CloudTrail Insights 可识别 CloudTrail 事件中的任何异常情况。在 GuardDuty 的所有输入中,CloudTrail Events 就是其中之一。看起来 CloudTrail Insights 和 GuardDuty 都提供类似的服务。
想知道两者的区别。 AWS 提供了很多类似的服务。
【问题讨论】:
标签: amazon-web-services amazon-cloudtrail amazon-guardduty
GuardDuty 会查看 CloudTrail Insights 不会查看的几类数据,包括 VPC 流日志和 DNS 日志(如果您使用 VPC DNS 解析)。这意味着对端口扫描器(即使在您的 VPC 中起源和目的地)和可能表明存在危害的 DNS 查找等事物发出警报。它还可以针对与您的机器进行交互(或尝试)的“已知不良”演员等事情产生警报。当然,所有这些都存在误报,但这些都是 GuardDuty 可以做到的,而 CloudTrail Insights 不会。
有点不清楚 CloudTrail Insights 应用的“异常”机器学习与它应用于 CloudTrail 日志上的 GuardDuty 的机器学习是相同还是不同。但是,GuardDuty 似乎更倾向于实际妥协的迹象,而洞察力更多只是“不寻常”的 API 活动。
【讨论】: