Amazon GuardDuty 集成
Amazon Web Services (AWS) GuardDuty 是一项威胁检测服务,可持续监控 AWS 网络中的活动,识别可能表明网络攻击或其他未授权行为的异常。它通过分析和处理 VPC 流日志、AWS CloudTrail 事件日志和 DNS 日志等数据源来实现这一目标。
通过 Site24x7 与 Amazon GuardDuty 的集成,您的 AWS 安全防线得到进一步加强,可将 GuardDuty 与其他安全和事件响应工具集成,实现数据汇总。
设置与配置
- 如果尚未完成,请通过以下方式之一,为您的 AWS 账号和 Site24x7 的 AWS 账号之间启用访问权限:
- 将 Site24x7 创建为 IAM 用户
- 创建跨账号 IAM 角色。了解更多。
- 在集成 AWS 账号页面的待发现服务字段中选择 GuardDuty。 了解更多。
策略与权限
Site24x7 使用多种 AWS GuardDuty API 来收集信息。请将 AWS 托管策略 ReadOnlyAccess 分配给 Site24x7 实体(IAM 用户或 IAM 角色),以帮助 Site24x7 收集指标和元数据。如果您希望分配自定义策略,请确保策略 JSON 中包含以下读取级别操作。 了解更多。
- "guardduty:ListDetectors"
- "guardduty:ListFindings"
- "guardduty:GetFindings"
轮询频率
Site24x7 按照轮询频率收集 GuardDuty 的指标数据。默认轮询间隔为一小时。了解更多。
支持的指标
| 指标名称 | 描述 | 统计方式 | 单位 |
|---|---|---|---|
| Finding Count Per Day | 每天检测到的发现数量 | Maximum | Count |
| High Severity Findings | 检测到的高严重性发现数量 | Maximum | Count |
| Medium Severity Findings | 检测到的中严重性发现数量 | Maximum | Count |
| Low Severity Findings | 检测到的低严重性发现数量 | Maximum | Count |
| Findings Count By Resource Type | 针对某资源类型检测到的发现数量 | Maximum | Count |
| Findings Count By Region | 针对某区域检测到的发现数量 | Maximum | Count |
| Findings Count By Action | 针对某操作类型检测到的发现数量 | Maximum | Count |
阈值配置
要为 GuardDuty 监视器配置阈值:
- 登录 Site24x7 账号,导航至管理 > 配置文件 > 阈值与可用性。
- 点击添加阈值配置文件。
- 从监视器类型下拉菜单中选择 GuardDuty。
- 在显示名称字段中填写合适的名称。
支持的指标将显示在阈值配置部分。您可以为上述所有指标设置阈值。
对所有已归档发现静默告警
默认情况下,如果某个 GuardDuty 监视器的所有发现在 AWS 控制台中均被归档,将发送宕机告警并暂停该监视器。如果您希望在此类情况下静默告警,请导航至所关联的阈值配置文件,将对所有已归档发现静默告警选项切换为是。
许可
每个 GuardDuty 发现类型监视器均视为基本监视器。了解更多。
Site24x7 的 AWS GuardDuty 监控界面
进入 GuardDuty 监控界面后,您将根据 AWS 控制台中支持的类别(包括行为、持久性、策略、侦察、隐身、未授权访问、木马及其他类别)找到各类详细信息。
每个 GuardDuty 发现类型在 Site24x7 控制台中即为一个监视器名称,并提供每日发现计数信息。点击每个监视器名称后,将出现以下标签:
GuardDuty 摘要
查看事件时间线、热门发现以及每日发现计数柱状图的概述。事件时间线提供监视器各类事件(如宕机、严重、告警、维护、异常和暂停)的时间线。热门发现部分提供 GuardDuty 检测到的发现 ARN、资源类型、严重程度、区域和发生次数等信息。
区域
此处显示区域详情、按区域划分的发现计数(当前和已归档)以及每日区域计数。区域详情部分包含区域、发现类型、当前发现数、已归档发现数和操作等信息。区域部分有助于获取某特定类别(如木马)的区域概况,并分析在哪些区域检测到了该威胁。
资源类型
此处显示资源类型详情、按类型划分的发现计数以及每日资源计数。资源类型详情部分包含资源名称、发现类型、发现计数(当前和已归档)和操作等信息。按类型划分的发现计数饼图有助于了解每种资源类型及其关联计数的资源概况。
操作类型
操作详情部分将显示特定发现类型(当前和已归档)发生原因的详细信息,以及发现计数。在"操作"列下,编辑选项允许您根据操作类型采取行动或添加自动化,例如,当网络连接是某个发现出现超过十次的原因时,系统将通知您。
阈值配置允许您根据设置的发现计数配置,为所选子监视器批量添加或编辑阈值。阈值设置仅适用于当前发现。
中断
中断标签中显示宕机、告警、严重等状态列表以及监视器的维护历史。此部分还提供中断的开始时间、结束时间、持续时长和备注(如有)等详细信息。
如果某个 GuardDuty 监视器的所有发现在 AWS 控制台中均被归档,它们将在 Site24x7 中被暂停。一旦在 AWS 控制台中将其重新设为当前发现,相应监视器将在 Site24x7 中恢复为正常状态。这样做可避免在 Site24x7 中不必要地占用许可证。
清单
在此处设置每个 GuardDuty 监视器的阈值配置详情。可设置的阈值参数包括高严重性发现、中严重性发现、按资源类型划分的发现计数、每日发现计数等。轮询频率和通知配置文件可根据用户需求进行设置并在此查看。
日志报表
可从此标签以 CSV 格式下载各 GuardDuty 发现日志状态的汇总报表。