例如在一天之中的非典型时间从异常地理位置访问 AWS 资源。对于编程 AWS 账户, GuardDuty 能够检查异常 API 调用,例如试图通过禁用 CloudTrail 日志记录或从恶意 IP 地址创建数据库快照掩盖账户活动。
例如 API 活动异常、可疑的数据库登录尝试、 VPC 内部端口扫描、登录请求失败模式异常或未被阻止的来自已知不良 IP 地址的端口探测。
例如加密货币挖矿、后门命令和控制(C&C)活动、Amazon EC2 的运行时活动、使用域名生成算法(DGA)的恶意软件、出站拒绝服务活动、网络流量异常高、
网络协议异常、与已知恶意 IP 进行出站实例通信、外部 IP 地址使用 Amazon EC2 临时凭证以及使用 DNS 造成数据外泄。
例如表明凭证滥用的可疑数据访问模式、来自远程主机的异常 Amazon S3 API 活动、来自已知恶意 IP 地址的未授权 S3 访问,
以及用户为在 S3 存储桶中检索数据而进行的 API 调用,该用户之前没有访问存储桶的历史记录或者从异常位置进行了调用。
Amazon GuardDuty 会持续监控和分析 AWS CloudTrail S3 数据事件(例如 GetObject、ListObjects、DeleteObject),
以检测您所有 Amazon S3 存储桶中的可疑活动。
GuardDuty 生成挂载到 EC2 实例或容器工作负载等的 Amazon EBS 卷的临时副本,并扫描这些卷副本是否存在木马、
蠕虫、加密矿工、rootkit、自动程序和更多威胁,它们可能会被用于盗用工作负载、将资源重新用于恶意用途,以及获得对数据的未经授权访问。
GuardDuty 恶意软件防护生成情景化的检测结果,可用于验证可疑行为的来源。这些检测结果可以传送给适当的管理员,并发起自动修复。
通过分析其 EKS 审计日志和 Amazon EKS 或 Amazon ECS 中的容器运行时活动,对 Amazon EKS 集群进行持续监控和分析,从而检测出容器工作负载中可能存在的恶意或可疑行为。