我一直在尝试寻找这个问题的明确答案。我期望答案是“是”,但它与我在实践中看到的情况不一致。来自文档 GuardDuty “通过持续监控 AWS 环境内的网络活动和账户行为来识别威胁。“从该页面的图表来看,这包括 VPC 流日志。
但是,我从未见过 GuardDuty 发现任何涉及端口探测(或任何其他类型的入站 Recon/UnauthorizedAccess 警报)的发现,这些发现针对的是 ELB 后面的任何实例或 ELB 本身。我相信我们已经很好地锁定了它们,但我预计至少会看到针对 443 的端口探测。(请注意,我并不是想要它们。但它是面向公众的……)
AWS GuardDuty 是否监控并警告流向和通过 ELB 的流量?
*如果有帮助的话,我们正在使用 Classic ELB。
更新
我确实在 ELB 后面的一台无关紧要的服务器上向全世界开放了 443 端口。我确实开始收到有关实例的警报,但没有收到有关 ELB 的警报。但是,除了 ELB 之外,从任何地方访问该服务器都可能超出了 GuardDuty 的正常活动基线,并且足以触发它。
我仍在寻找答案。
答案1
Guard Duty 监控 VPC 内的所有流量。它使用流日志、CloudTrail 和 DNS 日志,但由于它从超平面的源头使用该信息,因此您实际上不需要打开流日志或 CloudTrail。我没有这方面的书面资料,它来自 AWS 解决方案架构师。
AWS Shield 与 CloudFront 和负载均衡器集成,可以阻止一些不良行为者访问您的实例。
我看到 Guard Duty 针对端口探测、为 RDP 打开安全组等各种情况发出警报。我看到针对我的 Web 服务器的 https 探测,该服务器位于 CloudFlare 后面,它不是负载均衡器,但实际上是反向代理。我关闭了低优先级警报,因为它们很烦人,并不代表任何真正的威胁。