Amazon GuardDuty 是AWS 提供的威脅偵測服務,旨在透過持續監控和分析AWS 環境中的活動,識別並優先處理惡意行為和未經授權的存取。它利用機器學習、異常偵測和整合威脅情報來發現潛在威脅,幫助企業及時回應安全事件,保護AWS 帳戶和工作負載。
GuardDuty 的工作原理
GuardDuty 主要透過分析以下資料來源進行威脅偵測:
- CloudTrail 事件日誌
- VPC 流日誌
- DNS 查詢日誌
它會自動聚合這些數據,並根據優先順序(高、中、低)對威脅進行排序。 GuardDuty 主要偵測的威脅類別包括:
- 偵察活動:如異常的API 呼叫、可疑的資料庫登入、連接埠掃描等。
- 實例洩漏:包括加密貨幣挖礦、命令控制活動、惡意軟體等跡象。
- 帳號洩露:如非典型地點的API 呼叫、禁用CloudTrail 等行為。
- 儲存桶洩露:監控Amazon S3 上的異常資料存取和未經授權的存取。
- 惡意軟體偵測:偵測EC2 執行個體或容器中的惡意軟體,包括勒索軟體和加密礦工。
- 容器洩漏:透過監控EKS 和ECS,偵測容器化工作負載中的異常行為。
主要優勢
- 持續威脅偵測:透過機器學習和異常偵測快速發現威脅,並提供低、中、高優先警報,幫助加速回應。
- 容器安全:針對Amazon EKS 和ECS 提供全面的容器安全解決方案。
- 自動化回應:與AWS Security Hub 和CloudWatch 等服務集成,自動化安全回應。
- 惡意軟體防護:監控S3 儲存桶上傳的惡意軟體並自動掃描EBS 卷,增強防護。
- 合規支持:支援多種合規性標準(如PCI DSS),幫助企業滿足安全合規要求。
GuardDuty 保護計劃
GuardDuty 提供多種保護計劃,包括監控EKS 稽核日誌、RDS 登入活動、CloudTrail 資料事件等。首次啟用時,GuardDuty 會自動啟用所有保護計畫(除S3 惡意軟體防護外),您還可以透過控制台或API 開啟額外功能。
定價模型
GuardDuty 採用按需計費方式,費用根據以下因素計算:
- 分析的數據量:包括CloudTrail 事件日誌、VPC 流日誌、Route 53 DNS 查詢日誌等。
- 附加功能:如S3 資料事件、EKS 稽核日誌、EBS 磁碟區惡意軟體掃描等。
在30天免費試用期間,您可以透過控制台查看預估費用。試用期結束後,您可以透過AWS 帳單管理控制台監控和管理費用。
與其他AWS 服務的集成
GuardDuty 可與多種AWS 安全服務集成,增強安全防護:
- AWS Security Hub:自動將GuardDuty 偵測到的安全事件匯總至Security Hub,集中管理安全警報。
- Amazon Detective:與Detective 集成,提供可視化分析,幫助您深入調查潛在威脅。
- AWS Macie:與Macie 合作,Macie 專注於資料隱私保護,而GuardDuty 提供威脅偵測,協同工作幫助保護敏感資料。
常見問題
1.GuardDuty 與Macie 有何不同?
- GuardDuty 專注於持續的威脅偵測,協助識別惡意活動和未經授權的行為。
- Macie 專注於資料隱私和安全,使用機器學習來發現並保護儲存在S3 儲存桶中的敏感資料。
2.安全等級如何運作?
- 高:顯示有嚴重的安全威脅,需要立即回應和補救。
- 中:可能存在入侵行為,建議盡快調查。
- 低:可能是潛在的威脅,記錄事件並採取適當的安全措施。
AWS 代理商的優勢
作為AWS 授權代理商,我們提供全面的AWS GuardDuty 配置和最佳化服務。透過深度整合AWS 安全工具,我們協助企業在最短時間內發現潛在威脅並採取補救措施,提升整體安全性。我們的專家團隊可以根據企業的具體需求客製化解決方案,確保雲端環境的安全可靠。
总结
Amazon GuardDuty 是AWS 強大的安全服務,專為持續威脅偵測、惡意活動監控和事件回應而設計。透過整合機器學習、異常偵測和第三方威脅情報,GuardDuty 可協助企業即時識別和應對安全威脅。透過AWS 代理商的專業支持,您可以更有效率地配置和管理GuardDuty,確保雲端環境的最大安全性。
