Amazon GuardDuty 是一項全受管的 「智慧型威脅偵測服務 (Intelligent Threat Detection Service)」。
簡單來說,它就像是 AWS 帳戶裡的 「24 小時 AI 保全監視系統」。它不需要你在伺服器上安裝任何軟體(Agentless),而是透過分析 AWS 的各種日誌(Logs),利用 機器學習 (Machine Learning) 來抓出駭客攻擊、異常行為或帳號被盜用的跡象。
這是 AWS 資安考試(Security Specialty)與架構師考試中,針對「偵測 (Detection)」功能的標準答案。1. 核心運作原理 (How it works)
GuardDuty 不會阻擋攻擊(那是 WAF 或 Shield 的工作),它的工作是 「發現並警告」。
它主要分析以下 三大基礎日誌(以及近年新增的來源):
- AWS CloudTrail Management Events:監控誰登入過?誰開了機器?有沒有人在異常地區創立帳號?
- VPC Flow Logs:監控網路流量。有沒有奇怪的 IP 在掃描你的 Port?
- DNS Logs:監控網域名稱查詢。你的伺服器是不是試圖連線到已知的惡意網站?
- (進階來源):S3 Data Events、EKS Audit Logs、RDS Login Events。
2. 它能偵測什麼? (Findings)
GuardDuty 的偵測結果稱為 Findings,依嚴重程度分為 High, Medium, Low。常見的偵測情境包括:
- 加密貨幣挖礦 (Crypto Mining):這是最經典的考題。如果你的 EC2 突然長時間高運算且連線到礦池 IP,GuardDuty 會立刻報警。
- 帳號盜用 (Account Compromise):平常都在台灣登入,突然從奈及利亞登入並刪除備份。
- 實例遭駭 (Instance Compromise):EC2 正在對外進行 DDoS 攻擊,或者正在被殭屍網路 (Botnet) 控制。
- 惡意軟體 (Malware Protection):GuardDuty 甚至可以掃描 EBS 硬碟(無代理),檢查是否有病毒或木馬。
3. 自動化回應 (Remediation)
GuardDuty 本身只負責「大叫(發出警告)」,不負責「動手(修復)」。但它可以搭配其他服務實現自動化:
- GuardDuty 發現威脅 →→ 產生 Finding。
- 傳送事件給 Amazon EventBridge。
- EventBridge 觸發 AWS Lambda。
- Lambda 執行程式碼(例如:修改 Security Group 封鎖該 IP,或停止被駭的 EC2)。
4. 考試關鍵字 (Keywords)
- Intelligent Threat Detection (智慧威脅偵測)。
- Machine Learning / Anomaly Detection (機器學習 / 異常偵測)。
- Agentless (無代理,不會影響 EC2 效能)。
- CryptoCurrency Mining (挖礦偵測)。
- CloudTrail, VPC Flow Logs, DNS Logs (它吃的資料來源)。
5. 超級比一比:GuardDuty vs. Inspector vs. Macie
這三個服務都是資安相關,但功能完全不同,考試非常愛考混淆題:
總結
如果你在題目中看到 「偵測異常行為」、「分析 Log」、「EC2 被拿去挖礦」,答案就是 GuardDuty。
