这个新春，你的云端安全守卫来咯 | AWS新服务上

小提示：您能找到这篇{这个新春，你的云端安全守卫来咯 | AWS新服务上}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的这个新春，你的云端安全守卫来咯 | AWS新服务上内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">导语

< ">随着国内公有云应用程度愈来越高，众多企业用户都已经接受使用亚马逊云科技部署各类不同的应用系统；同时各地的安全合规越来越严格，安全问题已经成为企业用户关注的重点之一。

< ">云上环境的开放性，以及云上网络环境和本地数据中心不同的安全态势，让企业常担心自己的云端资源是否足够安全，企业需要知道云端资源和环境本身当下正在发生什么，是否有潜在的威胁等。

< ">本文将介绍如何使用Amazon GuardDuty服务实现威胁发现，并简介如何基于此实现安全自动化响应。包括自定义威胁IP列表，解读威胁发现结果，和联动Amazon CloudWatch，Amazon Security Hub等服务实现安全运营自动化。

< ">什么是Amazon GuardDuty？

< ">Amazon GuardDuty是云原生的威胁检测服务，该服务于2月4日春节前在由光环新网运营的亚马逊云科技中国（北京）区域和由西云数据运营的中国（宁夏）区域推出。Amazon GuardDuty持续监控恶意活动和未经授权的行为，可以保护客户的亚马逊云科技账户、工作负载和存储新网站建设在Amazon S3中的数据。

Amazon GuardDuty工作原理

< ">Amazon GuardDuty的启用比较简单，这里不做赘述。

< ">该服务从Amazon CloudTrail事件日志、Amazon VPC流日志，Amazon S3的事件日志和DNS日志中采集海量事件，结合人工智能和威胁情报，分析云上的网络安全威胁和异常行为。Amazon GuardDuty威胁检测可以识别与账户入侵、实例泄露、恶意侦测和存储桶泄漏相关的风险。

< ">例如，Amazon GuardDuty使用DNS查询作为传输机制来检测异常API调用、已知恶意IP地址的可疑出站通信或可能的数据盗窃。Amazon GuardDuty利用威胁情报（例如恶意IP和域名列表）和丰富的机器学习提供更准确的鉴别结果。

< ">自定义威胁IP列表

< ">Amazon GuardDuty支持威胁情报导入和自定义IP地址黑白名单。以黑名单IP地址列表为例：

< ">01

< ">首先建立文本文件，名为blocklist.txt，内容如下截图，保存该文件到Amazon S3 bucket中，记录下该对象的访问路径，类似于：

< ">ht旅游危机公关处理案例tps://guarddutytesting.s3.cn-northwest-1.amazonaws.com.cn//blocklist.txt

< ">上述IP列表在具体设置的时候需要替换X为明确的IP地址。

< ">02

< ">登陆亚马逊云科技管理控制台，在Amazon GuardDuty服务的界面上，从左边的选择菜单选择“配置”—“清单”，在界面上可以看到管理导入威胁情况，选择“添加威胁列表”。

< ">在弹出窗口中，可以添加各种支持的外部威胁情报，包括开放威胁交换OTX，结构化威胁信息表达式STIX以及FireEye iSight的威胁情报格式，当然也支持上文准备的明文文本格式编辑的威胁IP地址列表。

< ">03

< ">现在制定格式（这里选择明文）后，在“位置”处输入上文准备的文本文件URL，点击“添加列表”后，会看到上图的情况。添加IP地址黑名单完成。

< ">如何解读威胁发现？

< ">Amazon GuardDuty启用之后，不需要做额外的操作就会自动读取数据源分析亚马逊云科技上的威胁，并生成发现“结果”，如下图所示，威胁发现的结果类型列中，显示了针对云端资源的威胁如暴力破解，端口扫描，Amazon S3存储桶的权限修改等。

< ">下面我们从使用该威胁IP的亚马逊云科技海外区域的Amazon EC2实例上，远程SSH到该账号下的某个Amazon EC2实例，以此观察Amazon GuardDuty发现结果。SSH登陆迪丽热巴金鹰奖危机公关的过程在此不做赘述。

< ">针对上图选择的这条结果，显示来自恶意IP的访问，点击该发现结果后，console的右边提供了这个发现的的详细信息，尤其是操作者的IP地址，对应我们自定义的文本格式的blocklist.txt.

< ">Amazon GuardDuty调查结果都有一个指定的严重性级别和值，可反映调查结果给您的网络带来的潜在风险，这些风险由亚马逊云科技的安全工程师确定。严重性值可以为介于0.1和8.9之间的任何值，该值越高，安全风险就越大。

< ">为了帮助客户确定对调查结果突出显示的潜在安全问题的响应，Amazon GuardDuty将此范围分为“高”、“中”和“低”严重性级别。高”安全性级别表示涉及的资源（Amazon EC2实例或一组Amazon IAM用户凭证）已遭盗用，并正被用于未经授权的用途。在Amazon GuardDuty的console上右上角看到的红色标记表示“高”严重级别的发现，每个严重级别为高的发现结果，在列表中以红色的三角形标记：

< ">“中”严重性级别表示偏离正常观察到的行为的可疑活动，根据客户的使用案例，可能指示资源被盗用。发现结果以橙色正方形标记：

< ">“低”严重性级别表示尝试进行的可疑活动未危及客户的网络，例如端口扫描或失败的入侵尝试。发现结果条目以蓝色小圆圈标记，上文的可疑IP访问已经显示。发现结果列表可以通过选择字段进行过滤。

< ">如何处理威胁发现？

< ">Amazon GuardDuty的发现可以通过Amazon CloudWatch Events进行下一步的处理，在CloudWatch Events规则编辑界面，选择“自定义事件模式”，在之后的代码编辑窗口里用如下代码：

{

  "source": [

    "aws.guardduty"

  ],

  "detail-type": [

    "GuardDuty Finding"

  ],

  "detail": {

    "severity": [

      4,

      4.0,

    ...

      8.9

    ]

< ">通过Amazon CloudWatch Events，可以调用亚马逊云科技的更多服务如Amazon Lambda，Amazon SNS，或第三方产品。Amazon GuardDuty的发现结果，也可以通过Amazon Security Hub这个服务实现多种产品的集中发现，从而实现安全事件的自动化处理。