本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # Amazon 中的概念和关键术语 GuardDuty 在您开始使用Amazon时 GuardDuty,您可以从了解其概念和相关的关键术语中受益。 **Account** 包含您的 AWS 资源的标准亚马逊 Web Services (AWS) 账户。您可以使用您的帐户登录 AWS 并启用 GuardDuty。 您也可以邀请其他账户在中启用您的 AWS 账户 GuardDuty 并与之建立关联 GuardDuty。如果您的邀请被接受,则您的账户将被指定为**管理员 GuardDuty 账户**,添加的账户将成为您的**成员**账户。然后,您可以代表他们查看和管理这些账户的 GuardDuty 调查结果。 管理员账户的用户可以配置 GuardDuty 、查看和管理他们自己的账户和所有成员账户的 GuardDuty 调查结果。有关管理员账户可以管理的成员账户数量信息,请参阅 [GuardDuty 配额](guardduty_limits.md)。 成员账户的用户可以配置 GuardDuty 、查看和管理其账户中的 GuardDuty 调查结果(通过 GuardDuty 管理控制台或 GuardDuty API)。成员账户的用户不能查看或管理其他成员的账户中的结果。 AWS 账户 不能同时是 GuardDuty 管理员账户和成员账户。一个 AWS 账户 只能接受一个成员账户邀请。接受成员资格邀请是可选的。 有关更多信息,请参阅 [亚马逊有多个账户 GuardDuty](guardduty_accounts.md)。 **攻击序列** 攻击序列是多个事件的相关性,如上所述 GuardDuty,这些事件以与可疑活动模式相匹配的特定顺序发生。 GuardDuty 使用其[扩展威胁检测](guardduty-extended-threat-detection.md)功能来检测您账户中这些跨越基础数据源、 AWS 资源和时间轴的多阶段攻击。 以下列表简要解释了与攻击序列相关的关键术语: + **指标**:提供信息,说明为何一系列事件符合潜在可疑活动的特征。 + **信号** — 信号是指在您的账户中 GuardDuty 观察到的 API 活动或已经检测到的 GuardDuty 发现。通过关联您账户中按特定顺序观察到的事件, GuardDuty 可以识别攻击序列。 您的账户中存在未表明存在潜在威胁的事件。 GuardDuty 认为它们是**微弱**的信号。但是,当在特定序列中观察到微弱的信号和 GuardDuty 发现时,如果关联起来与潜在的可疑活动一致,则 GuardDuty 会生成攻击序列发现。 + **端点**:有关威胁行为者可能在攻击序列中使用的网络端点的信息。 **检测器** Amazon GuardDuty 是一项区域性服务。当你在特定的 GuardDuty 中启用时 AWS 区域,你 AWS 账户 就会与探测器 ID 相关联。这是一个长度为 32 个字符的字母数字 ID,在该区域中对您的账户是唯一的。例如,当你 GuardDuty 为不同地区的同一个账户启用时,你的账户将与不同的探测器 ID 相关联。detectorId 的格式为 `12abc34d567e8fa901bc2d34e56789f0`。 与管理 GuardDuty 调查结果和 GuardDuty服务有关的所有发现、账户和操作都使用探测器 ID 来运行 API 操作。 要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId` 在多账户环境中,成员账户的所有结果都会汇总到管理员账户的检测器中。 某些 GuardDuty 功能是通过探测器配置的,例如配置 CloudWatch 事件通知频率,以及启用或禁用 GuardDuty 要处理的可选保护计划。 **在 S3 中使用恶意软件防护 GuardDuty** 当您在已启用 S3 的账户中启用恶意软件防护时,S3 的恶意软件防护操作(例如启用、编辑和禁用受保护的资源)与检测器 ID 无关。 GuardDuty 如果您未启用 GuardDuty 并选择威胁检测选项 “适用于 S3 的恶意软件防护”,则不会为您的账户创建检测器 ID。 **基础数据来源** 一组数据的源或位置。检测 AWS 环境中未经授权或意外的活动。 GuardDuty 分析和处理来自 AWS CloudTrail 事件日志、 AWS CloudTrail 管理事件、S3 AWS CloudTrail 的数据事件、VPC 流日志、DNS 日志的数据,请参阅[GuardDuty 基础数据源](guardduty_data-sources.md)。 **功能** 为您的 GuardDuty 保护计划配置的功能对象有助于检测 AWS 环境中未经授权或意外的活动。每个 GuardDuty 保护计划都配置相应的功能对象来分析和处理数据。一些功能对象包括 EKS 审计日志、RDS 登录活动监控、Lambda 网络活动日志和 EBS 卷。有关更多信息,请参阅 [GuardDuty API 中保护计划的功能名称](guardduty-features-activation-model.md)。 **调查发现** 由 GuardDuty 发现的潜在安全问题。有关更多信息,请参阅 [了解并生成 Amazon GuardDuty 调查结果](guardduty_findings.md)。 调查结果显示在 GuardDuty 控制台中,并包含对安全问题的详细描述。您还可以通过调用[GetFindings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFindings.html)和 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html)API 操作来检索生成的调查结果。 您还可以通过 Amazon CloudWatch 活动查看您的 GuardDuty 发现。 GuardDuty CloudWatch 通过 HTTPS 协议将调查结果发送给亚马逊。有关更多信息,请参阅 [使用 Amazon 处理 GuardDuty 调查结果 EventBridge](guardduty_findings_eventbridge.md)。 **IAM 角色** 这是具有扫描 S3 对象所需权限的 IAM 角色。启用标记扫描对象后,IAM PassRole 权限有助于为扫描对象 GuardDuty 添加标签。 **恶意软件防护计划资源** 为存储桶启用 S3 的恶意软件防护后, GuardDuty 创建恶意软件防护计划资源。此资源与恶意软件防护计划 ID 相关联,后者是受保护存储桶的唯一标识符。使用恶意软件防护计划资源对受保护资源执行 API 操作。 **受保护的存储桶(受保护资源)** 如果您为 Amazon S3 存储桶启用 S3 恶意软件防护,且其保护状态变为**活动**,则该存储桶被视为已受保护。 GuardDuty 仅支持 S3 存储桶作为受保护资源。 **保护状态** 与您的恶意软件防护计划资源关联的状态。为存储桶启用 S3 恶意软件防护后,此状态代表您的存储桶设置是否正确。 **S3 对象前缀** 在 Amazon Simple Storage Service(Amazon S3)存储桶中可以使用前缀来整理存储。前缀是 S3 存储桶中对象的逻辑分组。有关更多信息,请参阅《Amazon S3 用户指南》中的[组织和列出对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/organizing-objects.html)**。 **扫描选项** 启用 GuardDuty 恶意软件保护后,它允许您指定要扫描或跳过哪些亚马逊 EC2 实例和亚马逊弹性块存储 (EBS) 卷。 EC2 此功能允许您将与您的 EC2 实例和 EBS 卷关联的现有标签添加到包含标签列表或排除标签列表中。系统会扫描与添加到包含标签列表的标签关联的资源是否存在恶意软件,而不会扫描那些添加到排除标签列表的资源。有关更多信息,请参阅 [使用用户定义的标签扫描选项](malware-protection-customizations.md#mp-scan-options)。 **快照保留** 启用 GuardDuty 恶意软件防护后,它会提供在 AWS 账户中保留 EBS 卷快照的选项。 EC2 GuardDuty 根据您的 EBS 卷的快照生成副本 EBS 卷。只有 EC2 扫描恶意软件防护在副本 EBS 卷中检测到恶意软件时,您才能保留 EBS 卷的快照。如果在副本 EBS 卷中未检测到恶意软件,则无论快照保留期设置如何, GuardDuty 都会自动删除 EBS 卷的快照。有关更多信息,请参阅 [快照保留](malware-protection-customizations.md#mp-snapshots-retention)。 **抑制规则** 利用禁止规则,您可以创建非常具体的属性组合来隐藏发现结果。例如,您可以通过 GuardDuty 筛选器定义规则,仅`Recon:EC2/Portscan`从特定 VPC 中运行特定 AMI 或带有特定 EC2 标签的实例自动存档。此规则将导致自动从满足条件的实例存档端口扫描结果。但是,它仍然允许在 GuardDuty 检测到这些实例进行其他恶意活动(例如加密货币挖矿)时发出警报。 GuardDuty 管理员账户中定义的禁止规则适用于 GuardDuty 成员账户。 GuardDuty 成员账户无法修改禁止规则。 使用抑制规则, GuardDuty 仍会生成所有调查结果。禁止规则可禁止显示发现结果,并保留所有活动的完整、不可变的历史记录。 通常,禁止规则用于隐藏已确定为环境中误报的发现结果,并减少低值发现结果带来的噪点,让您可以专注于处理较大的威胁。有关更多信息,请参阅 [中的抑制规则 GuardDuty](findings_suppression-rule.md)。 **可信 IP 列表** 可信 IP 地址列表,用于与您的 AWS 环境进行高度安全的通信。 GuardDuty 不会根据可信 IP 列表生成调查结果。有关更多信息,请参阅 [使用实体列表和 IP 地址列表自定义威胁检测](guardduty_upload-lists.md)。 **威胁 IP 列表** 已知恶意 IP 地址的列表。除了由于可能存在可疑活动而生成发现结果外, GuardDuty 还会根据这些威胁列表生成调查结果。有关更多信息,请参阅 [使用实体列表和 IP 地址列表自定义威胁检测](guardduty_upload-lists.md)。