22、AWS GuardDuty：监测、告警与绕过策略

AWS GuardDuty：监测、告警与绕过策略

1. 了解目标环境监测的重要性

作为攻击者，了解目标环境中的监测类型至关重要，因为这会影响整个攻击计划。若知道特定监测在某些情况发生时会触发，就应避免这些行为，选择更隐蔽的路径；若环境中无监测，就可选择最简单或最快的方式达成目标，无需担心触发警报。

2. AWS GuardDuty 简介

• 服务概述 ：Amazon Web Services（AWS）的主要安全监测服务 GuardDuty 是一种持续监测服务，能识别并告警账户内的可疑或不良行为。即便 GuardDuty 被禁用，也不意味着环境中没有其他监测，因为 AWS 内部和第三方都有监测工具。
• 数据来源 ：目前分析三种数据源，分别是虚拟专用云（VPC）流日志、CloudTrail 事件日志和域名系统（DNS）日志。即使环境中没有活动的流日志且 CloudTrail 被禁用，GuardDuty 仍能从这些数据源生成监测结果。但需注意，GuardDuty 仅能摄取通过 AWS DNS 解析器路由的 DNS 日志，若使用其他解析器（如 Google 或 CloudFlare），则无法摄取和告警。
• 跨账户管理 ：可通过单个主账户控制一个或多个成员账户的 GuardDuty 监测和配置。相关配置信息可查看 AWS 文档