AWS 基础设施保护丨体验最卓越的云安全服务

Amazon GuardDuty 内置的检测技术是专门针对云服务开发和优化的技术。其检测算法由 AWS 安全团队进行维护和不断改进。主要检测类别包括：

侦察 — 表明攻击者在进行侦察的活动，例如 API 活动异常、VPC 内部端口扫描、登录请求失败模式异常或未被阻止的来自已知不良 IP 地址的端口探测。

实例盗用 — 表明存在实例盗用的活动，例如加密货币挖矿、后门命令和控制 (C&C) 活动、恶意使用域名生成算法 (DGA)、出站拒绝服务活动、网络流量异常高、网络协议异常、与已知恶意 IP 进行出站实例通信、外部 IP 地址使用 Amazon EC2 临时凭证以及使用 DNS 造成数据外泄。

账户盗用 — 表明存在账户盗用的常见形式包括：来自异常位置或匿名代理的 API 调用、试图禁用 AWS CloudTrail 日志记录功能、实例或基础设施异常启动、在异常区域部署基础设施以及来自已知恶意 IP 地址的 API 调用。

存储桶入侵 – 指示存储桶入侵的活动，例如指示凭证滥用的可疑数据访问模式、来自远程主机的异常 S3 API 活动、来自已知恶意 IP 地址的未授权 S3 访问，以及用户为在 S3 存储桶中检索数据而进行的 API 调用，该用户之前没有访问存储桶的历史记录或者从异常位置进行了调用。Amazon GuardDuty 会持续监控和分析 AWS CloudTrail S3 数据事件（例如 GetObject、ListObjects、DeleteObject），以检测您所有 Amazon S3 存储桶中的可疑活动。