Amazon GuardDuty 是一款专门的云端威胁侦测服务，致力于自动化检测 AWS 环境中的异常活动和潜在威胁。GuardDuty 透过分析 AWS CloudTrail、VPC 流量日誌和 DNS 查询日誌来发现可疑行为。以下是其运作原理及技术特色的更深入说明

1. 资料来源与分析机制

GuardDuty 会持续从 AWS 的几个主要服务收集资料，无需额外配置：

• AWS CloudTrail：记录管理控制台操作、API 调用等活动。GuardDuty 可透过这些资料侦测未经授权的活动，如用户尝试存取未授权的资源或异常的 API 调用。
• VPC 流量日誌：监控进出 AWS Virtual Private Cloud (VPC) 的网路流量，侦测可疑流量，如内部资源被外部不明 IP 尝试存取，或异常的大流量可能是 DDoS 攻击的迹象。
• DNS 查询日誌：分析 DNS 查询模式，检测恶意软体或命令控制伺服器 (C&C) 尝试与外部连结。

2. 机器学习与行为基线

GuardDuty 利用机器学习模型和行为分析来建立每个用户环境的正常运作基线，并在有异常行为出现时产生警报。这些模型可以侦测细微的异常，如单一 IP 位址频繁尝试访问多个不同的 AWS 资源，这可能表明潜在的横向移动攻击。

3. 威胁情报整合

GuardDuty 与 AWS Threat Intelligence 服务集成，包括第三方威胁情报 (如 Proofpoint 和 CrowdStrike)，可以更快、更准确地发现来自外部的已知恶意活动。这些资料库定期更新，涵盖恶意 IP、域名、僵尸网络等已知威胁。

4. 主动反应与整合

GuardDuty 能够与 AWS Security Hub 和 Amazon Detective 无缝集成。AWS Security Hub 可以整合多个 AWS 服务的安全资讯，提供全局的安全监控。Amazon Detective 则帮助用户深入调查和追踪每一个安全事件，挖掘攻击背后的详细来源和过程。透过这些整合，企业不仅能快速侦测威胁，还能立即展开深入分析并採取行动。

5. 常见威胁类型

GuardDuty 侦测的威胁涵盖多个领域：

• 帐号攻击：检测到潜在的 AWS 身份识别与访问管理 (IAM) 凭证被滥用或暴露，如凭证泄露或通过 API 调用非法存取资源。
• 网路入侵与横向移动：识别来自外部攻击者的入侵尝试，或内部攻击者在 AWS 网路内部扩展攻击面。
• 恶意软体与僵尸网路：当恶意软体感染某一资源并试图联繫其命令控制伺服器时，GuardDuty 能够识别这些连线企图。
• 加密货币挖矿：GuardDuty 可检测恶意者利用 AWS 资源进行未授权的加密货币挖矿行为，这些行为会增加组织的成本并带来额外的安全风险。

6. 成本效益

GuardDuty 採用基于使用量的计费模式，根据分析的资料量收费，这使得企业能灵活地根据其需求规模使用 GuardDuty。此外，由于无需部署或维护额外的硬体或软体，这项服务极大地降低了运营成本。

在实际应用中，Amazon GuardDuty 常见于以下几个场景：

1. 异常流量检测

在企业运营中，GuardDuty 可以侦测到异常的网路流量。例如某个伺服器突然与不明的外国 IP 频繁通讯，这可能表明伺服器受到攻击或被植入恶意软体。GuardDuty 能自动生成警报，让企业在问题扩大前快速介入处理。
 

2. 加密货币挖矿防护

许多恶意攻击者会尝试入侵 AWS 资源以进行非法的加密货币挖矿。GuardDuty 透过监控流量模式，能够识别这类行为，帮助企业防止被恶意挖矿而造成的资源浪费和费用增加。

3. 识别凭证滥用

如果某个帐户的 AWS 凭证洩露或遭到滥用，GuardDuty 会立即检测出异常 API 调用行为，像是来自不寻常地区的存取请求，或突然的大量操作。这对于防止帐户遭骇有极大的帮助。

4. 横向移动侦测

当攻击者试图在 AWS 环境内横向移动并取得更多资源时，GuardDuty 能侦测这些内部行为并发出警报，协助企业及早识别内部的安全威胁。

总结来说，Amazon GuardDuty 提供了强大的云端安全防护功能，通过自动化威胁侦测、机器学习与威胁情报整合，帮助企业及时发现和应对潜在的安全威胁，确保 AWS 云端环境的安全性与稳定性。这是一款高度灵活且可扩展的解决方案，适合各类型企业运用于其 AWS 部署中。

额外补充：以下是 Amazon GuardDuty 与其他云端安全服务的比较表：

 

资料来源：https://aws.amazon.com/tw/guardduty/