Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
为什么在环境中启用 GuardDuty 之后,并未生成任何调查发现类型?
我已启用 Amazon GuardDuty 账户,但尚未收到任何调查发现类型。
解决方法
检查 GuardDuty 状态
确保您已启用 GuardDuty。如果您已暂停或关闭 GuardDuty,则 GuardDuty 不会生成任何调查发现类型。最佳做法是在所有支持的 AWS 区域中启用 GuardDuty。这样,即使是在未主动使用的区域,GuardDuty 也能针对未经授权或异常的活动生成调查发现类型。
**注意:**如果 GuardDuty 未检测到安全威胁,则不会生成调查发现类型。
启用数据源
GuardDuty 使用数据源来检测某些 AWS 服务资源类型的未经授权和意外活动。确认您已激活所有数据源。
最佳做法是启用以下防护:
- Amazon Elastic Kubernetes Service (Amazon EKS) 防护
- Amazon Simple Storage Service (Amazon) S3 防护
- 适用于 Amazon Elastic Compute Cloud (Amazon EC2) 的恶意软件防护
如果 GuardDuty 未将某个恶意文件检测为恶意软件,请检查您是否已启用必要的防护。确认文件的恶意软件状态。
**注意:**GuardDuty 仅在您使用默认虚拟私有云 (VPC) DNS 解析器时处理 DNS 日志。其他类型的 DNS 解析器不会生成基于 DNS 的调查发现。
查看可信 IP 地址列表中已隐藏的调查发现
如果您设置了可信 IP 地址列表,则它们会阻止为可信 IP 地址出现的事件生成调查发现类型。
最佳做法是使用隐藏规则而非可信 IP 地址列表来识别环境中检测到的问题。您可以通过 GuardDuty 控制台将 Findings(调查发现)视图菜单从 Current(当前)更改为 Archived(已归档),即可查看已隐藏的调查发现。
调查发现测试示例
要创建 GuardDuty 调查发现示例以进行测试,请执行以下操作之一:
相关信息
- 语言
- 中文 (简体)
