本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 什麼是 Amazon GuardDuty？
<a name="what-is-guardduty"></a>

Amazon GuardDuty 是一種威脅偵測服務，可持續監控、分析和處理 AWS 您環境中的 AWS 資料來源和日誌。GuardDuty 使用威脅情報摘要，例如惡意 IP 地址和網域清單、檔案雜湊和機器學習 (ML) 模型，來識別您 AWS 環境中的可疑和潛在惡意活動。以下清單概述 GuardDuty 可協助您偵測的潛在威脅案例：
+ 遭入侵和洩漏的 AWS 登入資料。
+ 可能導致勒索軟體事件的資料外洩和銷毀。支援的 Amazon Aurora 和 Amazon RDS 資料庫引擎版本中異常的登入事件模式，表示異常行為。
+ Amazon Elastic Compute Cloud (Amazon EC2) 執行個體和容器工作負載中的未授權加密活動。
+ Amazon EC2 執行個體和容器工作負載中存在惡意軟體，以及 Amazon Simple Storage Service (Amazon S3) 儲存貯體中新上傳的檔案。
+ 作業系統層級、聯網和檔案事件，指出 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集、Amazon Elastic Container Service (Amazon ECS) - AWS Fargate 任務以及 Amazon EC2 執行個體和容器工作負載上未經授權的行為。

以下影片概述 GuardDuty 如何協助您偵測 AWS 環境中的威脅。

[![AWS Videos](http://img.youtube.com/vi/ng14ToMXnTA/0.jpg)](http://www.youtube.com/watch?v=ng14ToMXnTA)


**Topics**
+ [GuardDuty 的功能](#features-of-guardduty)
+ [PCI DSS 合規](#guardduty-pci-dss-compliance)
+ [GuardDuty 中的定價](guardduty-pricing.md)
+ [存取 GuardDuty](guardduty-access.md)

## GuardDuty 的功能
<a name="features-of-guardduty"></a>

以下是 Amazon GuardDuty 可協助您監控、偵測和管理 AWS 環境中潛在威脅的一些重要方式。

**持續監控特定資料來源和事件日誌**  
+ **基礎威脅偵測** – 當您在 中啟用 GuardDuty 時 AWS 帳戶，GuardDuty 會自動開始擷取與該帳戶相關聯的基礎資料來源。這些資料來源包括 AWS CloudTrail 管理事件、VPC 流程日誌 （來自 Amazon EC2 執行個體） 和 DNS 日誌。您不需要為 GuardDuty 啟用任何其他功能，即可開始分析和處理這些資料來源，以產生相關聯的安全調查結果。如需詳細資訊，請參閱[GuardDuty 基礎資料來源](guardduty_data-sources.md)。
+ **延伸威脅偵測** – 此功能可在 內偵測跨越基礎資料來源、多種 AWS 資源類型和時間的多階段攻擊 AWS 帳戶。您的帳戶中可能有多個事件，這些事件個別來說不會顯示為明確的威脅。不過，當在指示可疑活動的序列中觀察到這些事件時，GuardDuty 會將其識別為攻擊序列。GuardDuty 會透過產生關聯的攻擊序列調查結果類型來通知您，以提供有關觀察到的攻擊序列的詳細資訊。

  無需額外成本，延伸威脅偵測會在啟用 GuardDuty AWS 帳戶 時為每個 自動啟用。此功能不需要您啟用任何以使用案例為重點的保護計畫。不過，為了提高 Amazon S3 資源的安全性，GuardDuty 建議您在帳戶中啟用 S3 保護。這將有助於擴充威脅偵測識別可能影響 Amazon S3 資源的多階段攻擊。

  如需此功能如何運作及其涵蓋的威脅案例的詳細資訊，請參閱 [GuardDuty 延伸威脅偵測](guardduty-extended-threat-detection.md)。
+ 以**使用案例為重心的 GuardDuty 保護計畫** – 為了增強對您 AWS 環境安全性的威脅偵測可見性，GuardDuty 提供您可以選擇啟用的專用保護計畫。保護計畫可協助您監控來自其他服務的日誌和事件 AWS 。這些來源包括 EKS 稽核日誌、RDS 登入活動、CloudTrail 中的 Amazon S3 資料事件、EBS 磁碟區、跨 Amazon EKS 的執行期監控、Amazon EC2 和 Amazon ECS-Fargate，以及 Lambda 網路活動日誌。GuardDuty 會將這些日誌和事件來源合併為 - [功能](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-features-activation-model.html)一詞。 AWS 區域 您可以隨時在支援的 中啟用一或多個專用保護計畫。GuardDuty 會根據您啟用的保護計畫，開始監控、處理和分析活動。如需每個保護計畫及其運作方式的詳細資訊，請參閱對應的保護計畫文件。    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/what-is-guardduty.html)
**獨立啟用 S3 的惡意軟體防護**  
GuardDuty 提供彈性來獨立使用 S3 的惡意軟體防護，而無需啟用 Amazon GuardDuty 服務。如需僅針對 S3 的惡意軟體防護入門的詳細資訊，請參閱 [S3 的 GuardDuty 惡意軟體防護](gdu-malware-protection-s3.md)。若要使用所有其他保護計畫，您必須啟用 GuardDuty 服務。

**管理多帳戶環境**  
您可以使用 AWS Organizations （建議） 或舊版邀請方法管理多帳戶 AWS 環境。如需詳細資訊，請參閱[GuardDuty 中的多個帳戶](guardduty_accounts.md)。

**產生偵測到威脅的安全調查結果**  
當 GuardDuty 偵測到與 AWS 資源相關的潛在安全威脅時，它會開始產生安全調查結果，以提供潛在洩露資源的相關資訊。在帳戶中啟用 GuardDuty 後，請產生 [範例問題清單](sample_findings.md)以檢視關聯的 [調查結果詳細資訊](guardduty_findings-summary.md)。如需安全調查結果的完整清單，請參閱 [GuardDuty 調查結果類型](guardduty_finding-types-active.md)。  
透過 GuardDuty，您也可以使用產生特定 GuardDuty 安全調查結果的測試器指令碼，了解如何檢閱和回應 GuardDuty 調查結果。如需詳細資訊，請參閱[在專用帳戶中測試 GuardDuty 調查結果](guardduty_findings-scripts.md)。

**評估和管理安全調查結果**  
GuardDuty 會合併跨帳戶的安全性調查結果，並在 GuardDuty 主控台的摘要儀表板中顯示結果。您也可以透過 AWS Security Hub CSPM API AWS Command Line Interface或 AWS SDK 擷取問題清單。透過對目前安全狀態的整體檢視，您可以識別趨勢和潛在問題，並採取必要的修復步驟。如需詳細資訊，請參閱[管理 GuardDuty 調查結果](findings_management.md)。

 **與相關 AWS 安全服務整合**   
為了進一步協助您分析和調查 AWS 環境中的安全趨勢，請考慮使用下列 AWS 安全相關服務搭配 GuardDuty。  
+ **AWS Security Hub CSPM** – 此服務可讓您全面檢視資源的安全狀態 AWS ，並協助您根據安全產業標準和最佳實務檢查 AWS 環境。部分作法是取用、彙總、組織和排定來自多個 AWS 服務 （包括 Amazon Macie) 和支援 AWS 合作夥伴網路 (APN) 產品的安全調查結果優先順序。Security Hub CSPM 可協助您分析安全趨勢，並識別整個 AWS 環境中最優先的安全問題。

  如需有關同時使用 GuardDuty 和 Security Hub CSPM 的資訊，請參閱 [將 GuardDuty 與 整合 AWS Security Hub CSPM](guardduty_integrations.md#gd-securityhub)。若要進一步了解 Security Hub CSPM，請參閱 [AWS Security Hub 使用者指南](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)。
+ **Amazon Detective** – 此服務可協助您分析、調查和快速識別安全調查結果或可疑活動的根本原因。Detective 會自動從您的 AWS 資源收集日誌資料。Detective 接著會使用機器學習、統計分析和圖論來產生視覺化內容，協助您更快地進行有效率的安全調查。Detective 預先建置的資料彙總、摘要和內容可協助您分析和判斷潛在安全問題的性質和範圍。

  如需有關同時使用 GuardDuty 和 Detective 的資訊，請參閱 [將 GuardDuty 與 Amazon Detective 整合](guardduty_integrations.md#gd-detective)。若要進一步了解 Detective，請參閱 [Amazon Detective 使用者指南](https://docs.aws.amazon.com/detective/latest/userguide/what-is-detective.html)。
+ **Amazon EventBridge** – 此服務可協助您接收通知，並近乎即時地回應 GuardDuty 安全調查結果。當問題清單發生變更時，GuardDuty 會建立事件。您可以選擇接收 EventBridge 通知的頻率。如需詳細資訊，請參閱《[Amazon EventBridge 使用者指南》中的什麼是](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) *Amazon EventBridge*。

## PCI DSS 合規
<a name="guardduty-pci-dss-compliance"></a>

GuardDuty 支援商家或服務供應商處理、儲存和傳輸信用卡資料，並已驗證為符合支付卡產業 (PCI) 資料安全標準 (DSS)。如需 PCI DSS 的詳細資訊，包括如何請求 AWS PCI 合規套件的副本，請參閱 [PCI DSS 第 1 級](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)。

如需詳細資訊，請參閱 *AWS 安全部落格*中的[新第三方測試將 Amazon GuardDuty 與網路入侵偵測系統進行比較](https://aws.amazon.com/blogs/security/new-third-party-test-compares-amazon-guardduty-to-network-intrusion-detection-systems/)。