

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 什麼是 Amazon GuardDuty？
<a name="what-is-guardduty"></a>

Amazon GuardDuty 是一種威脅偵測服務，可持續監控、分析和處理 AWS 您環境中的 AWS 資料來源和日誌。GuardDuty 使用威脅情報摘要，例如惡意 IP 地址和網域清單、檔案雜湊和機器學習 (ML) 模型，來識別 AWS 環境中的可疑和潛在惡意活動。以下清單概述 GuardDuty 可協助您偵測的潛在威脅案例：
+ 遭入侵和洩漏的 AWS 登入資料。
+ 可能導致勒索軟體事件的資料外洩和銷毀。支援 Amazon Aurora 和 Amazon RDS 資料庫引擎版本中登入事件的異常模式，表示異常行為。
+ Amazon Elastic Compute Cloud (Amazon EC2) 執行個體和容器工作負載中未經授權的加密挖掘活動。
+ Amazon EC2 執行個體和容器工作負載中存在惡意軟體，以及 Amazon Simple Storage Service (Amazon S3) 儲存貯體中新上傳的檔案。
+ 作業系統層級、聯網和檔案事件，指出 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集、Amazon Elastic Container Service (Amazon ECS) - AWS Fargate 任務，以及 Amazon EC2 執行個體和容器工作負載上未經授權的行為。

以下影片概述 GuardDuty 如何協助您偵測 AWS 環境中的威脅。

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/ng14ToMXnTA/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/ng14ToMXnTA)


**Topics**
+ [GuardDuty 的功能](#features-of-guardduty)
+ [PCI DSS 合規](#guardduty-pci-dss-compliance)
+ [GuardDuty 中的定價](guardduty-pricing.md)
+ [存取 GuardDuty](guardduty-access.md)

## GuardDuty 的功能
<a name="features-of-guardduty"></a>

以下是 Amazon GuardDuty 可協助您監控、偵測和管理 AWS 環境中潛在威脅的一些重要方式。

**持續監控特定資料來源和事件日誌**  
+ **基礎威脅偵測** – 當您在 中啟用 GuardDuty 時 AWS 帳戶，GuardDuty 會自動開始擷取與該帳戶相關聯的基礎資料來源。這些資料來源包括 AWS CloudTrail 管理事件、VPC 流程日誌 （來自 Amazon EC2 執行個體） 和 DNS 日誌。您不需要為 GuardDuty 啟用任何其他功能，即可開始分析和處理這些資料來源，以產生相關聯的安全調查結果。如需詳細資訊，請參閱[GuardDuty 基礎資料來源](guardduty_data-sources.md)。
+ **延伸威脅偵測** – 此功能可在 內偵測跨越基礎資料來源、多種 AWS 資源類型和時間的多階段攻擊 AWS 帳戶。您的帳戶中可能有多個事件，這些事件個別來說不會顯示為明確的威脅。不過，當在指示可疑活動的序列中觀察到這些事件時，GuardDuty 會將其識別為攻擊序列。GuardDuty 會透過產生關聯的攻擊序列調查結果類型來通知您，以提供有關觀察到的攻擊序列的詳細資訊。

  無需額外成本，延伸威脅偵測會在啟用 GuardDuty AWS 帳戶 時為每個 自動啟用。此功能不需要您啟用任何以使用案例為重點的保護計畫。不過，為了提高 Amazon S3 資源的安全性，GuardDuty 建議在您的帳戶中啟用 S3 保護。這將有助於延伸威脅偵測識別可能影響 Amazon S3 資源的多階段攻擊。

  如需此功能如何運作及其涵蓋的威脅案例的詳細資訊，請參閱 [GuardDuty 延伸威脅偵測](guardduty-extended-threat-detection.md)。
+ 以**使用案例為中心的 GuardDuty 保護計畫** – 為了增強對您 AWS 環境安全性的威脅偵測可見性，GuardDuty 提供您可以選擇啟用的專用保護計畫。保護計畫可協助您監控來自其他服務的日誌和事件 AWS 。這些來源包括 EKS 稽核日誌、RDS 登入活動、CloudTrail 中的 Amazon S3 資料事件、EBS 磁碟區、跨 Amazon EKS 的執行期監控、Amazon EC2 和 Amazon ECS-Fargate，以及 Lambda 網路活動日誌。GuardDuty 會將這些日誌和事件來源合併為 - [功能](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-features-activation-model.html)一詞。 AWS 區域 您可以隨時在支援的 中啟用一或多個專用保護計畫。GuardDuty 會根據您啟用的保護計畫，開始監控、處理和分析活動。如需每個保護計畫及其運作方式的詳細資訊，請參閱對應的保護計畫文件。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/what-is-guardduty.html)
**獨立啟用 S3 的惡意軟體防護**  
GuardDuty 提供彈性來獨立使用 S3 的惡意軟體防護，而無需啟用 Amazon GuardDuty 服務。如需僅針對 S3 的惡意軟體防護入門的詳細資訊，請參閱 [S3 的 GuardDuty 惡意軟體防護](gdu-malware-protection-s3.md)。若要使用所有其他保護計畫，您必須啟用 GuardDuty 服務。

**管理多帳戶環境**  
您可以使用 AWS Organizations （建議） 或舊版邀請方法管理多帳戶 AWS 環境。如需詳細資訊，請參閱[GuardDuty 中的多個帳戶](guardduty_accounts.md)。

**產生偵測到威脅的安全調查結果**  
當 GuardDuty 偵測到與您的 AWS 資源相關的潛在安全威脅時，它會開始產生安全調查結果，以提供潛在洩露資源的相關資訊。在帳戶中啟用 GuardDuty 之後，請產生 [範例問題清單](sample_findings.md)以檢視相關聯的 [調查結果詳細資訊](guardduty_findings-summary.md)。如需安全調查結果的完整清單，請參閱 [GuardDuty 調查結果類型](guardduty_finding-types-active.md)。  
透過 GuardDuty，您也可以使用產生特定 GuardDuty 安全調查結果的測試器指令碼，了解如何檢閱和回應 GuardDuty 調查結果。如需詳細資訊，請參閱[在專用帳戶中測試 GuardDuty 調查結果](guardduty_findings-scripts.md)。

**評估和管理安全調查結果**  
GuardDuty 會合併您跨帳戶的安全性調查結果，並在 GuardDuty 主控台的摘要儀表板中顯示結果。您也可以透過 AWS Security Hub CSPM API AWS Command Line Interface或 AWS SDK 擷取問題清單。透過對目前安全狀態的全面檢視，您可以識別趨勢和潛在問題，並採取必要的修復步驟。如需詳細資訊，請參閱[管理 GuardDuty 調查結果](findings_management.md)。

 **與相關 AWS 安全服務整合**   
為了進一步協助您分析和調查 AWS 環境中的安全趨勢，請考慮使用下列 AWS 安全相關服務搭配 GuardDuty。  
+ **AWS Security Hub CSPM** – 此服務可讓您全面檢視資源的安全狀態 AWS ，並協助您根據安全產業標準和最佳實務檢查 AWS 環境。它透過取用、彙總、組織和優先處理來自多個 AWS 服務 （包括 Amazon Macie) 和支援 AWS 合作夥伴網路 (APN) 產品的安全性問題清單，進行部分操作。Security Hub CSPM 可協助您分析安全趨勢，並識別整個 AWS 環境的最高優先順序安全問題。

  如需有關同時使用 GuardDuty 和 Security Hub CSPM 的資訊，請參閱 [將 GuardDuty 與 整合 AWS Security Hub CSPM](guardduty_integrations.md#gd-securityhub)。若要進一步了解 Security Hub CSPM，請參閱 [AWS Security Hub 使用者指南](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)。
+ **Amazon Detective** – 此服務可協助您分析、調查和快速識別安全調查結果或可疑活動的根本原因。Detective 會自動從您的 AWS 資源收集日誌資料。Detective 接著會使用機器學習、統計分析和圖論來產生視覺化內容，協助您更快地進行有效率的安全調查。Detective 預先建置的資料彙總、摘要和內容可協助您分析和判斷潛在安全問題的性質和範圍。

  如需搭配使用 GuardDuty 和 Detective 的詳細資訊，請參閱 [將 GuardDuty 與 Amazon Detective 整合](guardduty_integrations.md#gd-detective)。若要進一步了解 Detective，請參閱 [Amazon Detective 使用者指南](https://docs.aws.amazon.com/detective/latest/userguide/what-is-detective.html)。
+ **Amazon EventBridge** – 此服務可協助您接收通知，並近乎即時地回應 GuardDuty 安全調查結果。當問題清單發生變更時，GuardDuty 會建立事件。您可以選擇接收 EventBridge 通知的頻率。如需詳細資訊，請參閱《[Amazon EventBridge 使用者指南》中的什麼是](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) *Amazon EventBridge*。

## PCI DSS 合規
<a name="guardduty-pci-dss-compliance"></a>

GuardDuty 支援商家或服務供應商處理、儲存和傳輸信用卡資料，並已驗證為符合支付卡產業 (PCI) 資料安全標準 (DSS)。如需 PCI DSS 的詳細資訊，包括如何請求 AWS PCI 合規套件的副本，請參閱 [PCI DSS 第 1 級](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)。

如需詳細資訊，請參閱 *AWS 安全部落格*中的[新第三方測試將 Amazon GuardDuty 與網路入侵偵測系統進行比較](https://aws.amazon.com/blogs/security/new-third-party-test-compares-amazon-guardduty-to-network-intrusion-detection-systems/)。

# GuardDuty 中的定價
<a name="guardduty-pricing"></a>

本節著重於 GuardDuty 用於各種保護計畫的 AWS 免費方案 模型，以及如何檢視預估和實際用量成本。如果您要尋找與跨支援區域的所有保護計劃相關聯的定價詳細資訊，請參閱 [GuardDuty 定價](https://aws.amazon.com/guardduty/pricing/)。

**AWS 免費方案**  
AWS 免費方案 可協助您 AWS 服務 免費探索和嘗試，最高可達每個服務的指定限制。有三種類別：12 個月免費、一律免費和短期免費試用。Amazon GuardDuty 屬於短期免費試用類別，並提供 30 天的免費試用。當您在此免費試用結束後繼續使用 GuardDuty 時，會根據您使用此服務的方式開始產生成本。

****1**GuardDuty 30 天免費試用例外狀況**  
隨需惡意軟體掃描 （在 EC2 的惡意軟體防護下） 和 S3 的惡意軟體防護不屬於 GuardDuty 30 天短期免費試用類別。S3 的惡意軟體防護屬於 的 12 個月免費類別， AWS 免費方案 而隨需惡意軟體掃描遵循pay-as-you-use的成本模型。沒有 30 天免費試用或 12 個月隨需惡意軟體掃描的免費方案成本模型。

## 使用 GuardDuty 30 天免費試用
<a name="using-guardduty-30-day-free-trial"></a>

第一次在 中使用 GuardDuty 時 AWS 區域，您的 AWS 帳戶 會自動註冊在該區域中的 30 天免費試用。部分保護計畫也會自動啟用，並包含在 30 天免費試用中。由於 GuardDuty 是區域服務，因此當您第一次在不同區域中啟用它時，您的帳戶將在該區域中獲得 30 天的 GuardDuty 免費試用。在 GuardDuty 組織中使用多個帳戶時，每個帳戶都會獲得自己的 30 天免費試用。

使用下表檢閱 GuardDuty 預設啟用的保護計畫及其免費試用可用性。


| 保護計畫 | 使用 GuardDuty 預設啟用 | 個別免費試用可用性**[2](#protection-plan-separate-enablement-gdu)** | 
| --- | --- | --- | 
| [EKS 保護](kubernetes-protection.md) | 是 | 是 | 
| [S3 保護](s3-protection.md) | 是 | 是 | 
| [執行時期監控](runtime-monitoring.md) | 否 | 是 | 
| [EC2 的惡意軟體防護](malware-protection.md) – [GuardDuty 起始的惡意軟體掃描](gdu-initiated-malware-scan.md)  | 是 | 是 | 
|  [EC2 的惡意軟體防護](malware-protection.md) – [GuardDuty 中的隨需惡意軟體掃描](on-demand-malware-scan.md)  | 否 | 否[1](#protection-plan-exception-free-trial-gdu) | 
| [S3 的 GuardDuty 惡意軟體防護](gdu-malware-protection-s3.md) | 否 | 否[1](#protection-plan-exception-free-trial-gdu) | 
| [RDS 保護](rds-protection.md) | 是 | 是 | 
| [Lambda 保護](lambda-protection.md) | 是 | 是 | 

**2**當您第一次啟用 GuardDuty 時，系統會自動啟用保護計畫 （執行期監控除外），並包含在初始的 30 天免費試用中。當現有的 GuardDuty 帳戶在其初始 GuardDuty 免費試用到期後啟用新的保護計畫時，該保護計畫會隨附自己的 30 天免費試用。如需保護計畫免費試用的詳細資訊，請參閱與每個保護計畫相關聯的文件。

**檢視免費試用期間的預估用量成本** – 在 GuardDuty 的 30 天免費試用期間，以及潛在的保護計畫期間，GuardDuty 會為您的 帳戶提供預估用量成本。如果您是委派的 GuardDuty 管理員帳戶，您可以檢視已啟用 GuardDuty 的所有成員帳戶的總預估用量成本和帳戶層級明細。如需詳細資訊，請參閱[監控 GuardDuty 用量和估算成本](monitoring_costs.md)。

**免費試用結束後的使用成本** – 當您在免費試用結束後繼續使用 GuardDuty 或其任何保護計畫時，將會開始產生相關的使用成本。若要檢視您的帳單，請導覽至 [https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/) 主控台中的 **Cost Explorer**。如需 AWS 帳戶帳單的詳細資訊，請參閱[AWS Billing 《 使用者指南》](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html)。

## 使用適用於 S3 的惡意軟體防護搭配 12 個月的免費方案
<a name="using-free-tier-malware-protection-for-s3"></a>

S3 的惡意軟體防護使用與您的 相關聯的免費方案 AWS 帳戶 ，該方案是新的、持續的免費方案，或是過期的 12 個月免費方案。如需詳細資訊，請參閱[S3 惡意軟體防護的定價和使用成本](pricing-malware-protection-for-s3-guardduty.md)。

# 存取 GuardDuty
<a name="guardduty-access"></a>

Amazon GuardDuty 適用於大多數 AWS 區域。如需目前可使用 GuardDuty 的區域清單，請參閱 [區域與端點](guardduty_regions.md)。

您可以透過下列任何方式使用 GuardDuty：

**GuardDuty 主控台**  
[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)  
該主控台是一種以瀏覽器為基礎的介面，可存取和使用 GuardDuty。GuardDuty 主控台可讓您存取您的 GuardDuty 帳戶、資料和資源。

**AWS Command Line Interface**  
使用 AWS Command Line Interface (AWS CLI)，您可以在系統的命令列發出命令，以執行 GuardDuty 任務和 AWS 任務。如果您想要建置執行任務的指令碼，這些 AWS CLI 命令很有用。  
如需安裝和使用 的相關資訊 AWS CLI，請參閱 [AWS Command Line Interface 使用者指南](https://docs.aws.amazon.com/cli/latest/userguide/)。若要檢視 GuardDuty 的可用 AWS CLI 命令，請參閱[AWS CLI 命令參考](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/index.html)。

**GuardDuty HTTPS API**  
您可以使用 GuardDuty HTTPS API 以 AWS 程式設計方式存取 GuardDuty，這可讓您直接向服務發出 HTTPS 請求。如需詳細資訊，請參閱 [Amazon GuardDuty API 參考](https://docs.aws.amazon.com/guardduty/latest/APIReference/)。

**AWS SDKs**  
AWS 提供軟體開發套件 (SDKs)，其中包含適用於各種程式設計語言和平台 (Java、Python、Ruby、.NET、iOS、Android 等） 的程式庫和範本程式碼。軟體開發套件提供便捷方法來建立對 GuardDuty 的程式化存取。如需 AWS 開發套件的其他資訊 (包括如何下載並安裝開發套件)，請參閱 [Amazon Web Services 工具](https://aws.amazon.com/tools/)。