本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 什么是亚马逊 GuardDuty？
<a name="what-is-guardduty"></a>

Amazon GuardDuty 是一项威胁检测服务，可持续监控、分析和处理您 AWS 环境中的 AWS 数据源和日志。 GuardDuty 使用威胁情报源（例如恶意 IP 地址和域名列表、文件哈希和机器学习 (ML) 模型）来识别 AWS 环境中的可疑活动和潜在的恶意活动。以下列表概述了 GuardDuty 可以帮助您检测的潜在威胁场景：
+ 凭据被泄露和泄露。 AWS 
+ 可能导致勒索软件事件的数据泄露和损毁。在支持的 Amazon Aurora 和 Amazon RDS 数据库引擎版本中，存在表明存在异常行为的异常登录事件模式。
+ Amazon Elastic Compute Cloud (Amazon EC2) 实例和容器工作负载中存在未经授权的加密币挖矿活动。
+ Amazon EC2 实例和容器工作负载，以及新上传到 Amazon Simple Storage Service（Amazon S3）存储桶中的文件中存在恶意软件。
+ 表明 Amazon Elastic Kubernetes Service（Amazon EKS）集群、Amazon Elastic Container Service（Amazon ECS）– AWS Fargate 任务以及 Amazon EC2 实例和容器工作负载中有未经授权行为的操作系统级别、联网和文件事件。

以下视频概述了如何 GuardDuty 帮助您检测 AWS 环境中的威胁。

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/ng14ToMXnTA/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/ng14ToMXnTA)


**Topics**
+ [的特点 GuardDuty](#features-of-guardduty)
+ [PCI DSS 合规性](#guardduty-pci-dss-compliance)
+ [定价在 GuardDuty](guardduty-pricing.md)
+ [正在访问 GuardDuty](guardduty-access.md)

## 的特点 GuardDuty
<a name="features-of-guardduty"></a>

以下是 Amazon GuardDuty 可以帮助您监控、检测和管理 AWS 环境中潜在威胁的一些主要方式。

**持续监控特定的数据来源和事件日志**  
+ **基础威胁检测** — GuardDuty 在中启用时 AWS 账户， GuardDuty会自动开始提取与该账户关联的基础数据源。这些数据来源包括 AWS CloudTrail 管理事件、VPC 流日志（来自 Amazon EC2 实例）和 DNS 日志。您无需启用任何其他功能即可开始分析和处理这些数据源以生成相关的安全调查结果。 GuardDuty 有关更多信息，请参阅 [GuardDuty 基础数据源](guardduty_data-sources.md)。
+ **扩展威胁检测** — 此功能可检测跨越基础数据源、多种 AWS 资源类型和时间的多阶段攻击。 AWS 账户您的账户中可能存在多个单独事件，这些事件本身并未构成明显的威胁。但是，当以表明可疑活动的顺序观察到这些事件时，会将其 GuardDuty识别为攻击序列。 GuardDuty 通过生成相关的攻击序列查找类型来通知您，以提供有关观察到的攻击序列的详细信息。

  无需支付任何额外费用，扩展威胁检测在启用 AWS 账户 时会自动为其启用 GuardDuty。此功能不需要您启用任何以使用案例为中心的防护计划。但是，为了提高您的 Amazon S3 资源的安全范围， GuardDuty 建议在您的账户中启用 S3 保护。这将有助于扩展威胁检测识别可能影响 Amazon S3 资源的多阶段攻击。

  有关此功能的工作原理及其涵盖的威胁场景的更多信息，请参阅 [GuardDuty 扩展威胁检测](guardduty-extended-threat-detection.md)。
+ 以@@ **用例为重点的 GuardDuty 保护计划** — 为了增强威胁检测对 AWS 环境安全的可见性， GuardDuty 提供您可以选择启用的专用保护计划。保护计划可帮助您监控来自其他 AWS 服务的日志和事件。这些来源包括 EKS 审计日志、RDS 登录活动、中的 Amazon S3 数据事件、EBS 卷 CloudTrail、Amazon EKS、Amazon EC2 和 Amazon ECS-Fargate 上的运行时监控以及 Lambda 网络活动日志。 GuardDuty[在 “功能” 一词下整合这些日志和事件源。](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-features-activation-model.html)您可以随时在支持的 AWS 区域 中启用一个或多个专用保护计划。 GuardDuty 将根据您启用的保护计划开始监控、处理和分析活动。有关每个防护计划及其工作原理的更多信息，请参阅相应的防护计划文档。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/what-is-guardduty.html)
**单独启用 S3 恶意软件防护**  
GuardDuty 无需启用 Amazon GuardDuty 服务，即可灵活地单独使用 S3 的恶意软件防护。有关开始仅使用 S3 恶意软件保护的更多信息，请参阅 [GuardDuty S3 的恶意软件防护](gdu-malware-protection-s3.md)。要使用所有其他保护计划，必须启用该 GuardDuty服务。

**管理多账户环境**  
您可以使用 AWS Organizations （推荐）或旧版邀请方法来管理多账户 AWS 环境。有关更多信息，请参阅 [中有多个账户 GuardDuty](guardduty_accounts.md)。

**针对检测到的威胁生成安全调查发现**  
当 GuardDuty 检测到与您的 AWS 资源相关的潜在安全威胁时，它会开始生成安全调查结果，以提供有关可能受到威胁的资源的信息。 GuardDuty 在您的账户中启用后，生成[示例发现结果](sample_findings.md)以查看关联的[调查发现详细信息](guardduty_findings-summary.md)。有关安全调查发现的完整列表，请参阅 [GuardDuty 查找类型](guardduty_finding-types-active.md)。  
使用 GuardDuty，您还可以使用生成特定 GuardDuty 安全发现结果的测试脚本来了解如何查看和响应 GuardDuty 发现。有关更多信息，请参阅 [专用账户中的测试 GuardDuty 结果](guardduty_findings-scripts.md)。

**评估和管理安全调查发现**  
GuardDuty 整合各个账户的安全调查结果，并在控制台的 “摘要” 控制面板中显示结果。 GuardDuty 您也可以通过 AWS Security Hub CSPM API 或 AWS SDK 检索调查结果。 AWS Command Line Interface通过全面了解您当前的安全状态，您可以识别趋势和潜在的问题，并采取必要的补救措施。有关更多信息，请参阅 [管理 GuardDuty 调查结果](findings_management.md)。

 **与相关 AWS 安全服务集成**   
为了进一步帮助您分析和调查 AWS 环境中的安全趋势，请考虑将以下 AWS 与安全相关的服务与 GuardDuty结合使用。  
+ **AWS Security Hub CSPM**— 此服务可让您全面了解 AWS 资源的安全状态，并帮助您根据安全行业标准和最佳实践检查您的 AWS 环境。其部分原因是使用、汇总、整理来自多种 AWS 服务（包括 Amazon Macie）和 AWS 支持的合作伙伴网络 (APN) 产品的安全调查结果，并对其进行优先排序。Security Hub CSPM 可帮助您分析安全趋势并确定环境中优先级最高的安全问题。 AWS 

  有关同时使用 GuardDuty 和 Security Hub CSPM 的信息，请参阅。[GuardDuty 与集成 AWS Security Hub CSPM](guardduty_integrations.md#gd-securityhub)要了解有关 Security Hub CSPM 的更多信息，请参阅《[AWS Security Hub 用户](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)指南》。
+ **Amazon Detective**：该服务可帮助您分析、调查和快速识别安全调查发现或可疑活动的根本原因。Detective 会自动从您的 AWS 资源中收集日志数据。然后，它使用机器学习、统计分析和图形理论生成可视化效果，帮助更快、更高效地进行安全调查。Detective 的预构建数据聚合、摘要和上下文有助于分析和确定潜在安全问题的性质和范围。

  有关同时使用 GuardDuty 和 Detective 的信息，请参阅[GuardDuty 与 Amazon Detective 集成](guardduty_integrations.md#gd-detective)。要了解有关 Detective 的更多信息，请参阅 [Amazon Detective 用户指南](https://docs.aws.amazon.com/detective/latest/userguide/what-is-detective.html)。
+ **Amazon EventBridge** — 该服务可帮助您近乎实时地接收通知并对 GuardDuty 安全发现作出回应。 GuardDuty 当发现结果发生变化时创建事件。您可以选择接收通知的频率 EventBridge。有关更多信息，请参阅《[亚马逊 EventBridge 用户指南》 EventBridge中的 “什么是](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)*亚马逊*”。

## PCI DSS 合规性
<a name="guardduty-pci-dss-compliance"></a>

GuardDuty 支持商家或服务提供商处理、存储和传输信用卡数据，并且已被验证符合支付卡行业 (PCI) 数据安全标准 (DSS)。有关 PCI DSS 的更多信息，包括如何申请 PCI Compliance Package 的副本，请参阅 AWS [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) DSS 第 1 级。

有关更多信息，请参阅*AWS 安全博客*中的[新第三方测试 GuardDuty 将 Amazon 与网络入侵检测系统进行了比较](https://aws.amazon.com/blogs/security/new-third-party-test-compares-amazon-guardduty-to-network-intrusion-detection-systems/)。

# 定价在 GuardDuty
<a name="guardduty-pricing"></a>

本节重点介绍用于各种保护计划的 AWS 免费套餐 模型， GuardDuty 以及如何查看估计和实际使用成本。如果您正在寻找与受支持区域的所有保护计划相关的定价详情，请参阅[GuardDuty定价](https://aws.amazon.com/guardduty/pricing/)。

**AWS 免费套餐**  
AWS 免费套餐 可帮助您 AWS 服务 免费探索和试用每项服务的指定限制。免费套餐共有三个类别：12 个月免费、永久免费和短期免费试用。Amazon GuardDuty 属于短期免费试用类别，提供 30 天免费试用。当您在免费试用期结束 GuardDuty 后继续使用时，将根据您使用此服务的方式开始产生费用。

****1** GuardDuty 30 天免费试用除外**  
按需恶意软件扫描（在 EC2 的恶意软件保护下）和 S3 的恶意软件防护不属于 GuardDuty 30 天短期免费试用类别。S3 的恶意软件防护属于 12 个月的免费类别， AWS 免费套餐 而按需恶意软件扫描则遵循 pay-as-you-use成本模式。按需恶意软件扫描没有 30 天免费试用期，也没有 12 个月免费套餐成本模式。

## 使用 GuardDuty 30 天免费试用
<a name="using-guardduty-30-day-free-trial"></a>

首次在中使用 GuardDuty 时 AWS 区域，系统会自动注册该地区的 30 天免费试用。 AWS 账户 某些防护计划也会自动启用，并包含在 30 天免费试用期中。由于 GuardDuty 是一项区域性服务，因此当您首次在其他地区启用该服务时，您的账户将在该 GuardDuty 地区获得 30 天的免费试用。在 GuardDuty 组织中使用多个账户时，每个账户都有自己的 30 天免费试用。

使用下表查看默认情况下启用了哪些保护计划及其免费试用可用性。 GuardDuty


| 防护计划 | 默认情况下启用 GuardDuty | 单独提供免费试用版**[2](#protection-plan-separate-enablement-gdu)** | 
| --- | --- | --- | 
| [EKS 保护](kubernetes-protection.md) | 支持 | 是 | 
| [S3 防护](s3-protection.md) | 是 | 是 | 
| [运行时监控](runtime-monitoring.md) | 否 | 是 | 
| [EC2 恶意软件防护](malware-protection.md) – [GuardDuty-启动的恶意软件扫描](gdu-initiated-malware-scan.md)  | 是 | 是 | 
|  [EC2 恶意软件防护](malware-protection.md) – [按需扫描恶意软件 GuardDuty](on-demand-malware-scan.md)  | 否 | 没有 [1](#protection-plan-exception-free-trial-gdu) | 
| [GuardDuty S3 的恶意软件防护](gdu-malware-protection-s3.md) | 否 | 没有 [1](#protection-plan-exception-free-trial-gdu) | 
| [RDS 防护](rds-protection.md) | 是 | 是 | 
| [Lambda 保护](lambda-protection.md) | 是 | 是 | 

**2** GuardDuty 首次启用时，保护计划（运行时监控除外）将自动启用并包含在最初的 30 天免费试用版中。当现有 GuardDuty 账户在最初的 GuardDuty 免费试用期到期后启用新的保护计划时，该保护计划将附带自己的 30 天免费试用。有关防护计划的免费试用期的更多信息，请参阅各个防护计划的相关文档。

**在免费试用期间查看预估使用成本** — 在 30 天免费试用期间（可能还包括保护计划），会 GuardDuty提供您账户的预计使用成本。 GuardDuty 如果您是委托 GuardDuty 管理员账户，则可以查看所有已启用的成员账户的预估总使用成本和账户级别明细。 GuardDuty有关更多信息，请参阅 [监控 GuardDuty 使用情况和估算成本](monitoring_costs.md)。

**免费试用期结束后的使用费用** — 当您在免费试用期结束后继续使用 GuardDuty 或其任何保护计划时，将开始产生相关的使用费用。要查看账单，请在[https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/)控制台中导航至 C **ost Explorer**。有关 AWS 账户账单的更多信息，请参阅《[AWS Billing 用户指南》](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html)。

## 将 S3 恶意软件防护与 12 个月免费套餐结合使用
<a name="using-free-tier-malware-protection-for-s3"></a>

适用于 S3 的恶意软件防护使用与您关联的免费套餐计划 AWS 账户 ，该计划要么是新的，要么是持续的免费套餐，要么是已过期的 12 个月免费套餐。有关更多信息，请参阅 [S3 恶意软件防护的定价和使用成本](pricing-malware-protection-for-s3-guardduty.md)。

# 正在访问 GuardDuty
<a name="guardduty-access"></a>

亚马逊 GuardDuty 在大多数情况下都可用 AWS 区域。有关当前可用区域的 GuardDuty列表，请参阅[区域和端点](guardduty_regions.md)。

您可以通过以下任何一种方式使用 GuardDuty ：

**GuardDuty 控制台**  
[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)  
此控制台是可用于访问和使用 GuardDuty 的基于浏览器的界面。 GuardDuty 控制台提供对您的 GuardDuty 账户、数据和资源的访问权限。

**AWS Command Line Interface**  
使用 AWS Command Line Interface (AWS CLI)，你可以在系统的命令行中发出命令来执行 GuardDuty 任务和 AWS 任务。如果要生成执行任务的脚本，则这些 AWS CLI 命令非常有用。  
有关安装和使用的信息 AWS CLI，请参阅[《AWS Command Line Interface 用户指南》](https://docs.aws.amazon.com/cli/latest/userguide/)。要查看的可用 AWS CLI 命令 GuardDuty，请参阅[AWS CLI 命令参考](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/index.html)。

**GuardDuty HTTPS AP**  
您可以使用 GuardDuty HTTPS API AWS 以编程方式进行访问 GuardDuty ，该API允许您直接向服务发出 HTTPS 请求。有关更多信息，请参阅 [Amazon GuardDuty API 参考](https://docs.aws.amazon.com/guardduty/latest/APIReference/)。

**AWS SDKs**  
AWS 提供软件开发套件 (SDKs)，其中包括适用于各种编程语言和平台（Java、Python、Ruby、.NET、iOS、Android 等）的库和示例代码。 SDKs 提供了一种创建编程访问权限的便捷方式 GuardDuty。有关信息 AWS SDKs，包括如何下载和安装它们，请参阅[适用于 Amazon Web Services 的工具](https://aws.amazon.com/tools/)。