客户希望能对AWS环境中的网络活动和账户行为进行持续监控,Amazon GuardDuty正是这样一个服务,它可以通过分析多个日志数据源,持续监测AWS平台内账号和负载的运行情况和而且利用Amazon CloudWatch 事件和 AWS Lambda 执行自动化的通知和修复操作,本文介绍如何通过结合使用Amazon CloudWatch event,AWS Lambda,Amazon SNS和Amazon ...
調查結果是一種包含 GuardDuty 所發現潛在安全問題詳細資訊的通知。如需有關 GuardDuty 調查結果類型重要變更的詳細資訊,包括新增或淘汰的調查結果類型,請參閱Amazon GuardDuty 文件歷史記錄。 下列調查結果類型已淘汰,GuardDuty 不再產生這類調查結果。 重要
最后,确认您从 SNS 收到的订阅电子邮件。查找来自以下地址的电子邮件:AWS Notifications <no-reply@sns.amazonaws.com>,打开消息并选择确认订阅以允许 SNS 在 SNS 主题收到有关新 GuardDuty 调查结果的通知时向您发送电子邮件。 设置Kibana 仪表板并启用 GuardDuty 现在,您可以使用自定义可视化设置 Kibana 仪表板。
此調查結果會通知您,已在 Amazon EC2 執行個體或 AWS 環境中的容器中執行可疑命令。命令會嘗試執行權限提升,這可讓對手執行高權限任務。 GuardDuty 會檢查相關的執行時間活動和內容,並只在相關的活動和內容異常或可疑時才產生此調查結果類型。 Amazon EC2 執行個體或問題清單詳細資訊中列出的容器可能已遭到入侵。
在IBM QRadar中添加日志源之前,必须在使用 Amazon AWS S3 REST API 协议时,在 AWS 管理控制台中创建 SQS 队列并配置 S3 ObjectCreated 通知。
此調查結果會通知您,在您 AWS 環境中的 RDS 資料庫上觀察到異常的成功登入。這可能表示先前未出現的使用者是第一次登入 RDS 資料庫。常見的案例是內部使用者登入資料庫,該資料庫是由應用程式以程式設計方式存取,而不是由個別使用者存取。 GuardDuty 異常偵測機器學習 (ML) 模型將此成功登入識別為異常狀況。ML 模...
此发现通知您列出的 EC2 实例或 AWS 环境中的容器可能由于查询的域名被重定向到黑洞 IP 地址而受到威胁。黑洞是网络中的一些位置,在这些位置中会将传入或传出流量静默丢弃,而不向源通知数据未达到源目标接收方。 GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的...