本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# GuardDuty 延伸威脅偵測
<a name="guardduty-extended-threat-detection"></a>

GuardDuty 延伸威脅偵測會在 內自動偵測跨資料來源、多種 AWS 資源類型和時間的多階段攻擊 AWS 帳戶。使用此功能時，GuardDuty 透過監控不同類型的資料來源，專注於其觀察到的多個事件序列。延伸威脅偵測會將這些事件相互關聯，以識別對 AWS 環境構成潛在威脅的案例，然後產生攻擊序列調查結果。

**Topics**
+ [攻擊序列威脅案例範例](#extended-threat-detection-scenario-examples)
+ [運作方式](#extended-threat-detection-how-it-works)
+ [啟用保護計畫以最大化威脅偵測](#extended-threat-detection-related-gdu-protection-plans)
+ [GuardDuty 主控台中的延伸威脅偵測](#extended-threat-detection-in-guardduty-console)
+ [了解和管理攻擊序列調查結果](#extended-threat-detection-understanding-attack-sequence-findings)
+ [其他資源](#guardduty-extended-threat-detection-additional-resources)

## 攻擊序列威脅案例範例
<a name="extended-threat-detection-scenario-examples"></a>

延伸威脅偵測涵蓋與 AWS 憑證濫用相關的入侵、Amazon S3 儲存貯體中的資料入侵嘗試，以及 Amazon EKS 叢集中的容器和 Kubernetes 資源入侵相關的威脅案例。單一調查結果可以包含整個攻擊序列。例如，以下清單說明 GuardDuty 可能偵測到的案例：

**範例 1 AWS - 憑證和 Amazon S3 儲存貯體資料洩露**  
+ 威脅行為者未經授權存取運算工作負載。
+ 然後，演員執行一系列動作，例如權限提升和建立持久性。
+ 最後，演員從 Amazon S3 資源滲透資料。

**範例 2 - Amazon EKS 叢集入侵**  
+ 威脅行為者嘗試利用 Amazon EKS 叢集內的容器應用程式。
+ 演員使用該遭入侵的容器來取得特權服務帳戶字符。
+ 然後，演員會利用這些提升的權限，透過 Pod 身分存取敏感的 Kubernetes 秘密或 AWS 資源。

由於相關威脅案例的性質，GuardDuty 會將全部視為**「關鍵**[攻擊序列調查結果類型](guardduty-attack-sequence-finding-types.md)」。

以下影片示範如何使用延伸威脅偵測。

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/xLqGwoSaoPw/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/xLqGwoSaoPw)


## 運作方式
<a name="extended-threat-detection-how-it-works"></a>

當您在特定帳戶中啟用 Amazon GuardDuty 時 AWS 區域，預設也會啟用延伸威脅偵測。使用擴充威脅偵測不會產生額外的成本。根據預設，它會關聯所有 的事件[基礎資料來源](guardduty_data-sources.md)。不過，當您啟用更多 GuardDuty 保護計畫時，例如 S3 保護、EKS 保護和執行期監控，這會透過擴大事件來源的範圍來開啟其他類型的攻擊序列偵測。這可能有助於進行更全面的威脅分析，並更好地偵測攻擊序列。如需詳細資訊，請參閱[啟用保護計畫以最大化威脅偵測](#extended-threat-detection-related-gdu-protection-plans)。

GuardDuty 會關聯多個事件，包括 API 活動和 GuardDuty 調查結果。這些事件稱為 **Signals**。有時候，您的環境中可能有事件本身不會顯示為明確的潛在威脅。GuardDuty 將其視為*弱*訊號。透過擴充威脅偵測，GuardDuty 會識別多個動作序列何時與潛在可疑活動保持一致，並在您的帳戶中產生攻擊序列調查結果。這些多個動作可能包括弱訊號，以及帳戶中已識別的 GuardDuty 調查結果。

**注意**  
關聯攻擊序列的事件時，延伸威脅偵測不會考慮封存的問題清單，包括由於 而自動封存的問題清單[隱藏規則](findings_suppression-rule.md)。此行為可確保只有作用中的相關訊號有助於偵測攻擊序列。為了確保您不會受到此影響，請檢閱您帳戶中現有的禁止規則。如需詳細資訊，請參閱[將抑制規則與延伸威脅偵測搭配使用](findings_suppression-rule.md#using-suppression-rules-with-extended-threat-detection)。

GuardDuty 也旨在識別帳戶中潛在的進行中或最近攻擊行為 （在 24 小時滾動時段內）。例如，攻擊一開始可能是由取得運算工作負載意外存取權的演員。然後，演員會執行一系列的步驟，包括列舉、提升權限和竊取 AWS 登入資料。這些登入資料可能用於進一步入侵或惡意存取資料。

## 啟用保護計畫以最大化威脅偵測
<a name="extended-threat-detection-related-gdu-protection-plans"></a>

延伸威脅偵測會針對所有 GuardDuty 帳戶自動啟用，依預設從帳戶中啟用的所有保護計劃評估訊號。GuardDuty [Foundational 資料來源](guardduty_data-sources.md)提供數個攻擊序列偵測的重要訊號。例如，透過基礎威脅偵測，GuardDuty 可以識別從 Amazon S3 APIs 上的 IAM 權限探索活動開始的潛在攻擊序列，並偵測後續的 S3 控制平面變更，例如使儲存貯體資源政策更寬鬆的變更。不過，其他攻擊序列需要進階訊號，這些訊號只能從進階保護計畫取得，例如執行期監控、S3 保護和 EKS 稽核日誌監控。

**Topics**
+ [偵測 Amazon EKS 叢集中的攻擊序列](#extended-threat-detection-eks-clusters)
+ [偵測 Amazon S3 儲存貯體中的攻擊序列](#extended-threat-detection-s3-buckets)
+ [偵測 Amazon ECS 叢集中的攻擊序列](#extended-threat-detection-ecs-clusters)
+ [偵測 Amazon EC2 執行個體群組中的攻擊序列](#extended-threat-detection-ec2-instances)

### 偵測 Amazon EKS 叢集中的攻擊序列
<a name="extended-threat-detection-eks-clusters"></a>

GuardDuty 跨 EKS 稽核日誌、程序的執行時間行為和 AWS API 活動關聯多個安全訊號，以偵測複雜的攻擊模式。若要受益於 EKS 的延伸威脅偵測，您必須啟用至少其中一個功能：EKS 保護或執行期監控 （使用 EKS 附加元件）。EKS 保護會透過稽核日誌監控控制平面活動，而執行期監控則會觀察容器內的行為。

為了獲得最大涵蓋範圍和全面的威脅偵測，GuardDuty 建議同時啟用這兩個保護計畫。它們共同建立 EKS 叢集的完整檢視，讓 GuardDuty 能夠偵測複雜的攻擊模式。例如，它可以識別特殊權限容器 （使用 EKS 保護偵測） 的異常部署，接著在該容器內持續嘗試、加密挖掘和反向 shell 建立 （使用執行期監控偵測）。GuardDuty 將這些相關事件表示為稱為 的單一關鍵嚴重性調查結果[AttackSequence:EKS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-eks-compromised-cluster)。當您啟用這兩個保護計畫時，攻擊序列調查結果會涵蓋下列威脅案例：
+ 入侵執行易受攻擊 Web 應用程式的容器
+ 透過設定錯誤的登入資料進行未經授權的存取
+ 嘗試提升權限
+ 可疑 API 請求
+ 嘗試惡意存取資料

下列清單提供個別啟用這些專用保護計畫的詳細資訊：

**EKS 保護**  
啟用 EKS 保護可讓 GuardDuty 偵測涉及 Amazon EKS 叢集控制平面活動的攻擊序列。這可讓 GuardDuty 關聯 EKS 稽核日誌和 AWS API 活動。例如，GuardDuty 可以偵測攻擊序列，其中演員嘗試未經授權存取叢集秘密、修改 Kubernetes 角色型存取控制 (RBAC) 許可，以及建立特權 Pod。如需啟用此保護計畫的詳細資訊，請參閱 [EKS 保護](kubernetes-protection.md)。

**Amazon EKS 的執行期監控**  
啟用 Amazon EKS 叢集的執行期監控可讓 GuardDuty 以容器層級可見性增強 EKS 攻擊序列偵測。這有助於 GuardDuty 偵測潛在的惡意程序、可疑的執行時間行為和潛在的惡意軟體執行。例如，GuardDuty 可以偵測容器開始展現可疑行為的攻擊序列，例如加密流程或建立已知惡意端點的連線。如需啟用此保護計畫的詳細資訊，請參閱 [執行時期監控](runtime-monitoring.md)。

如果您未啟用 EKS 保護或執行期監控，GuardDuty 將無法產生個別 [EKS 保護調查結果類型](guardduty-finding-types-eks-audit-logs.md)或 [執行期監控問題清單類型](findings-runtime-monitoring.md)。因此，GuardDuty 將無法偵測涉及相關調查結果的多階段攻擊序列。

### 偵測 Amazon S3 儲存貯體中的攻擊序列
<a name="extended-threat-detection-s3-buckets"></a>

啟用 S3 保護可讓 GuardDuty 偵測攻擊序列，其涉及嘗試入侵 Amazon S3 儲存貯體中的資料。如果沒有 S3 保護，GuardDuty 可以偵測 S3 儲存貯體資源政策何時變得過度寬鬆。當您啟用 S3 保護時，GuardDuty 將能夠偵測 S3 儲存貯體過度寬鬆之後可能發生的潛在資料外洩活動。

如果未啟用 S3 保護，GuardDuty 將無法產生個別的 [S3 保護調查結果類型](guardduty_finding-types-s3.md)。因此，GuardDuty 將無法偵測涉及相關調查結果的多階段攻擊序列。如需啟用此保護計畫的詳細資訊，請參閱 [S3 保護](s3-protection.md)。

### 偵測 Amazon ECS 叢集中的攻擊序列
<a name="extended-threat-detection-ecs-clusters"></a>

GuardDuty 可以識別 ECS 容器內的攻擊序列，例如惡意程序、惡意端點的連線或加密挖掘行為。透過將各種訊號與網路活動、程序執行時間行為和 AWS API 活動相互關聯，GuardDuty 可以識別個別偵測可能遺漏的複雜攻擊模式，並映射完整的攻擊向量。

GuardDuty 將這些相關事件表示為稱為 的單一關鍵嚴重性調查結果`AttackSequence:ECS/CompromisedCluster`。攻擊序列調查結果涵蓋下列威脅案例：
+ 入侵執行易受攻擊服務的容器
+ 未經授權執行可疑的工具、惡意軟體或加密程序
+ 嘗試提升權限
+ 與可疑端點的通訊

**重要**  
ECS 的延伸威脅偵測需要 Fargate 或 EC2 的執行期監控，視您的 ECS 基礎設施類型而定。執行期監控會觀察在 Fargate 和 EC2 執行個體上執行的 ECS 容器內的行為。不支援 Managed EC2 執行個體上的 ECS。

### 偵測 Amazon EC2 執行個體群組中的攻擊序列
<a name="extended-threat-detection-ec2-instances"></a>

GuardDuty 可以識別影響個別執行個體的攻擊序列，或共用常見屬性的執行個體群組，例如 Auto Scaling 群組、IAM 執行個體描述檔、啟動範本、CloudFormation 堆疊、AMIs 或 VPC IDs。這些執行個體可能會展現可疑行為，例如惡意程序、惡意端點的連線、加密挖掘或 EC2 執行個體登入資料的異常使用。

攻擊序列調查結果會偵測下列威脅案例：
+ 執行易受攻擊服務的執行個體遭到入侵
+ 使用從發出憑證的 AWS 帳戶外部透過 IMDS 取得的 Amazon EC2 執行個體憑證
+ 用作攻擊的基礎設施，例如代理、掃描或拒絕服務
+ 未經授權執行可疑的工具、惡意軟體或加密程序
+ 與可疑端點的通訊

延伸威脅偵測有助於識別這些威脅。GuardDuty 將這些相關事件表示為稱為 的單一關鍵嚴重性調查結果`AttackSequence:EC2/CompromisedInstanceGroup`。

若要增強 EC2 偵測功能的延伸威脅偵測，請啟用執行期監控。監控 CloudTrail 和網路活動的基礎 GuardDuty，以及觀察執行個體內程序行為和系統呼叫的執行期監控的組合，可提供更全面的威脅偵測。此整合式監控可讓 GuardDuty 偵測複雜的攻擊序列，例如透過設定錯誤的登入資料進行未經授權的存取、權限提升嘗試，以及未經授權存取敏感資料。透過關聯這些不同的訊號，GuardDuty 可以識別個別偵測可能遺漏的複雜攻擊模式，並映射完整的攻擊向量。

## GuardDuty 主控台中的延伸威脅偵測
<a name="extended-threat-detection-in-guardduty-console"></a>

根據預設，GuardDuty 主控台中的延伸威脅偵測頁面會將**狀態**顯示為**已啟用**。透過基礎威脅偵測，狀態表示 GuardDuty 可以偵測在 Amazon S3 APIs並偵測後續的 S3 控制平面變更。

使用下列步驟存取 GuardDuty 主控台中的擴充威脅偵測頁面：

1. 您可以在 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)：// 開啟 GuardDuty 主控台。

1. 在左側導覽窗格中，選擇**延伸威脅偵測**。

   此頁面提供延伸威脅偵測涵蓋之威脅案例的詳細資訊。

1. 在**擴充威脅偵測**頁面上，檢視**相關保護計畫**區段。**如果您想要**啟用專用保護計畫來增強帳戶中的威脅偵測涵蓋範圍，請選取該保護計畫的**設定**選項。

## 了解和管理攻擊序列調查結果
<a name="extended-threat-detection-understanding-attack-sequence-findings"></a>

攻擊序列調查結果與您帳戶中的其他 GuardDuty 調查結果相同。您可以在 GuardDuty 主控台的**調查結果**頁面上檢視它們。如需檢視問題清單的資訊，請參閱 [GuardDuty 主控台中的調查結果頁面](guardduty_working-with-findings.md)。

與其他 GuardDuty 調查結果類似，攻擊序列調查結果也會自動傳送至 Amazon EventBridge。根據您的設定，攻擊序列調查結果也會匯出到發佈目的地 (Amazon S3 儲存貯體）。若要設定新的發佈目的地或更新現有的發佈目的地，請參閱 [將產生的調查結果匯出至 Amazon S3](guardduty_exportfindings.md)。

## 其他資源
<a name="guardduty-extended-threat-detection-additional-resources"></a>

檢視下列各節，以進一步了解攻擊序列：
+ 了解擴充威脅偵測和攻擊序列之後，您可以依照中的步驟產生範例攻擊序列調查結果類型[範例問題清單](sample_findings.md)。
+ 了解 [攻擊序列調查結果類型](guardduty-attack-sequence-finding-types.md)。
+ 檢閱問題清單並探索與 相關聯的問題清單詳細資訊[攻擊序列調查結果詳細資訊](guardduty_findings-summary.md#guardduty-extended-threat-detection-attack-sequence-finding-details)。
+ 遵循 中相關受影響資源的步驟，排定攻擊序列調查結果類型的優先順序並加以解決[修復調查結果](guardduty_remediate.md)。