 EC2 的 Malware Protection?
否。啟用該功能後,GuardDuty Malware Protection 將啟動惡意軟體掃描,以對相關 Amazon EC2 調查結果做出回應。您不必部署任何代理程式,無需啟用日誌來源,也不用做出任何其他組態變更。
使用 Amazon GuardDuty Malware Protection 是否會影響執行工作負載的效能?
Amazon GuardDuty Malware Protection 的設計並未對工作負載的效能造成影響。例如,針對惡意軟體分析建立的 Amazon EBS 磁碟區快照,只能在 24 小時內產生一次,而 Amazon GuardDuty Malware Protection 會在完成掃描後將加密的複本和快照保留幾分鐘。此外,Amazon GuardDuty Malware Protection 使用 GuardDuty 運算資源而非客戶運算資源進行惡意軟體掃描。
是否必須在每個 AWS 區域個別啟用 GuardDuty Malware Protection?
是,Amazon GuardDuty 是一項區域服務,必須在每個 AWS 區域單獨啟用 Malware Protection。
Amazon GuardDuty Malware Protection 如何使用加密?
Amazon GuardDuty Malware Protection 根據連接至您帳戶中可能受感染的 Amazon EC2 執行個體或容器工作負載的 Amazon EBS 磁碟區快照來掃描複本。如果您的 Amazon EBS 磁碟區使用客戶受管金鑰進行加密,您可以選擇與 Amazon GuardDuty 共用您的 AWS Key Management Service (KMS) 金鑰,並且服務使用相同的金鑰來加密複本 Amazon EBS 磁碟區。針對未加密的 Amazon EBS 磁碟區,Amazon GuardDuty 使用自己的金鑰來加密複本 Amazon EBS 磁碟區。
Amazon EBS 磁碟區複本是否會在與原始磁碟區相同的區域中進行分析?
是,所有複本 Amazon EBS 磁碟區資料 (以及複本磁碟區以此為基礎的快照) 都與原始 Amazon EBS 磁碟區位於同一區域。
如何估算和控制 Amazon GuardDuty Malware Protection 的支出?
每個區域的每個新的 GuardDuty 帳戶都會獲得 30 天免費試用 GuardDuty,包括 Malware Protection 功能 (僅適用於由 GuardDuty 啟動的 EBS 資料磁碟區掃描;適用於 Amazon S3 的 Malware Protection 沒有免費試用版)。現有 Amazon GuardDuty 帳戶首次在帳戶中啟用 Malware Protection 時,可免費享受 30 天試用期。在試用期間,您可以在 Amazon GuardDuty 主控台用量頁面中,進行試用後的成本估算。如果您是 Amazon GuardDuty 管理員,您將能夠查看成員帳戶的估算成本。30 天後,您可以在 AWS 帳單主控台中,查看此功能的實際成本。
EBS 磁碟區的惡意軟體掃描的定價是根據磁碟區中掃描的資料 GB 數。您可以使用主控台中的掃描選項來套用自訂項,以標記某些 Amazon EC2 執行個體,使用標籤以包括或排除掃描,從而控制成本。此外,Amazon GuardDuty 每 24 小時只會掃描一次 Amazon EC2 執行個體。如果 Amazon GuardDuty 在 24 小時內針對一個 Amazon EC2 執行個體產生多個 Amazon EC2 調查結果,則只會對第一個相關的 Amazon EC2 調查結果進行掃描。舉例來說,如果 Amazon EC2 調查結果在最後一次惡意軟體掃描後 24 小時後繼續,則針對該執行個體啟動新的惡意軟體掃描。
S3 儲存貯體中儲存物件的惡意程式掃描定價是根據掃描的資料 GB 數,以及在設定為惡意程式掃描的指定 S3 儲存貯體中掃描的檔案數目而定。GuardDuty 只會掃描新上傳的檔案到已設定的儲存貯體中,不會掃描未指定惡意軟體掃描的現有檔案或儲存貯體中檔案。
是否可以保留 GuardDuty Malware Protection 拍攝的 Amazon EBS 快照?
是,當 Malware Protection 掃描偵測到惡意軟體時,您可以啟用快照保留設定。您可以從 Amazon GuardDuty 主控台的「設定」頁面啟用此設定。依預設,快照會在掃描完成幾分鐘後刪除,如果掃描未完成,則會在 24 小時後刪除。
依預設,複本 Amazon EBS 磁碟區的最長保留時間是多少?
Amazon GuardDuty Malware Protection 將保留其產生和掃描的每個複本 Amazon EBS 磁碟區長達 24 小時。預設會在 GuardDuty Malware Protection 完成掃描後幾分鐘內刪除複本 Amazon EBS 磁碟區。但是,在某些情況下,如果服務中斷或連線問題干擾其惡意軟體掃描,Amazon GuardDuty Malware Protection 可能需要保留複本 Amazon EBS 磁碟區超過 24 小時。發生這種情況時,Amazon GuardDuty Malware Protection 將保留複本 Amazon EBS 磁碟區最多 7 天,以便服務有時間進行分類並解決中斷或連線問題。Amazon GuardDuty Malware Protection 將在解決中斷或故障後,或在延長的保留期過後刪除複本 Amazon EBS 磁碟區。
單一 Amazon EC2 執行個體或容器工作負載的多個 Amazon GuardDuty 調查結果表明可能存在惡意軟體,這是否會啟動多個惡意軟體掃描?
否,Amazon GuardDuty 會根據連接至可能受感染的 Amazon EC2 執行個體或容器工作負載的 Amazon EBS 磁碟區快照,每 24 小時只會掃描一次複本。即使 Amazon GuardDuty 產生了多個符合啟動惡意軟體掃描條件的調查結果,如果距上次掃描不到 24 小時,也不會啟動其他掃描。如果 Amazon GuardDuty 在上次惡意軟體掃描 24 小時後產生符合條件的問題清單,Amazon GuardDuty Malware Protection 則會為該工作負載啟動新的惡意軟體掃描。
如果我停用 Amazon GuardDuty,是否還必須停用 Malware Protection 功能?
否,停用 Amazon GuardDuty 服務也會停用 Malware Protection 功能。
我是否需要啟用 GuardDuty 才能使用適用於 Amazon S3 的 GuardDuty Malware Protection?
否,GuardDuty S3 Malware Protection 提供彈性,讓應用程式擁有者可為其 S3 儲存貯體設定 Malware Protection,即使帳戶未啟用基礎 GuardDuty。Base GuardDuty 包括基礎來源的預設監控,例如 AWS CloudTrail 管理事件、VPC 流程記錄日誌和 DNS 查詢記錄。
GuardDuty RDS Protection
Amazon GuardDuty RDS Protection 如何運作?
只需在 Amazon GuardDuty 主控台執行單一動作,即可開啟 Amazon GuardDuty RDS Protection,無需手動部署代理程式,無需開啟資料來源,也無需設定許可。GuardDuty RDS Protection 使用量身定製的 ML 模型,首先分析和剖析對現有和全新 Amazon Aurora 資料庫的登入嘗試。當識別已知惡意人士的可疑行為或嘗試時,Amazon GuardDuty 會向 Amazon GuardDuty 和 Amazon Relational Database Service (RDS) 主控台、Security Hub 和 Amazon EventBridge 發佈可操作的安全調查結果,從而允許與現有安全事件管理或工作流程系統整合。 進一步了解 GuardDuty RDS Protection 如何使用 RDS 登入活動監控。
如果我目前正在使用 Amazon GuardDuty,我該如何開始對 Amazon Aurora 資料庫進行威脅偵測?
針對目前的 GuardDuty 帳戶,可從 RDS Protection 頁面上的 GuardDuty 主控台或透過 API 啟用該功能。 進一步了解 GuardDuty RDS Protection。
如果我是 Amazon GuardDuty 的新使用者,我的帳戶是否預設會啟用 Amazon Aurora 資料庫的威脅偵測?
是。對於透過主控台或 API 啟用 Amazon GuardDuty 的任何新帳戶,也預設會開啟 RDS Protection。使用 AWS Organizations 自動啟用功能建立的新 Amazon GuardDuty 帳戶不會開啟 RDS Protection,除非開啟 RDS 自動啟用選項。
是否可以在不啟用完整 GuardDuty 服務 (包括 Amazon Virtual Private Cloud (Amazon VPC) 流程日誌分析、DNS 查詢日誌和 AWS CloudTrail 管理事件) 的情況下,使用 GuardDuty RDS Protection?
否,必須啟用 Amazon GuardDuty 服務,才能使用 Amazon GuardDuty RDS Protection。
GuardDuty RDS Protection 是否會在目前提供 GuardDuty 的所有區域開放使用?
如需可使用 RDS Protection 的區域完整清單,請瀏覽區域特定功能可用性。
Amazon GuardDuty RDS Protection 支援哪些 Amazon Aurora 版本?
請參閱支援的 Amazon Aurora 資料庫版本清單。
使用 Amazon GuardDuty RDS Protection 是否會影響執行 Amazon Aurora 資料庫的效能或成本?
否,適用於 Amazon Aurora 資料庫的 Amazon GuardDuty 威脅偵測旨在不對您的 Amazon Aurora 資料庫產生效能、可用性或成本影響。
GuardDuty Lambda Protection
Amazon GuardDuty Lambda Protection 功能如何運作?
GuardDuty Lambda Protection 會持續監控網路活動,由 VPC Flow Logs 開始從您的無伺服器工作負載中偵測威脅,例如 Lambda 函數被惡意重新利用於未經授權的加密貨幣挖礦的功能,或是與已知威脅發動者伺服器通訊的遭入侵 Lambda 函數。可透過 GuardDuty 主控台中的幾個步驟啟用 GuardDuty Lambda Protection,而使用 AWS Organizations 則可集中為組織中的所有現有帳戶和新帳戶啟用。啟用後,它會自動開始監控帳戶中所有現有和新的 Lambda 函數網路活動資料。
如果我目前正在使用 GuardDuty,如何開始使用 GuardDuty Lambda Protection?
針對目前的 GuardDuty 帳戶,可從 Lambda Protection 頁面上的 GuardDuty 主控台或透過 API 啟用該功能。 進一步了解 GuardDuty Lambda Protection。
如果我是 GuardDuty 的新使用者,是否會預設為我的帳戶啟用 GuardDuty Lambda Protection?
是。對於透過主控台或 API 啟用 Amazon GuardDuty 的任何新帳戶,也預設會開啟 Lambda Protection。依預設,使用 AWS Organizations 自動啟用功能建立的新 Amazon GuardDuty 帳戶不會啟用 Lambda Protection,除非開啟 Lambda 自動啟用選項。
GuardDuty Lambda Protection 是否會在目前提供 GuardDuty 的所有區域開放使用?
如需可使用 Lambda Protection 的區域完整清單,請瀏覽區域特定可用功能。
使用 GuardDuty Lambda Protection 是否會影響執行 Lambda 工作負載的效能或成本?
否,GuardDuty Lambda Protection 的設計目的在於不會對您的 Lambda 工作負載產生效能、可用性或成本影響。