本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 亚马逊 GuardDuty Amazon GuardDuty 是一项威胁检测服务,可持续监控 AWS 环境中的恶意活动和未经授权的行为。它结合了机器学习、异常检测和集成威胁情报,可识别潜在威胁,并通过 SAP 环境、工作负载和数据保护与 RISE 关联的 AWS 账户。 亚马逊 GuardDuty 监控以下内容: + AWS CloudTrail 日志:Amazon GuardDuty 监控 AWS 账户中的 API 活动,以检测可疑 API 调用、未经授权的部署和未经授权的资源访问尝试。Amazon 会 GuardDuty 识别从未经授权的 IP 地址或区域访问 AWS 服务的企图。亚马逊在身份和访问管理 (IAM) Access Management 用户、角色和策略中 GuardDuty 检测到异常行为,例如权限提升。 + VPC 流日志。Amazon 会 GuardDuty 分析虚拟私有云 (VPC) Virtual Cloud (VPC) 内的网络流量,以检测意外流量模式、数据泄露企图或未经授权的访问,同时识别资源与已知的恶意 IP 地址或域名 AWS 之间的通信。在开启 SAP 的情况下进行 RISE 的背景下 AWS,检查在 RISE SAP 管理的账户前面的 VPC 上进行; + DNS 日志。Amazon 会 GuardDuty 监控 AWS 资源进行的 DNS 查询,以检测试图连接恶意域名或异常的 DNS 请求模式。Amazon GuardDuty 还检测到使用域生成算法 (DGA) 生成与命令和控制服务器关联的域名的情况。 在 RISE with SAP 的背景下, GuardDuty 可以利用 Amazon 做以下事情: + 入侵检测: GuardDuty 通过识别恶意活动(例如未经授权的 API 调用、网络侦测和来自已知恶意 IP 地址的访问尝试),及早检测到客户管理的 AWS 账户所面对的 RISE 环境的入侵企图; + 合规性验证:对于具有严格合规要求的组织, GuardDuty 可以持续监控违反策略和未经授权的访问尝试,提供详细的日志和报告以供审计,从而帮助确保合规性。当从客户管理的 AWS 账户访问 SAP RISE 环境时,就可以实现这一点。有关更多详细信息,请参阅[合规性验证](https://docs.aws.amazon.com/guardduty/latest/ug/compliance-validation.html)。 + 自动事件响应。 GuardDuty 可以与 AWS Lambda 和 Sec AWS urity Hub 集成,以自动执行事件响应工作流程。检测到威胁后,这些服务可触发自动化修复操作,例如隔离受影响的资源或向安全团队发送通知。 以下是在 SAP 部署状态下 GuardDuty 监控 RISE CloudTrail 跟踪的示例架构 AWS ![\[GuardDuty 使用 SAP 部署监控 RISE 的 CloudTrail 踪迹\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-security-guardduty.png) 在上图中 1. 数据被写入 S3 存储桶以用于数据 lake/compliance 报告。 1. 恶意行为者更改 S3 存储桶上的 IAM 规则和 IAM 权限以获取访问权限。 1. IAM 更改会被 AWS CloudTrail拦截。 1. GuardDuty 检测可疑活动并提醒管理员。 以下是在 SAP 部署开 GuardDuty 启的情况下监控 RISE 的 DNS 日志的示例架构 AWS ![\[GuardDuty 使用 SAP 部署监控 RISE 的 DNS 日志\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-security-guardduty-dnslogs.png) 在上图中 1. 恶意行为者引入恶意 DNS,将用户重定向到伪造的 SAP 系统。 1. 恶意 DNS 条目由管理员检测 GuardDuty 并报告给管理员。 以下是使用 SAP VPC GuardDuty 监控 RISE 的 VPC 流日志的示例架构 ![\[GuardDuty 使用 SAP VPC 监控 RISE 的 VPC 流日志\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-security-guardduty-vpcflowlogs.png) 在上图中 1. 恶意攻击者试图从与 RISE VPC 建立对等连接的客户自主管理型 VPC 访问 SAP 系统,或扫描端口。 1. 来自恶意攻击者 IP 的连接尝试被记录在 VPC 流日志中。 1. Amazon 检测到可疑的连接尝试 GuardDuty 并报告给管理员。 有关配置 Amazon 的说明 GuardDuty,请参阅[入门](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)。