我们已经启用了存储在 s3 bucket 中的 vpc 流量日志。我们也启用了Guard duty,我看到它分析vpc日志。
有谁有建议,我们是否还需要雅典娜表指向S3 bucket来分析日志,或者guard duty就足够了。
这要看你想达到什么目的。
Guardduty是一个检测系统,它会根据它的启发式原理产生发现。如果你只对这一点感到满意,那就足够了。
如果你期望有更深层次的挖掘(即不仅是 "嘿,这事发生了",而且是 "这里的模式是什么"),那么手动分析可能是有序的。我想说的是,这两样东西都是免费的,既然你不用雅典娜,就不要为它付费,所以准备一些查询,如果你不能从Guarddduty获得全貌,就运行它们。
GuardDuty会根据VPC Flow Logs的内容进行威胁检测。如果它发现了威胁,它有支持尝试修复安全问题。
如果你想调查你的网络流量和调试,你还是需要雅典娜。