GuardDuty

GuardDuty工作原理

GuardDuty分析的日志来源如下:

  • CloudTrail
  • VPC Flow Logs,例如异常的流量或IP
  • DNS日志
  • EKS Audit Log

当检查到有异常时,会触发EventBridge到SNS或Lambda:

image-20230518090244504

多帐号管理

GuardDuty通过AWS Organization可以管理多帐号。可以指定一个帐号,当作GuardDuty的administrator帐号, 当检测到威胁时,子帐号和administrator帐号都会收到通知:

image-20230518154103546

GuardDuty的自动化响应

由于GuardDuty可以接EventBridge然后再接lambda, 所以通过lambda可以实现很多自动化响应的工作。

比如检查到有恶意请求时,更改WAF的Web ACL来阻挡这些请求:

image-20230518154345329

Trusted / Threat IP Lists

  • Trusted IP List :信任的IP列表,GuardDuty不会基于这些IP做扫描

  • Threat IP List:不信任的IP列表,GuardDuty只要检测到有这些IP就会报警;可以从三方的恶意IP库导入到GuardDuty

image-20230518154845437