问题描述
CloudTrail Insights 可识别 CloudTrail 事件中的任何异常。在 GuardDuty 的所有输入中,CloudTrail Events 就是其中之一。看起来 CloudTrail Insights 和 GuardDuty 都提供类似的服务。
想知道两者之间的区别。 AWS 提供了许多类似的服务。
解决方法
GuardDuty 将查看 CloudTrail Insights 不会查看的几类数据,包括 VPC 流日志和 DNS 日志(如果您使用 VPC DNS 解析)。这意味着针对端口扫描器(即使源自您的 VPC 内和目标内)和 DNS 查找等可能表明存在妥协的事件发出警报。它还可以为诸如“已知不良”演员与您的机器交互(或试图)之类的事情生成警报。当然,所有这些都存在误报,但这些是 GuardDuty 可以做的事情,而 CloudTrail Insights 不会。
目前尚不清楚 CloudTrail Insights 应用的“异常”机器学习与 CloudTrail 日志上的 GuardDuty 机器学习是相同还是不同。然而,GuardDuty 似乎更倾向于实际妥协的迹象,而洞察力更像是“不寻常的”API 活动。