Я уже давно пытаюсь найти окончательный ответ на этот вопрос. Я ожидал, что ответ будет «да», но он не согласуется с тем, что я вижу на практике. Из документации GuardDuty "выявляет угрозы, постоянно отслеживая сетевую активность и поведение учетных записей в среде AWS."Судя по диаграмме на этой странице, это включает журналы потоков VPC.
Тем не менее, я никогда не видел, чтобы GuardDuty обнаруживал пробки портов (или любой другой вид входящих предупреждений Recon / UnauthorizedAccess) против любого из наших экземпляров, находящихся за ELB, или против самого ELB. Я действительно считаю, что мы достаточно хорошо их заблокировали, но я ожидаю увидеть зонды портов по крайней мере против 443. (Не то чтобы я хотел, чтобы они вас заметили. Но это публично ...)
Отслеживает ли AWS GuardDuty трафик, проходящий через ELB и проходящий через него?
* Мы используем классические ELB, если это помогает.
Обновить
Я действительно открыл порт 443 для мира на несущественном сервере за ELB. Я начал получать предупреждения об экземпляре, но не об ELB. Однако попадание чего-либо на этот сервер из любого места, кроме ELB, вероятно, выходит за рамки нормального базового уровня активности GuardDuty и может быть достаточным для его запуска.
Я все еще ищу ответ.
Guard Duty отслеживает весь трафик внутри вашего VPC. Он использует журналы потоков, CloudTrail и журналы DNS, но, поскольку он использует эту информацию в источнике с гиперплоскости, вам на самом деле не нужно иметь журналы потоков или включить CloudTrail. У меня нет письменного источника для этого, это было от архитектора решения AWS.
AWS Shield интегрирован с CloudFront и балансировщиками нагрузки и может предотвращать доступ злоумышленников к вашим экземплярам.
Я видел предупреждение Guard Duty о портовых пробниках, открытые группы безопасности для RDP и все такое. Я видел https-зонды против моего веб-сервера, который стоит за CloudFlare, который не является балансировщиком нагрузки, а фактически является обратным прокси. Я отключаю предупреждения с низким приоритетом, так как они просто раздражают и не представляют никакой реальной угрозы.