Amazon GuardDuty

智能威胁检测，以保护您的 AWS 账户和工作负载、

Amazon GuardDuty 是一项持续安全监控服务，可分析和处理以下数据源：

VPC 流日志、AWS CloudTrail 事件日志和 DNS 日志

它使用威胁情报源 (例如，恶意 IP 和域的列表) 和机器学习来标识您 AWS 环境中意外的和未经授权的恶意活动。这包括了特权升级、使用遭暴露的凭证或者与恶意 IP、URL 或域通信等问题。

例如，GuardDuty 可检测提供恶意软件或进行比特币挖矿的受损 EC2 实例。此外，它还监控 AWS 账户访问行为是否有受损迹象，如未经授权的基础设施部署 (例如在从未使用过的区域中部署的实例) 或异常的 API 调用 (例如更改密码策略以减小密码强度)。

GuardDuty 通过生成安全结果向您通知 AWS 环境的状况，您可以在 GuardDuty 控制台中或者通过 Amazon CloudWatch 事件来查看。

如何使用GuardDuty