我在环境中激活了 GuardDuty,但是 GuardDuty 没有生成任何调查结果类型

1 分钟阅读
0

我激活了 Amazon GuardDuty 账户,但我没有收到任何调查结果类型。我应该如何对此进行故障排除?

简短描述

激活 GuardDuty 会立即开始监视安全威胁。如果 GuardDuty 发现安全问题,则会生成调查结果类型。如果 GuardDuty 未检测到安全威胁,则不会生成调查结果类型。

解决方法

要对 GuardDuty 未生成任何调查结果类型的原因进行故障排除,请检查以下配置:

数据来源

GuardDuty 使用其数据来源来检测某些 AWS 服务的资源类型的未经授权和意外活动。数据来源包括:

  • AWS CloudTrail 管理事件日志。
  • Virtual Private Cloud(Amazon VPC)流日志。
  • DNS 日志。
  • Amazon Simple Storage Service (Amazon S3) 的 CloudTrail 数据事件
  • Kubernetes 审核日志
  • Amazon Elastic Block Store (Amazon EBS) 卷数据

最佳实践是激活默认情况下未激活的 GuardDuty Kubernetes 保护Amazon S3 保护恶意软件防护

**注意:**仅当您使用默认 VPC DNS 解析器时,GuardDuty 才会处理 DNS 日志。所有其他类型的 DNS 解析器都不会生成基于 DNS 的调查结果。

GuardDuty 状态

必须激活 GuardDuty 才能生成调查结果类型。如果暂停或禁用 GuardDuty,则不会生成任何调查结果类型。最佳实践是在所有受支持的 AWS 区域中激活 GuardDuty。这使 GuardDuty 能够针对未经授权或异常活动生成调查结果类型,即使在您未主动使用的区域中也是如此。

可信 IP 列表

您可以将信任的 IP 地址添加到可信 IP 列表中,以便在 AWS 环境中进行通信。可信 IP 列表将阻止 GuardDuty 生成可信 IP 地址中出现的事件调查结果类型。

最佳做法是使用禁止规则而不是可信 IP 列表来了解环境中检测到的问题。禁止规则减少了调查结果类型的通知。禁止规则会自动存档由 GuardDuty 生成的符合特定条件的新调查结果。通过将调查结果视图下拉菜单从当前更改为已存档,可以从 GuardDuty 控制台查看禁止的调查结果。

要创建 GuardDuty 调查结果以进行测试,请执行以下操作之一:

有关更多信息,请参阅如何为 GuardDuty 设置可信 IP 地址列表?


相关信息

GuardDuty 入门

GuardDuty 为什么向我发送可信 IP 列表地址的警告调查结果提醒?

AWS 官方
AWS 官方已更新 2 年前