本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# GuardDuty 扩展威胁检测
<a name="guardduty-extended-threat-detection"></a>

GuardDuty 扩展威胁检测可自动检测跨越数据源、多种 AWS 资源类型和时间的多阶段攻击。 AWS 账户借助此功能，可以 GuardDuty专注于通过监视不同类型的数据源来观察到的多个事件的顺序。扩展威胁检测将这些事件关联起来，以识别可能对您的 AWS 环境构成潜在威胁的场景，然后生成攻击序列发现。

**Topics**
+ [攻击序列威胁场景示例](#extended-threat-detection-scenario-examples)
+ [工作原理](#extended-threat-detection-how-it-works)
+ [启用防护计划以最大限度地提高威胁检测能力](#extended-threat-detection-related-gdu-protection-plans)
+ [GuardDuty 控制台中的扩展威胁检测](#extended-threat-detection-in-guardduty-console)
+ [了解和管理攻击序列调查发现](#extended-threat-detection-understanding-attack-sequence-findings)
+ [其他资源](#guardduty-extended-threat-detection-additional-resources)

## 攻击序列威胁场景示例
<a name="extended-threat-detection-scenario-examples"></a>

扩展威胁检测涵盖的威胁场景包括与 AWS 证书滥用相关的泄露、Amazon S3 存储桶中的数据泄露尝试以及 Amazon EKS 集群中的容器和 Kubernetes 资源泄露。单个调查发现可以涵盖整个攻击序列。例如，以下列表描述了 GuardDuty 可能检测到的场景：

**示例 1- AWS 凭证和 Amazon S3 存储桶数据泄露**  
+ 威胁行为者未经授权访问计算工作负载。
+ 然后，行为者执行了一系列操作，例如提升权限和建立持久化访问。
+ 最后，行为者从 Amazon S3 资源中窃取数据。

**示例 2：Amazon EKS 集群入侵**  
+ 威胁行为者试图利用 Amazon EKS 集群中某个容器应用程序。
+ 行为者使用该遭入侵的容器来获取特权服务账户令牌。
+ 然后，行为者利用这些提升的权限通过容器组身份访问敏感的 Kubernetes 机密或 AWS 资源。

由于相关威胁情景的性质，将所有情况都 GuardDuty [攻击序列调查发现类型](guardduty-attack-sequence-finding-types.md)视为**危急**。

下列视频演示了如何使用扩展威胁检测功能。

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/xLqGwoSaoPw/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/xLqGwoSaoPw)


## 工作原理
<a name="extended-threat-detection-how-it-works"></a>

当您在特定账户 GuardDuty 中启用Amazon时 AWS 区域，默认情况下还会启用扩展威胁检测。使用扩展威胁检测功能不会产生额外的费用。默认情况下，它将所有[基础数据来源](guardduty_data-sources.md)事件关联起来。但是，当您启用更多 GuardDuty 保护计划（例如 S3 保护、EKS 保护和运行时监控）时，这将通过扩大事件源的范围来打开其他类型的攻击序列检测。这将有助于实现更全面的威胁分析，并提升攻击序列的检测效能。有关更多信息，请参阅 [启用防护计划以最大限度地提高威胁检测能力](#extended-threat-detection-related-gdu-protection-plans)。

GuardDuty 关联多个事件，包括 API 活动和 GuardDuty 发现。这些事件都称为**信号**。有时，您的环境中可能存在一些事件，这些事件本身并不构成明显的潜在威胁。 GuardDuty 将它们称为*微弱*信号。借助扩展威胁检测， GuardDuty 可以识别一系列多项操作何时与潜在的可疑活动一致，并在您的账户中生成攻击序列发现结果。这些多重操作可能包括微弱的信号和您账户中已经发现的 GuardDuty 结果。

**注意**  
在关联攻击序列的事件时，扩展威胁检测功能不会考虑已存档的调查发现，包括那些根据[抑制规则](findings_suppression-rule.md)自动存档的调查发现。这样的机制可确保只有活跃且相关的信号才会被用于攻击序列检测。为确保您不受此影响，请查看您账户中现有的抑制规则。有关更多信息，请参阅 [在扩展威胁检测中使用隐藏规则](findings_suppression-rule.md#using-suppression-rules-with-extended-threat-detection)。

GuardDuty 还旨在识别您账户中潜在的正在进行或最近的攻击行为（在 24 小时滚动时间范围内）。例如，攻击可能始于行为者意外获得对计算工作负载的访问权限。然后，参与者将执行一系列步骤，包括枚举、权限升级和证书泄露。 AWS 这些凭证可能被用于进一步泄露或恶意访问数据。

## 启用防护计划以最大限度地提高威胁检测能力
<a name="extended-threat-detection-related-gdu-protection-plans"></a>

系统会自动为所有 GuardDuty 账户启用扩展威胁检测，默认情况下会评估来自该账户中启用的所有保护计划的信号。 GuardDuty [基础数据源](guardduty_data-sources.md)为多种攻击序列检测提供了重要信号。例如，通过基础威胁检测， GuardDuty 可以从 Amazon S3 上的 IAM 权限发现活动开始识别潜在的攻击序列 APIs，并检测随后的 S3 控制平面更改，例如使存储桶资源策略更加宽松的更改。但是，其他攻击序列需要高级信号，这些信号只能从高级保护计划中获得，例如运行时监控、 S3 保护和 EKS 审计日志监控。

**Topics**
+ [在 Amazon EKS 集群中检测攻击序列](#extended-threat-detection-eks-clusters)
+ [检测 Amazon S3 存储桶中的攻击序列](#extended-threat-detection-s3-buckets)
+ [检测 Amazon ECS 集群中的攻击序列](#extended-threat-detection-ecs-clusters)
+ [检测 Amazon EC2 实例组中的攻击序列](#extended-threat-detection-ec2-instances)

### 在 Amazon EKS 集群中检测攻击序列
<a name="extended-threat-detection-eks-clusters"></a>

GuardDuty 将 EKS 审核日志、进程的运行时行为和 AWS API 活动中的多个安全信号关联起来，以检测复杂的攻击模式。要享受针对 EKS 的扩展威胁检测功能带来的优势，您必须至少启用以下其中一项功能：EKS 防护或运行时监控（搭配 EKS 插件）。EKS 防护功能会通过审计日志监控控制面板活动，而运行时监控则会观察容器内的行为。

为了最大限度地提高覆盖范围和全面的威胁检测， GuardDuty 建议同时启用这两个保护计划。它们共同创建了您的 EKS 集群的完整视图，从而 GuardDuty 能够检测复杂的攻击模式。例如，它可以识别特权容器的异常部署（通过 EKS Protection 检测到），然后在该容器内进行持久化尝试、加密挖掘和反向 shell 创建（使用运行时监控检测到）。 GuardDuty 将这些相关事件表示为一个名为 “临界严重性” 的调查结果。[AttackSequence:EKS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-eks-compromised-cluster)启用这两个防护计划后，攻击序列调查发现会涵盖以下威胁场景：
+ 运行易受攻击的 Web 应用程序的容器遭到入侵
+ 通过错误配置的凭证进行未经授权的访问
+ 试图提升权限
+ 可疑 API 请求
+ 试图恶意访问数据

以下列表详细说明单独启用各专项防护计划时的检测能力：

**EKS 保护**  
启用 EKS 保护可以 GuardDuty 检测涉及 Amazon EKS 集群控制平面活动的攻击序列。这 GuardDuty 允许关联 EKS 审核日志和 AWS API 活动。例如， GuardDuty 可以检测攻击序列，即攻击者试图未经授权访问集群密钥、修改 Kubernetes 基于角色的访问控制 (RBAC) 权限并创建特权 pod。有关启用此防护计划的更多信息，请参阅 [EKS 保护](kubernetes-protection.md)。

**适用于 Amazon EKS 的运行时监控**  
为 Amazon EKS 集群启用运行时监控功能可通过容器级可见性增强 EKS 攻击序列检测。 GuardDuty 这有助于 GuardDuty 检测潜在的恶意进程、可疑的运行时行为和潜在的恶意软件执行情况。例如， GuardDuty 可以检测到容器开始表现出可疑行为的攻击序列，例如加密采矿进程或与已知恶意端点建立连接。有关启用此防护计划的更多信息，请参阅 [运行时监控](runtime-monitoring.md)。

如果您未启用 EKS 保护或运行时监控， GuardDuty 将无法生成个人[EKS 防护调查发现类型](guardduty-finding-types-eks-audit-logs.md)或[运行时监控调查发现类型](findings-runtime-monitoring.md)。因此， GuardDuty 将无法检测到涉及相关发现的多阶段攻击序列。

### 检测 Amazon S3 存储桶中的攻击序列
<a name="extended-threat-detection-s3-buckets"></a>

启用 S3 保护可以 GuardDuty 检测攻击序列，这些攻击序列涉及企图泄露您的 Amazon S3 存储桶中的数据。如果没有 S3 保护， GuardDuty 则可以检测您的 S3 存储桶资源策略何时变得过于宽松。启用 S3 保护后， GuardDuty 可以检测在 S3 存储桶变得过于宽松后可能发生的潜在数据泄露活动。

如果未启用 S3 保护， GuardDuty 将无法生成个人[S3 防护调查发现类型](guardduty_finding-types-s3.md)。因此， GuardDuty 将无法检测到涉及相关发现的多阶段攻击序列。有关启用此防护计划的更多信息，请参阅 [S3 防护](s3-protection.md)。

### 检测 Amazon ECS 集群中的攻击序列
<a name="extended-threat-detection-ecs-clusters"></a>

GuardDuty 可以识别攻击序列，例如恶意进程、与恶意端点的连接或 ECS 容器内的加密挖掘行为。通过关联网络活动、进程运行时行为和 AWS API 活动中的各种信号， GuardDuty 可以识别单个检测可能漏掉的复杂攻击模式，并绘制出完整的攻击向量。

GuardDuty 将这些相关事件表示为一个名为 “临界严重性” 的调查结果。`AttackSequence:ECS/CompromisedCluster`攻击序列发现涵盖以下威胁场景：
+ 运行易受攻击的服务的容器遭到入侵
+ 未经授权执行可疑工具、恶意软件或加密采矿进程
+ 试图提升权限
+ 与可疑端点通信

**重要**  
ECS 的扩展威胁检测需要对 Fargate 或 EC2 进行运行时监控，具体取决于您的 ECS 基础设施类型。运行时监控可观察在 Fargate 和 EC2 实例上运行的 ECS 容器内的行为。不支持托管 EC2 实例上的 ECS。

### 检测 Amazon EC2 实例组中的攻击序列
<a name="extended-threat-detection-ec2-instances"></a>

GuardDuty 可以识别影响具有共同属性（例如 Auto Scaling 组、IAM 实例配置文件、启动模板、 CloudFormation 堆栈、AMI 或 VPC ID）的单个实例或实例组的攻击序列。这些实例可能表现出可疑行为，例如恶意进程、与恶意终端节点的连接、加密挖掘或 EC2 实例证书的异常使用。

攻击序列发现可检测到以下威胁场景：
+ 运行易受攻击的服务的实例遭到入侵
+ 使用通过 IMDS 获得的 Amazon EC2 实例凭证，这些证书是在证书发放给的 AWS 账户之外的
+ 用作代理、扫描或拒绝服务等攻击的基础设施
+ 未经授权执行可疑工具、恶意软件或加密采矿进程
+ 与可疑端点通信

扩展威胁检测有助于识别这些威胁。 GuardDuty 将这些相关事件表示为一个名为 “临界严重性” 的调查结果。`AttackSequence:EC2/CompromisedInstanceGroup`

要增强 EC2 的扩展威胁检测检测功能，请启用运行时监控。Foundational GuardDuty（用于监控 CloudTrail 和网络活动）和运行时监控（用于观察实例内的进程行为和系统调用）相结合，可提供更全面的威胁检测。这种集成监控 GuardDuty 允许检测复杂的攻击序列，例如通过错误配置的凭据进行未经授权的访问、权限升级尝试以及对敏感数据的未经授权的访问。通过关联这些不同的信号， GuardDuty 可以识别单个检测可能漏掉的复杂攻击模式，并绘制出完整的攻击向量。

## GuardDuty 控制台中的扩展威胁检测
<a name="extended-threat-detection-in-guardduty-console"></a>

默认情况下， GuardDuty 控制台中的扩展威胁检测页面将**状态**显示为**已启用**。通过基础威胁检测，状态表示 GuardDuty 可以检测潜在的攻击序列，该序列涉及 Amazon S3 上的 IAM 权限发现活动 APIs 并检测后续的 S3 控制平面更改。

使用以下步骤在 GuardDuty 控制台中访问 “扩展威胁检测” 页面：

1. 您可以通过以下网址打开 GuardDuty 控制台[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

1. 在左侧导航窗格中，选择**扩展威胁检测**。

   本页展示有关扩展威胁检测覆盖的威胁场景详细信息。

1. 在**扩展威胁检测**页面上，查看**相关防护计划**部分。如果您**想**启用专用防护计划以增强账户中的威胁检测覆盖范围，请选择相应防护计划的**配置**选项。

## 了解和管理攻击序列调查发现
<a name="extended-threat-detection-understanding-attack-sequence-findings"></a>

攻击序列的发现与您账户中的其他 GuardDuty 发现结果一样。您可以在 GuardDuty 控制台的 “**调查结果**” 页面上查看它们。有关查看调查发现的信息，请参阅 [ GuardDuty控制台中的调查结果页面](guardduty_working-with-findings.md)。

与其他 GuardDuty 发现类似，攻击序列结果也会自动发送到 Amazon EventBridge。根据您的设置，攻击序列调查发现也会导出到发布目标（Amazon S3 存储桶）。要设置新的发布目标或更新现有的发布目标，请参阅[将生成的调查发现导出到 Amazon S3](guardduty_exportfindings.md)。

## 其他资源
<a name="guardduty-extended-threat-detection-additional-resources"></a>

请查看以下章节，进一步了解攻击序列：
+ 了解了扩展威胁检测和攻击序列后，您可以按照[示例发现结果](sample_findings.md)中的步骤生成攻击序列调查发现类型示例。
+ 了解 [攻击序列调查发现类型](guardduty-attack-sequence-finding-types.md)。
+ 查看调查发现并探索与[攻击序列调查发现详细信息](guardduty_findings-summary.md#guardduty-extended-threat-detection-attack-sequence-finding-details)相关的调查发现详细信息。
+ 按照[修复调查发现](guardduty_remediate.md)中针对受影响资源的处理步骤，优先处理并解决攻击序列调查发现类型。