Amazon GuardDuty 集成
Amazon Web Services (AWS) GuardDuty 是一种威胁检测服务,可不断监控您的 AWS 网络中的活动是否存在异常行为,这可能表明网络攻击或其他未经授权的活动。它通过分析和处理来自 VPC flow日志、AWS CloudTrail 事件日志和 DNS 日志等来源的数据来做到这一点。
通过 Site24x7与 Amazon GuardDuty 的集成,您的 AWS 安全前沿通过与您的其他安全和事件响应工具集成以聚合数据而得到进一步改进。
设置和配置
- 如果您还没有,请通过以下任一方式在您的 AWS 账户和 Site24x7 的 AWS 账户之间启用对 AWS 资源的访问:
- 以 IAM 用户身份创建 Site24x7,或
- 创建跨账户 IAM 角色。了解更多。
- 在集成 AWS 账户页面上,选中名为 GuardDuty 的相应复选框。了解更多。
策略和权限
Site24x7 使用各种 AWS GuardDuty API 来收集信息。将 AWS 托管策略 ReadOnlyAccess 分配给 Site24x7 实体(IAM 用户或 IAM 角色)以帮助 Site24x7 收集指标和元数据。如果要分配自定义策略,请确保策略 JSON 中存在以下读取级别操作。 了解更多。
- "guardduty:ListDetectors",
- "guardduty:ListFindings",
- "guardduty:GetFindings"
轮询频率
Site24x7 根据轮询频率收集 GuardDuty 的指标数据。轮询间隔默认为 1 小时。 了解更多。
许可
每个 GuardDuty 监视器都被视为基本监视器。 了解更多。
Site24x7 的 AWS GuardDuty 监控界面
当您导航到 GuardDuty 监控界面时,您会发现基于行为、持久性、策略、侦察、隐身、未经授权访问、特洛伊木马以及 AWS 控制台支持的其他类别等类别的各种详细信息。
每个类别都被视为 Site24x7 控制台中的监视器名称,并提供有关每天查找计数的信息。单击每个监视器名称时,将显示以下选项卡:
GuardDuty 摘要
接收事件时间线、热门发现和每日发现计数的条形图的概述。事件时间线提供了监视器发生的不同事件的时间线,例如停机、严重、故障、维护、异常和暂停。主要结果部分提供有关 GuardDuty 检测到的结果 ARN、资源类型、严重性、区域和出现次数的信息。
地区
此处显示有关区域详细信息、按区域划分的结果计数(当前和存档)以及每天的区域计数的信息。区域详细信息部分包括有关区域、结果类型、当前结果、存档结果和操作的信息。区域部分有助于获取特定类别(即特洛伊木马)的区域概览,并分析已检测到此威胁的区域。
资源类型
此处显示有关资源类型详细信息、按类型计数的结果和每天的资源计数的信息。资源类型详细信息部分包括有关资源名称、结果类型、结果计数(当前和存档)和操作的信息。提供按类型统计的结果计数饼图,以帮助对每种资源类型及其相关计数进行资源概览。
动作类型
有关特定结果类型(当前和存档)发生原因的详细信息将显示在“操作类型”中,以及“操作详细信息”部分的“结果计数”中。在“操作”列下,编辑选项可让您根据“操作类型”执行任何操作或添加自动化,例如,当网络连接是特定结果发生十次以上的原因时通知您。
阈值配置允许您根据您设置的查找计数配置为您选择的各种子监视器添加或编辑批量阈值。阈值设置仅适用于当前结果。
中断
停机、故障、严重等状态列表以及监视器的维护历史记录显示在“中断”选项卡中。本节还提供了有关中断的开始时间到结束时间、持续时间和评论(如果有)的详细信息。
如果特定 GuardDuty 监视器中的所有结果都存档在 AWS 控制台中,它们将在 Site24x7 中暂停。一旦它们作为 AWS 控制台中的当前结果移回,监视器将在 Site24x7 中再次启动。这是为了避免在 Site24x7 中使用不必要的许可。
资源清单
每个 GuardDuty 监视器的阈值配置详细信息在此处设置。可以设置的各种阈值参数包括高严重性调查结果、中等严重性调查结果、按资源类型分类的调查结果计数、每天的调查结果计数等。轮询频率和通知配置文件可以根据用户设置并在此处查看。
日志报表
可以从该选项卡以 CSV 格式下载各种 GuardDuty 调查结果的日志状态综合报表。