本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# GuardDuty 调查结果的严重性级别
<a name="guardduty_findings-severity"></a>

根据我们的安全工程师的决定，每个 GuardDuty 发现都有指定的严重级别和值，以反映该发现可能对您的环境造成的潜在风险。严重性值可以落在 1.0 到 10.0 范围内的任何地方，值越高表示安全风险越大。为了帮助您确定对调查结果中突出显示的潜在安全问题的应对措施，请将此范围 GuardDuty 分为*严*重、*高*、*中*和*低*严重级别。

特定类型的调查发现可能具有不同的严重性，具体取决于该调查发现的特定上下文。要查看所有 GuardDuty 查找结果类型的默认严重性级别的合并列表，请参阅[GuardDuty 主动查找类型](guardduty_finding-types-active.md#findings-table)。

以下各节说明了 GuardDuty调查结果的定义严重级别。

**Topics**
+ [重大严重性](#guardduty-finding-severity-level-critical)
+ [高严重性](#guardduty-finding-severity-level-high)
+ [中严重性](#guardduty-finding-severity-level-medium)
+ [低严重性](#guardduty-finding-severity-level-low)

## 重大严重性
<a name="guardduty-finding-severity-level-critical"></a>

**值范围**：9.0 – 10.0

**描述**：重大严重性级别表示攻击序列可能正在进行中或最近发生过。一个或多个 AWS 资源（例如 IAM 用户登录凭证和 Amazon S3 存储桶）可能遭到入侵或可能已经遭到入侵。

**建议**： GuardDuty 建议您优先对所有关键严重性发现进行分类和修复，因为这些问题可能是勒索软件攻击的一部分，并且可能随时升级。查看有关相关资源的详细信息并开始解决安全问题。有关更多信息，请参阅 [修复调查发现](guardduty_remediate.md)。

## 高严重性
<a name="guardduty-finding-severity-level-high"></a>

**值范围**：7.0 – 8.9

**描述**：高严重性级别表示相关资源（某个 Amazon EC2 实例或一组 IAM 用户登录凭证）已泄露，并且正被主动用于未经授权的目的。

**建议**： GuardDuty 建议您将任何高严重性的发现安全问题作为优先事项，并立即采取补救措施，防止进一步未经授权使用您的资源。例如，清理或终止 Amazon EC2 实例，或者轮换 IAM 凭证。按照[修复调查发现](guardduty_remediate.md)中的步骤，对调查发现进行补救。

## 中严重性
<a name="guardduty-finding-severity-level-medium"></a>

**值范围**：4.0 – 6.9

**描述**：中严重性级别表示偏离正常观测到的行为的可疑活动，根据使用案例，可能指示资源已泄露。

**建议**： GuardDuty 建议您尽早调查可能受影响的资源。补救措施步骤会因资源和调查发现系列而异。但是，您可以采取一种既定方法，即确认活动是否已获得授权并与使用案例一致。如果您无法确定原因，或者无法确认该活动是否获得授权，则应考虑资源已泄露。按照[修复调查发现](guardduty_remediate.md)中的步骤，对调查发现进行补救。

查看中严重性级别的调查发现时，需要注意以下事项：
+ 检查是否有授权用户安装新的软件，更改了资源的行为 (例如，允许高于正常流量，或者在新端口上启用了通信)。
+ 检查是否有授权用户更改了控制面板设置，例如，修改了安全组设置。
+ 在牵涉的资源上运行反病毒扫描，检测未经授权的软件。
+ 验证附加到相关 IAM 角色、用户、组或一组凭证的权限。可能需要更改或轮换它们。

## 低严重性
<a name="guardduty-finding-severity-level-low"></a>

**值范围**：1.0 – 3.9

**描述**：低严重性级别表示尝试进行的可疑活动未危及环境，例如端口扫描或失败的入侵尝试。

**建议**：不需要立即采取行动，但此信息值得注意，因为它可能表明有人正在寻找环境中的弱点。