本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# GuardDuty 基礎資料來源
GuardDuty 使用基礎資料來源來偵測與已知惡意網域和 IP 地址的通訊,並識別潛在的異常行為和未經授權的活動。從這些來源傳輸至 GuardDuty 時,所有日誌資料都會加密。GuardDuty 會從這些日誌來源擷取各種欄位以進行分析和異常偵測,然後捨棄這些日誌。
當您第一次在區域中啟用 GuardDuty 時,有 30 天的免費試用,其中包含所有基礎資料來源的威脅偵測。在此免費試用期間,您可以監控依每個基礎資料來源細分的估計每月用量。身為委派的 GuardDuty 管理員帳戶,您可以檢視依所屬組織且已啟用 GuardDuty 的每個成員帳戶細分的估計每月用量成本。30 天試用期結束後,您可以使用 AWS Billing 取得用量成本的相關資訊。
當 GuardDuty 從這些基礎資料來源存取事件和日誌時,不會產生額外費用。
在 中啟用 GuardDuty 後 AWS 帳戶,它會自動開始監控以下章節中說明的日誌來源。**您不需要**為 GuardDuty 啟用任何其他功能,即可開始分析和處理這些資料來源,以產生相關聯的安全調查結果。
**Topics**
+ [AWS CloudTrail 管理事件](#guardduty_controlplane)
+ [VPC 流量日誌](#guardduty_vpc)
+ [Route53 Resolver DNS 查詢日誌](#guardduty_dns)
## AWS CloudTrail 管理事件
AWS CloudTrail 提供您帳戶的 AWS API 呼叫歷史記錄,包括使用 AWS 管理主控台、 AWS SDKs、命令列工具和特定 AWS 服務的 API 呼叫。CloudTrail 也可協助您識別哪些使用者和帳戶針對支援 CloudTrail 的服務調用 AWS APIs、調用呼叫的來源 IP 地址,以及調用呼叫的時間。如需詳細資訊,請參閱《AWS CloudTrail 使用者指南》**中的 [What is AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)。
GuardDuty 會監控 CloudTrail 管理事件,也稱為控制平面事件。這些事件可讓您深入了解在 資源上執行的管理操作 AWS 帳戶。
以下為 GuardDuty 監控的 CloudTrail 管理事件的範例:
+ 設定安全性 (IAM `AttachRolePolicy` API 操作)
+ 設定路由資料規則 (Amazon EC2 `CreateSubnet` API 操作)
+ 設定記錄 (AWS CloudTrail `CreateTrail` API 操作)
啟用 GuardDuty 後,它便會開始透過獨立且重複的事件串流直接從 CloudTrail 取用 CloudTrail 管理事件,並分析您的 CloudTrail 事件日誌。
GuardDuty 不會管理您的 CloudTrail 事件或影響現有的 CloudTrail 組態。同樣地,您的 CloudTrail 組態不會影響 GuardDuty 取用和處理事件日誌的方式。若要管理 CloudTrail 事件的存取和保留,請使用 CloudTrail 服務主控台或 API。如需詳細資訊,請參閱《AWS CloudTrail 使用者指南》**中的 [Viewing events with CloudTrail event history](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
### GuardDuty 如何處理 AWS CloudTrail 全域事件
對於大多數 AWS 服務,CloudTrail 事件會記錄在建立它們 AWS 區域 的 中。對於 AWS Identity and Access Management (IAM)、 AWS Security Token Service (AWS STS)、Amazon Simple Storage Service (Amazon S3)、Amazon CloudFront 和 Amazon Route 53 (Route 53) 等全域服務,事件只會在事件發生的區域中產生,但具有全域重要性。
當 GuardDuty 使用具有安全值的 CloudTrail [Global 服務事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-concepts.html#cloudtrail-concepts-global-service-events) (GSE),例如網路組態或使用者許可時,它會複寫這些事件,並在您啟用 GuardDuty 的每個區域中處理它們。此行為有助於 GuardDuty 維護每個區域中的使用者和角色設定檔,這對於偵測異常事件十分重要。
**注意**
對於從這些全域服務事件產生的調查結果,調查結果中的區域值可能與 GuardDuty 建立偵測的區域不同。例如,即使 GuardDuty 在不同區域中建立偵測,問題清單仍可能顯示`us-east-1`為 區域。
建議您在 中提供的所有 AWS 區域 中啟用 GuardDuty AWS 帳戶。即使您在特定區域中沒有部署資源,啟用 GuardDuty 有助於保護您的帳戶免受潛在威脅。威脅行為者可以透過全球服務 (例如 IAM AWS STS、或 Amazon CloudFront) 啟動攻擊。他們可以嘗試建立未經授權的資源,以利用您存在有限的區域。GuardDuty 會在您啟用服務的所有區域中處理全域服務事件,包括預設和選擇加入區域。這有助於 GuardDuty 偵測整個 中潛在的可疑活動 AWS 帳戶,包括您未主動使用資源的區域。
## VPC 流量日誌
Amazon VPC 的 VPC 流量日誌功能可擷取有關進出 AWS 環境中連接至 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的網路介面的 IP 流量的資訊。
啟用 GuardDuty 後,他便會立即開始分析帳戶內 Amazon EC2 執行個體中的 VPC 流量日誌。它透過獨立且重複的流程日誌串流,直接從 VPC 流程日誌功能取用 VPC 流程日誌事件。此程序不會影響任何現有的流量日誌組態。
[Lambda 保護](lambda-protection.md)
Lambda 保護是 Amazon GuardDuty 的選用增強功能。目前,Lambda 網路活動監控包括來自您帳戶所有 Lambda 函數的 Amazon VPC 流量日誌,甚至包含不使用 VPC 網路的日誌。若要保護您的 Lambda 函數不受潛在安全威脅的影響,您需要在 GuardDuty 帳戶中設定 Lambda 保護。如需詳細資訊,請參閱[Lambda 保護](lambda-protection.md)。
[GuardDuty 執行期監控](runtime-monitoring.md)
當您在 EC2 執行個體的 EKS 執行期監控或執行期監控中管理安全代理程式 (手動或透過 GuardDuty),且 GuardDuty 目前部署在 Amazon EC2 執行個體上並從此執行個體接收 [收集的執行期事件類型](runtime-monitoring-collected-events.md) 時,GuardDuty 不會 AWS 帳戶 向 收取從此 Amazon EC2 執行個體分析 VPC 流量日誌的費用。這有助於 GuardDuty 避免帳戶中的雙重使用成本。
GuardDuty 不會管理您的流量日誌,或使其可在您的帳戶中進行存取。若要管理流量日誌的存取和保留,您必須設定 VPC 流量日誌功能。
## Route53 Resolver DNS 查詢日誌
如果您將 AWS DNS 解析程式用於 Amazon EC2 執行個體 (預設設定),GuardDuty 可以透過內部 DNS 解析程式存取和處理您的請求和回應 Route53 Resolver AWS DNS 查詢日誌。如果您使用另一個 DNS 解析器 (例如 OpenDNS 或 GoogleDNS),或者如果您設定自己的 DNS 解析器,則 GuardDuty 無法從此資料來源存取和處理資料。
當您啟用 GuardDuty 時,它會立即從獨立的資料串流分析 Route53 Resolver DNS 查詢日誌。此資料串流與透過 [Route 53 解析器查詢日誌記錄](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html?)功能提供的資料分開。此功能的組態不會影響 GuardDuty 分析。
**注意**
GuardDuty 不支援監控在 上啟動之 Amazon EC2 執行個體的 DNS 日誌, AWS Outposts 因為 Amazon Route 53 Resolver 查詢記錄功能在該環境中無法使用。