本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 监控 GuardDuty 使用情况和估算成本
GuardDuty 提供使用率指标,用于跟踪一段时间内监控的保护计划、数据源 logs/events 和 GuardDuty 运行 VCPUs 时间的处理情况。
在此页面中:
+ [Amazon CloudWatch 使用量指标](#cloudwatch_usage_metrics)
+ [了解 GuardDuty 使用情况](#understanding_guardduty_usage)
+ [估算成本 GuardDuty](#estimating_guardduty_cost)
## Amazon CloudWatch 使用量指标
GuardDuty 向 Amazon 发布使用量指标 CloudWatch,使您能够:
+ 跟踪一段时间内的实际使用情况
+ 创建自定义仪表板和警报
+ 在 AWS 定价计算器中导出使用数据以进行成本估算
GuardDuty 使用量指标是根据您的账户配置发布的:
+ 对于独立账户(不属于组织),您可以在 Amazon 中查看您的账户使用指标 CloudWatch
+ 对于属于组织的账户,指标会发布到委托管理员账户(组织的管理 GuardDuty 员),显示整个组织的汇总使用情况
GuardDuty 使用量指标将在 24 小时 CloudWatch 内在 Amazon 上发布。
### 指标详情
GuardDuty 在`AWS/GuardDuty`命名空间 CloudWatch 下向 Amazon 发布以下使用指标`Hourly`:
| | | | | |
| --- |--- |--- |--- |--- |
| 保护计划 | 数据源 | 指标名称 | 单位 | 描述 |
| 基础威胁检测 | CloudTrailEvents | AnalyzedCount | 计数 | 分析的 CloudTrail 管理事件数量 |
| 基础威胁检测 | VPCFlow记录DNSLog事件 | AnalyzedBytes | 字节 | 分析的 VPC 流日志和 DNS 日志量 |
| EKS 保护 | KubernetesAuditLogs | AnalyzedCount | 计数 | 分析的 Amazon EKS 审核日志事件数量 |
| S3 防护 | S3 DataEvents | AnalyzedCount | 计数 | 分析的 S3 数据事件数量 |
| 运行时监控 | RuntimeMonitoringEC2 | MonitoredVcpuHours | 计数(vCPU 小时数) | 运行时监控监控的 EC2 vCPU 小时数 |
| 运行时监控 | RuntimeMonitoringEKS | MonitoredVcpuHours | 计数(vCPU 小时数) | 由运行时监控监控的 Amazon EKS vCPU 时长 |
| 运行时监控 | RuntimeMonitoringFargate | MonitoredVcpuHours | 计数(vCPU 小时数) | 运行时监控监控的 Fargate vCPU 时长 |
| EC2 恶意软件防护 | OnDemandEBSSnapshot | ScannedBytes | 字节 | 扫描的按需 EBS 快照数据量 |
| EC2 恶意软件防护 | OnDemandEBSVolume | ScannedBytes | 字节 | 扫描的按需 EBS 卷数据量 |
| EC2 恶意软件防护 | MalwareProtectionEBS | ScannedBytes | 字节 | 恶意软件防护扫描的 EBS 数据量 |
| RDS 防护 | RDS | MonitoredAcuHours | 计数(ACU 小时数) | 监控 Amazon RDS Aurora 容量单位 |
| RDS 防护 | RDSLimitless | MonitoredAcuHours | 计数(ACU 小时数) | Amazon RDS Aurora 监控 ACU 无限时长 |
| RDS 防护 | AuroraScaleout | MonitoredAcuHours | 计数(ACU 小时数) | 监控 Aurora Scaleout ACU 时长 |
| RDS 防护 | RDS | MonitoredVcpuHours | 计数(vCPU 小时数) | 监控 Amazon RDS vCPU 时长 |
| Lambda 保护 | LambdaNetworkLogs | AnalyzedBytes | 字节 | 分析的 Lambda 网络日志量 |
**指标维度**
+ 独立 GuardDuty 账户:指标包括`AccountId, DataSource`维度
+ 组织级别(授权管理员):指标包括维度 `DataSource`
### S3 恶意软件防护
GuardDuty `Malware Protection for S3`保护计划在`AWS/GuardDuty/MalwareProtection`命名空间 CloudWatch 下向 Amazon 发布以下使用指标:
| | | |
| --- |--- |--- |
| 指标名称 | 单位 | 描述 |
| CompletedScanCount | 计数 | 在给定时间范围内完成的 S3 对象恶意软件扫描次数。 |
| FailedScanCount | 计数 | 在给定时间范围内失败的 S3 对象恶意软件扫描次数。 |
| SkippedScanCount | 计数 | 在给定时间范围内跳过的 S3 对象恶意软件扫描次数。 |
| InfectedScanCount | 计数 | 在给定时间范围内检测到可能恶意对象的 S3 对象恶意软件扫描次数。 |
| CompletedScanBytes | 计数 | 在给定时间范围内扫描的 S3 对象字节数。 |
**指标维度**
+ 所有指标都包含`Malware Protection Plan Id, Resource Name`维度
+ SkippedScanCount 指标包括`Skipped Reason`作为附加维度
## 了解 GuardDuty 使用情况
### GuardDuty 事件处理
启用后, GuardDuty 会自动使用所选 AWS 区域日志源中的事件和日志。 GuardDuty 从单独的独立数据源摄取事件,以提供全面的安全价值。
**重要**
您的个人服务日志配置或筛选规则(适用于 VPC 流日志、DNS 日志、 CloudTrail 事件、S3 数据事件、Kubernetes 审计日志和 Lambda 网络日志)不会影响所处理的内容。 logs/events GuardDuty
### GuardDuty GuardDuty 运行时监控监控的实例的 VPC 流日志处理费用
对于由 GuardDuty 运行时监控(通过 EC2 运行时代理或 Amazon EKS 运行时代理)监控的实例,只要代理主动发送[运行时事件数据](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-collected-events.html),就 GuardDuty 不会收取 VPC 流日志处理费用。如果代理停止传输事件数据,则 GuardDuty 恢复通过 VPC 流日志收费。
启用运行时监控可降低 GuardDuty Amazon 使用指标中的 VPC 流日志 CloudWatch 使用量。禁用运行时监控可恢复 VPC 流日志的使用。
## 估算成本 GuardDuty
GuardDuty 对于大多数保护计划,每个 AWS 账户均可免费试用 30 天。在此试用期内,您可以:
+ 通过使用量指标监控您的实际 GuardDuty 使用情况
+ 根据您观察到的使用模式,使用 AWS 定价计算器估算您的每月费用
以下保护计划包括 30 天免费试用:
+ 基础威胁检测
+ S3 防护
+ EKS 保护
+ 运行时监控
+ RDS 防护
+ Lambda 保护
+ EC2 恶意软件防护(仅适用于启用基础威胁检测时 GuardDuty启动的扫描)
### Security Hub 客户
Security Hub 通过其附加的 GuardDuty 威胁分析计划为威胁检测提供了简化的定价模式,整合了多种计量 GuardDuty DataSources。使用 Security Hub 威胁分析计划(带有 Security Hub 的 GuardDuty)时:
+ 多个 GuardDuty DataSources 已合并
+ 值得注意的是,为简单起见,Amazon EKS 审核日志事件和 S3 数据事件使用固定转换率转换为 GB
要估算 Security Hub 成本,请参阅 Sec [AWS urity Hub 文档](https://docs.aws.amazon.com/securityhub/)。
**注意:** GuardDuty30 天免费试用状态与 Security Hub 的集成无关。启用或禁用 Security Hub:
+ 如果您已经使用 GuardDuty了试用期,则不授予新的免费试用
+ 不会中断或重启正在进行的免费试用
+ 不延长现有试用期