入门概念 | Amazon GuardDuty是什么?


  主要功能

Amazon GuardDuty 是一项威胁检测服务,可持续监控恶意活动和未经授权的行为。GuardDuty 结合了机器学习 (ML)、异常检测和恶意文件发现,AWS 安全持续维护和改进这些检测算法,同时利用 AWS 和业内领先的第三方源帮助保护您的 AWS 账户、工作负载和数据。

  工作原理

GuardDuty 主要分析多个 AWS 数据来源中的事件,这些数据来源包括 AWS CloudTrail 日志、Amazon VPC 流日志和 DNS 查询日志。

GuardDuty 还可以选择监控 Amazon S3数据事件、Amazon Aurora 登录事件以及 Amazon EKS、Amazon EC2和 Amazon ECS的运行时活动,包括 AWS Fargate 上的无服务器容器工作负载。

启用GuardDuty不需要显式开启任何基础数据来源。启用后 GuardDuty,它会开始监视AWS环境。 可以随时为任何地区的任何账户禁用GuardDuty,禁用以后GuardDuty将停止处理基础数据源和任何单独启用的功能。