CloudTrail Insights 可识别 CloudTrail 事件中的任何异常。在 GuardDuty 的所有输入中,CloudTrail Events 就是其中之一。看起来 CloudTrail Insights 和 GuardDuty 都提供类似的服务。
想知道两者的区别。AWS 提供了很多类似的服务。
问问题
488 次
1 回答
1
GuardDuty 将查看 CloudTrail Insights 不会查看的几类数据,包括 VPC 流日志和 DNS 日志(如果您使用 VPC DNS 解析)。这意味着对端口扫描器(即使在您的 VPC 中起源和目的地)和可能表明存在危害的 DNS 查找等事物发出警报。它还可以针对与您的机器进行交互(或尝试)的“已知不良”演员等事情产生警报。当然,所有这些都存在误报,但这些都是 GuardDuty 可以做到而 CloudTrail Insights 无法做到的事情。
CloudTrail Insights 应用的“异常”机器学习与它应用于 CloudTrail 日志上的 GuardDuty 的机器学习是相同还是不同,这有点不清楚。但是,通常 GuardDuty 似乎更倾向于实际妥协的迹象,而洞察力更多只是“不寻常的”API 活动。
于 2021-07-04T13:49:58.300 回答