本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# GuardDuty 基础数据源
GuardDuty 使用基础数据源来检测与已知恶意域和 IP 地址的通信,并识别潜在的异常行为和未经授权的活动。从这些源传输到时 GuardDuty,所有日志数据都经过加密。 GuardDuty 从这些日志源中提取各种字段以进行性能分析和异常检测,然后丢弃这些日志。
首次在某个区域启用 GuardDuty 时,将提供 30 天的免费试用期,其中包括对所有基础数据源的威胁检测。在此免费试用期间,您可以监控按每个基础数据来源细分的估计每月使用情况。作为委托 GuardDuty 管理员账户,您可以查看按属于您的组织并已启用的每个成员账户细分的每月估计使用费用 GuardDuty。30 天试用期结束后,您可以使用获取 AWS Billing 有关使用费用的信息。
从这些基础数据源 GuardDuty 访问事件和日志时,无需支付额外费用。
GuardDuty 在中启用后 AWS 账户,它会自动开始监视以下各节中介绍的日志源。您**无需**启用任何其他功能即可开始分析和处理这些数据源以生成相关的安全调查结果。 GuardDuty
**Topics**
+ [AWS CloudTrail 管理事件](#guardduty_controlplane)
+ [VPC 流日志](#guardduty_vpc)
+ [Route53 Resolver DNS 查询日志](#guardduty_dns)
## AWS CloudTrail 管理事件
AWS CloudTrail 为您提供账户的 AWS API 调用历史记录,包括使用、 AWS 软件开发工具包 AWS 管理控制台、命令行工具和某些 AWS 服务进行的 API 调用。 CloudTrail 还可以帮助您确定哪些用户和账户为支持的服务调用了 AWS API CloudTrail、调用调用的源 IP 地址以及调用调用的时间。有关更多信息,请参阅《AWS CloudTrail 用户指南》**中的[什么是 AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)。
GuardDuty 监视 CloudTrail 管理事件,也称为控制平面事件。这些事件可让您深入了解对中的资源执行的管理操作 AWS 账户。
以下是 GuardDuty 监控的 CloudTrail 管理事件的示例:
+ 配置安全性(IAM `AttachRolePolicy` API 操作)
+ 配置路由数据规则(Amazon EC2 `CreateSubnet` API 操作)
+ 设置日志记录(AWS CloudTrail `CreateTrail`API 操作)
启用后 GuardDuty,它会直接 CloudTrail通过独立且重复的事件流开始使用 CloudTrail 管理事件,并分析您的 CloudTrail 事件日志。
GuardDuty 不会管理您的 CloudTrail 事件或影响您的现有 CloudTrail 配置。同样,您的 CloudTrail 配置不会影响事件 GuardDuty 日志的使用和处理方式。要管理 CloudTrail 事件的访问和保留,请使用 CloudTrail 服务控制台或 API。有关更多信息,请参阅*《AWS CloudTrail 用户指南》*中的[使用 CloudTrail 事件历史查看事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
### 如何 GuardDuty 处理 AWS CloudTrail 全球事件
对于大多数 AWS 服务, CloudTrail 事件都记录在创建 AWS 区域 地点。对于诸如 AWS Identity and Access Management (IAM)、(AWS STS)、亚马逊简单存储服务 AWS Security Token Service (Amazon S3)、Amazon 和 A CloudFront mazon Route 53(Route 53)之类的全球服务,事件仅在事件发生的地区生成,但具有全球意义。
使用具有安全价值(例如网络配置或用户权限)的 CloudTrail [全球服务事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-concepts.html#cloudtrail-concepts-global-service-events) (GSE) 时,它会在您启 GuardDuty 用的每个区域复制这些事件并对其进行处理。 GuardDuty此行为有助于 GuardDuty 维护每个区域的用户和角色资料,这对于检测异常事件至关重要。
**注意**
对于从这些全球服务事件中生成的调查结果,结果中的区域值可能与 GuardDuty 创建检测的区域不同。例如,即使在不同的区域中 GuardDuty创建检测,查找结果也可能显示`us-east-1`为区域。
我们建议您在的 “所有 AWS 区域 可用” GuardDuty 中启用 AWS 账户。即使您没有在某些地区部署资源,启用也 GuardDuty 有助于保护您的账户免受潜在威胁。威胁行为者有可能通过全球服务(例如 IAM 或 Amazon CloudFront)发起攻击。 AWS STS他们可能会尝试创建未经授权的资源来利用您存在有限的区域。 GuardDuty 在您启用该服务的所有区域处理全球服务事件,包括默认区域和可选区域。这有助于 GuardDuty 检测您所在地区的潜在可疑活动 AWS 账户,包括您未积极使用资源的地区。
## VPC 流日志
Amazon VPC 的 VPC 流日志功能可捕获有关进出网络接口的 IP 流量信息,该网络接口附加至 AWS 环境中的 Amazon Elastic Compute Cloud(Amazon EC2)实例。
启用后 GuardDuty,它会立即开始分析来自您账户中的 Amazon EC2 实例的 VPC 流日志数据。 GuardDuty 通过独立且重复的流日志流使用这些数据。您无需在账户中创建或配置 VPC 流日志 GuardDuty 即可访问这些数据。此过程不会影响任何现有的流日志配置。
[Lambda 保护](lambda-protection.md)
Lambda 保护是亚马逊的一项可选增强功能。 GuardDuty目前,Lambda 网络活动监控包括来自您账户所有 Lambda 函数的 Amazon VPC 流日志,甚至包括那些不使用 VPC 网络的日志。为了保护您的 Lambda 函数免受潜在的安全威胁,您需要在账户中配置 Lambda 保护。 GuardDuty 有关更多信息,请参阅 [Lambda 保护](lambda-protection.md)。
[GuardDuty 运行时监控](runtime-monitoring.md)
如果您在 EKS 运行时监控或 EC2 实例的运行时监控中管理安全代理(手动或通过 GuardDuty),并且GuardDuty 目前部署在 Amazon EC2 实例上并[收集的运行时事件类型](runtime-monitoring-collected-events.md)从该实例接收安全代理, GuardDuty 则不会向您 AWS 账户 收取分析来自此 Amazon EC2 实例的 VPC 流日志的费用。这有助于 GuardDuty 避免账户中的双重使用成本。
GuardDuty 不会管理您的流程日志,也无法在您的账户中访问这些日志。要管理对流日志的访问和保留,您必须配置 VPC 流日志功能。
## Route53 Resolver DNS 查询日志
如果您对 Amazon EC2 实例使用 AWS DNS 解析器(默认设置),则 GuardDuty 可以通过内部 DNS 解析器访问和处理您的请求和响应 Route53 Resolver DNS 查询日志。 AWS 如果您使用其他 DNS 解析器(例如 OpenDNS 或 GoogleDNS),或者您设置了自己的 DNS 解析器, GuardDuty 则无法访问和处理来自此数据源的数据。
启用后 GuardDuty,它会立即开始分析来自独立数据流的 Route53 Resolver DNS 查询日志。该数据流与通过 [Route 53 解析程序查询日志记录](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html?)功能提供的数据是分开的。此功能的配置不会影响 GuardDuty分析。
**注意**
GuardDuty 不支持监控启动的 Amazon EC2 实例的 DNS 日志, AWS Outposts 因为 Amazon Route 53 Resolver 查询日志功能在该环境中不可用。