安全監控 — CloudTrail、GuardDuty、Security Hub 與 Macie

CloudTrail、GuardDuty 和 Security Hub 構成了稽核與偵測的「三位一體」，使得多帳戶 AWS Organizations 具備可觀察性、可調查性，並能向稽核員提供證明。在 DOP-C02 考試中，每當情境設定為「跨 50 個帳戶產生不可變的稽核追蹤」、「偵測遭破解的 IAM 認證與加密貨幣採礦」、「將來自 5 個安全服務的探索結果彙總到一個儀表板」或「自動修復任何 GuardDuty 高嚴重性探索結果」時，CloudTrail、GuardDuty 和 Security Hub 就會出現在網域 6 任務 6.3 中。正確答案總是結合組織範圍的 CloudTrail 追蹤（用於記錄「誰做了什麼」）、GuardDuty（用於機器學習驅動的威脅偵測）和 Security Hub（用於探索結果彙總與標準合規性），形成一個以 EventBridge 為銜接、Audit 帳戶為營運中心的協調偵測與回應堆疊。

本深度指南將探討你在 DOP-C02 中會遇到的每個 CloudTrail GuardDuty Security Hub 原語：交付至 Log Archive 的組織追蹤、CloudTrail Lake 的 SQL 引擎與 10 年保留期、CloudTrail Insights 異常活動偵測、GuardDuty 的三種保護計畫（S3、EC2 惡意軟體、EKS）與探索結果類別、Security Hub 的 AWS 安全探索結果格式 (ASFF)、跨區域探索結果彙總、自動化規則、委派管理員模式、作為自動修復觸發架構的 EventBridge、探索結果隱藏與工作流程狀態管理，以及典型的專業情境 —— 具有關鍵探索結果自動隔離功能的跨機群威脅偵測。

什麼是 CloudTrail、GuardDuty 和 Security Hub？

CloudTrail 將跨帳戶或組織的每個 AWS API 呼叫記錄到 S3、CloudWatch Logs 和 CloudTrail Lake —— 這是不可變的稽核記錄。GuardDuty 是一項受管威脅偵測服務，使用機器學習和威脅情報來識別 CloudTrail 事件、VPC Flow Logs、DNS 日誌、EKS 稽核日誌和 S3 資料事件中的惡意活動 —— 這是威脅感測器。Security Hub 是跨服務探索結果彙總器，收集來自 GuardDuty、Inspector、Macie、IAM Access Analyzer、AWS Config 規則、Firewall Manager、Health 以及 50 多個第三方工具的探索結果，將其標準化為 AWS 安全探索結果格式 (ASFF)，並執行 CIS、PCI-DSS 和 NIST 800-53 等合規性標準。

為什麼 CloudTrail、GuardDuty 和 Security Hub 對 DOP-C02 很重要

DOP-C02 任務 6.3 明確要求「AWS CloudTrail」、「Amazon GuardDuty」以及「實施安全監控與稽核解決方案」的能力。專業級情境通常將這三者與 EventBridge 驅動的跨 50 個帳戶組織自動回應捆綁在一起。單一服務的答案通常是干擾項；考試測試的是了解每項服務何時貢獻以及它們如何整合。

偵測生命週期

理解 CloudTrail、GuardDuty 和 Security Hub 需要在腦中掌握偵測生命週期：收集 (Collect) (CloudTrail 記錄、VPC Flow Logs 流動、DNS 查詢日誌) → 偵測 (Detect) (GuardDuty 分析、Config 評估、Inspector 掃描、Access Analyzer 評估) → 彙總 (Aggregate) (Security Hub 標準化為 ASFF) → 回應 (Respond) (EventBridge 調用 Lambda、SSM Automation、SNS) → 調查 (Investigate) (CloudTrail Lake SQL、Athena 分析流程日誌、Detective 行為圖表) → 證明 (Prove) (稽核證據包)。每個專業級安全情境都會涉及此生命週期的一個或多個環節。

白話文解釋 CloudTrail、GuardDuty 和 Security Hub

CloudTrail、GuardDuty 和 Security Hub 聽起來像是另一堆縮寫詞，但三個日常類比可以揭示它們的角色。

類比 1 — 銀行分行監控與詐欺偵測系統 (銀行類比)

想像一家擁有 50 家分行（你的 AWS 帳戶）、一個中央安全營運中心（Audit 帳戶）和一個不可變證據庫（Log Archive 帳戶）的銀行。CloudTrail、GuardDuty 和 Security Hub 就是分層的監控與詐欺偵測系統。

每個分行每個櫃檯窗口捕捉到的每筆交易的 CCTV 錄影，並運送到中央證據庫，這就是 CloudTrail —— 跨每個帳戶的每個 API 呼叫都會串流到一個 S3 儲存桶加上 CloudTrail Lake。錄影經過簽署、不可變，並保留 10 年。全天候監控交易模式的詐欺偵測 AI —— 標記「這位客戶從未在拉哥斯提款，但凌晨 3 點剛在那裡電匯了 10,000 美元」 —— 就是 GuardDuty：它消耗相同的監控摘要（CloudTrail + VPC Flow Logs + DNS + EKS 稽核），並在行為偏離基準時發出探索結果。彙總來自 AI 的詐欺警示、來自合規性掃描器的可疑活動報告（Inspector 漏洞掃描、Macie 敏感資料探索）以及法規合規性評分（CIS、PCI-DSS 標準）到一個螢幕供 SOC 主管查看的中央安全儀表板就是 Security Hub —— 它收集來自 GuardDuty、Inspector、Macie、Access Analyzer、Config 和第三方工具的探索結果，將其標準化為一個結構 (ASFF)，並呈現統一的儀表板。規定「任何關鍵詐欺警示必須自動凍結帳戶並傳送簡訊給主管」的升級策略就是 EventBridge → Lambda → IAM AttachUserPolicy(Deny) 自動化。執行 SQL 查詢（如「顯示過去 90 天內使用者 X 在所有分行的每筆交易」）的取證調查員就是 CloudTrail Lake。監管審查員的年度稽核套件則是從 Log Archive 庫中提取的證據。三項服務，一個偵測與回應系統，一個營運中心。

類比 2 — 醫院感染管制與稽核系統 (醫院類比)

想像一個擁有 50 個站點（你的 AWS 帳戶）、一個中央感染管制單位（Audit 帳戶）和一個監管病歷檔案庫（Log Archive 帳戶）的醫院網路。CloudTrail、GuardDuty 和 Security Hub 就是分層的稽核與感染偵測系統。

持續的病歷日誌記錄，捕捉每個站點的每個處方、手術和實驗室訂單，並運送到監管檔案庫，這就是 CloudTrail —— 每個 API 動作都經過記錄、簽署並保留以符合合規性。監控入院模式並標記「此站點在 24 小時內有 5 例異常的抗藥性病例」的感染管制篩檢 AI 就是 GuardDuty —— 它監控相同的記錄串流加上網路流量和 DNS 查詢，應用威脅情報和 ML 模型，並發出異常探索結果。彙總篩檢警示、抗生素管理評分（Inspector 風格的漏洞掃描）、病患資料處理合規性（Macie 敏感資料探索結果）以及整體認證狀態（CIS / 聯合委員會標準）的中央感染管制儀表板就是 Security Hub —— 一種標準化格式 (ASFF)、一個跨站點儀表板、每個探索結果一個工作流程狀態。在關鍵感染探索結果触发時觸發的自動隔離協定 —— 自動隔離受影響的病房 —— 就是 EventBridge → Lambda → SSM Automation，在 AWS 術語中，這會使用全部拒絕 (deny-all) 的安全群組隔離受損的 EC2。對多年的記錄執行 SQL 查詢的取證感染源追蹤就是 CloudTrail Lake。聯合委員會檢查的監管認證套件是來自 Log Archive 的證據。三項服務，一個持續偵測系統，一個從委派管理員運作的感染管制單位。

類比 3 — 機場海關與安全篩檢網路 (機場類比)

想像一個擁有 50 個機場（你的 AWS 帳戶）、一個中央安全營運中心（Audit 帳戶）和一個調查記錄庫（Log Archive 帳戶）的國家機場管理局。CloudTrail、GuardDuty 和 Security Hub 就是整合的安全網路。

海關與移民入境日誌，記錄每個機場每位旅客的護照掃描，並運送到中央調查庫，這就是 CloudTrail —— 每筆入境/出境、經過簽署、保留多年。監控旅客模式並標記「這本護照 2 小時前用於從法蘭克福入境，現在不可能也從馬德里入境」的行為分析系統就是 GuardDuty —— 它監控相同的護照掃描串流加上行李處理網路流量和聯絡名單 DNS 查詢，應用威脅情報摘要（可疑名單、AWS 術語中的已知惡意 IP），並發出異常探索結果。顯示來自移民局的安全警示、行李掃描漏洞（Inspector 風格）、違禁品發現（Macie 風格的敏感資料探索結果）以及整體機場認證狀態（CIS / TSA / IATA 標準）的中央營運儀表板就是 Security Hub —— 一個 ASFF 結構、一個跨機場視圖。當關鍵探索結果触发時的自動登機門關閉協定 —— 自動封鎖受影響區域 —— 就是 EventBridge → Lambda → SSM Automation。執行 SQL 查詢（如「過去 12 個月內護照 X 在所有機場的每筆入境記錄」）的調查台就是 CloudTrail Lake。年度安全認證證據包來自 Log Archive。三項服務，一個偵測與回應系統，一個營運中心，關鍵探索結果自動隔離。

CloudTrail 組織追蹤 — 稽核的基石

CloudTrail 是你在每個 AWS 帳戶中啟用的第一件事，DOP-C02 期望在每個稽核情境中都能看到它。

組織追蹤機制

組織追蹤是由管理帳戶或 CloudTrail 委派管理員建立的單一 CloudTrail 追蹤，可自動套用於每個區域中當前和未來的所有成員帳戶。成員帳戶無法從自己的主控台停用或修改組織追蹤 —— 只有管理/委派管理員可以。追蹤會交付到 Log Archive 帳戶中的一個 S3 儲存桶。

管理事件 (Management Events) vs 資料事件 (Data Events) vs Insights 事件

CloudTrail 記錄三類事件：

• 管理事件 (第一份免費，包含在每個追蹤中)：控制平面 API 呼叫 —— RunInstances、CreateRole、PutBucketPolicy。預設一律開啟。
• 資料事件 (付費)：資料平面活動 —— 每個 S3 GetObject 和 PutObject、每個 Lambda Invoke、每個 DynamoDB 項目級存取。預設關閉。專業級稽核設定會在敏感的 S3 儲存桶、所有 Lambda 和受監管的 DynamoDB 資料表上啟用。
• Insights 事件 (付費加成)：管理事件中的異常模式。CloudTrail Insights 偵測異常呼叫率，並在追蹤中發出 Insights 探索結果。

S3 交付與儲存桶強化

Log Archive S3 儲存桶需要：

• 儲存桶政策授予 cloudtrail.amazonaws.com PutObject 權限，並將 aws:SourceArn 固定為追蹤 ARN (防止混淆代理人問題)
• 使用組織共享的 CMK 進行預設 SSE-KMS 加密
• 啟用版本控制
• 封鎖所有公開存取
• 使用合規模式 (Compliance mode) 的 S3 物件鎖定 (Object Lock) 以符合監管保留要求 (通常為 7 或 10 年)
• 在根帳戶啟用 MFA 刪除

日誌文件完整性驗證 (Log File Integrity Validation)

CloudTrail 每小時產生使用 SHA-256/RSA 簽署的摘要文件，允許對日誌文件是否被更改進行加密驗證。務必在每個集中化稽核追蹤上啟用 —— 稽核員期望如此，且經過簽署的日誌文件是可採信的證據。

CloudTrail Lake — CloudTrail 之上的 SQL

CloudTrail Lake 是較新的可 SQL 查詢事件資料儲存。組織級事件資料儲存會擷取來自每個區域中每個成員帳戶的每個管理/資料/Insights 事件。保留期可配置長達 10 年。不可變。Apache Presto 風格的 SQL。

典型的專業級查詢：

• 「尋找過去 30 天內跨所有帳戶來自特定來源 IP 的每個 AssumeRole」
• 「列出過去一年內對任何標記為 Compliance=HIPAA 的儲存桶執行的每個 DeleteObject」
• 「顯示整個組織的每個根帳戶 ConsoleLogin」
• 「識別委託人之前未建立過金鑰的所有 CreateAccessKey 事件」

如果沒有分割區調整，這些查詢在原始 S3+Athena 上會很痛苦；CloudTrail Lake 則能在數秒內返回答案。

CloudTrail Insights — 異常 API 活動偵測

CloudTrail Insights 是一項未被充分利用的功能，DOP-C02 經常將其作為針對 GuardDuty 的干擾項進行測試。

Insights 的作用

Insights 分析管理事件中的異常模式 —— DeleteObject 突然激增、AssumeRole 的異常集中、非預期的區域使用。探索結果會作為 Insights 事件記錄在追蹤的 S3 目標中。每個 Insights 事件都包含 API 名稱、基準比率、觀察到的比率和時間範圍。

Insights vs GuardDuty

兩者都偵測異常，但基於不同的訊號：

• Insights：API 呼叫率異常 (某個特定 API 激增)。
• GuardDuty：基於行為的威脅偵測 (認證受損、加密貨幣採礦、惡意軟體 C2、連接埠掃描)。

DOP-C02 情境通常同時使用它們。Insights 捕捉「奇怪的呼叫率」；GuardDuty 捕捉「這看起來像是認證受損」。

GuardDuty — 機器學習驅動的威脅偵測

GuardDuty 是威脅偵測的主力。DOP-C02 期望細節。

GuardDuty 分析內容

GuardDuty 消耗以下內容 (無需你配置交付)：

• VPC Flow Logs
• CloudTrail 管理和資料事件
• DNS 查詢日誌 (Route 53 Resolver)
• EKS 稽核日誌 (啟用 EKS Protection 時)
• S3 資料事件 (啟用 S3 Protection 時)
• EBS 磁碟區 (搭配 Malware Protection 掃描)
• RDS 登入活動 (啟用 RDS Protection 時)
• Lambda 網路活動 (啟用 Lambda Protection 時)

GuardDuty 不需要你將日誌傳送到任何地方 —— 它直接存取來源，消除了資料管線開銷。

探索結果類別 (Finding Categories)

GuardDuty 探索結果涵蓋數十種類型，分為以下類別：

• Backdoor/CryptoCurrency —— 執行個體聯絡已知的加密貨幣採礦網域。
• CredentialAccess —— 暗示認證受損的 API 呼叫 (異常地理位置、異常使用者代理)。
• DefenseEvasion —— 停用 CloudTrail、移除安全群組規則。
• Discovery/Reconnaissance —— 連接埠掃描、IAM 列舉。
• Exfiltration —— 異常出站流量、來自異常來源的 S3 資料存取。
• Impact —— DDoS、勒索軟體風格的行為。
• InitialAccess —— 來自 Tor 的登入嘗試、暴力破解 SSH/RDP。
• PrivilegeEscalation —— IAM 政策修改、角色假定鏈 (role-assumption chains)。

每個探索結果都有嚴重性 (低/中/高)，並包含資源、委託人、威脅清單匹配和建議的修復措施。

多帳戶啟用

指定一個委派管理員 (Audit 帳戶)。從委派管理員處，在每個區域的每個成員帳戶中啟用 GuardDuty，並為新帳戶設定自動啟用。所有成員的探索結果都會流向委派管理員的視圖。每個成員也保留自己的副本，但跨帳戶彙總位於委派管理員處。

隱藏規則 (Suppression Rules) 與受信任清單

GuardDuty 支援：

• 隱藏規則 —— 自動封存符合標準的探索結果 (例如，「隱藏此 VPC 上委託人為安全掃描服務的所有探索結果」)。在不關閉偵測的情況下減少噪音。
• 受信任 IP 清單 —— 你信任的 IP；GuardDuty 不會對其產生探索結果。
• 威脅 IP 清單 —— 你認為是惡意的額外 IP；除了其內建的摘要外，GuardDuty 還會對來自這些 IP 的流量產生探索結果。

EventBridge 整合 — 行動層

每個 GuardDuty 探索結果都會在來源帳戶中發出 EventBridge 事件。模式：EventBridge 規則過濾嚴重性 ≥ 7 的探索結果 → 調用 Lambda → Lambda 透過附加全部拒絕的安全群組隔離受影響的 EC2，透過附加全部拒絕政策隔離 IAM 認證，並發佈到 PagerDuty/Slack。這是典型的 DOP-C02 自動修復流程。

GuardDuty 保護計畫 — 付費覆蓋模組

DOP-C02 期望了解 GuardDuty 的選用計畫。

S3 Protection

在新增啟用的 GuardDuty 帳戶中 (2020 年後) 預設啟用。偵測異常的 S3 物件存取模式 —— 讀取敏感 S3 物件的認證受損、異常地理位置、來自先前受信任委託人的異常行為。

EKS Protection (稽核日誌)

消耗 EKS 控制平面稽核日誌。偵測異常的 Kubernetes API 模式 —— 特權提升、未經授權進入 Pod 執行、可疑工作負載、容器逃逸。

Runtime Monitoring (EKS, ECS, EC2)

在 EKS/ECS/EC2 中執行輕量級代理程式以捕捉程序和檔案活動。偵測容器內的惡意行為 (加密貨幣採礦程序、反向 Shell、檔案系統修改)。比僅限稽核日誌的保護更新，且敏感度顯著提高。

Malware Protection for EC2

GuardDuty 自動對附加到可疑 EC2 執行個體的 EBS 磁碟區進行快照，並對其進行惡意軟體掃描。無需代理程式。探索結果包含檔案路徑和惡意軟體特徵碼。

RDS Protection

偵測對 RDS Aurora MySQL/PostgreSQL 的異常資料庫登入嘗試 —— 暴力破解、異常地理位置、認證受損。

Lambda Protection

偵測來自 Lambda 函數的異常網路活動 —— 向已知惡意 IP 外洩、聯絡加密貨幣採礦基礎設施。

每個計畫都會增加成本；在舊的 GuardDuty 帳戶中預設為關閉，在新的帳戶中預設為開啟。DOP-C02 可能會測試命名每個計畫及其涵蓋範圍。

Security Hub — 彙總、標準與自動化

Security Hub 是 DOP-C02 期望你用作 SOC 儀表板的統一檢視窗。

Security Hub 彙總內容

來自以下來源的探索結果：

• Amazon GuardDuty
• Amazon Inspector
• Amazon Macie
• IAM Access Analyzer
• AWS Firewall Manager
• AWS Health
• AWS Config (透過標準)
• AWS Systems Manager Patch Manager
• 50 多個第三方工具 (Palo Alto, Tenable, CrowdStrike, Splunk 等)

全部標準化為 AWS 安全探索結果格式 (ASFF)，這是一個具有一致欄位 (SeverityLabel, ResourceArn, WorkflowStatus, RecordState, ProductFields, Compliance) 的 JSON 結構。

ASFF 格式

ASFF 統一了不同產品的探索結果。GuardDuty 探索結果和 Tenable.io 探索結果都具有 Severity.Label、Resources[].Id、WorkflowStatus 等。SOC 分析師無需知道來源產品即可查詢/過濾這些欄位。ASFF 支援自訂探索結果 —— 透過 BatchImportFindings API 推送組織特定的探索結果。

Security Hub 標準 (Standards)

作為 Security Hub 控制項部署的預建合規架構：

• AWS 基礎安全最佳實務 (AFSBP)
• CIS AWS Foundations Benchmark v1.2 / v1.4 / v3
• PCI-DSS v3.2.1 / v4
• NIST 800-53 Rev 5

每個標準都對應到底層的 Config 規則。啟用標準會自動部署這些規則。停用控制項會隱藏其探索結果，而不觸及底層規則 (防止與 Config 一致性套件重複工作)。

跨區域探索結果彙總

指定一個區域作為彙總區域 (aggregation region)。來自每個其他區域的探索結果都會流向彙總區域，以進行統一搜尋和儀表板顯示。對於全球組織至關重要 —— 位於 us-east-1 的 SOC 分析師可以看到來自 ap-southeast-2 和 eu-west-1 的探索結果，而無需切換主控台。

多帳戶委派管理員

與 GuardDuty 的模式相同。Audit 帳戶是 Security Hub 委派管理員。成員帳戶自動加入。探索結果彙總到跨所有帳戶和所有區域的委派管理員視圖中。

工作流程狀態 (Workflow Status)

每個探索結果都有一個 WorkflowStatus：NEW / NOTIFIED / RESOLVED / SUPPRESSED。SOC 分析師透過更改狀態進行分級。RecordState：ACTIVE / ARCHIVED —— 由來源產品自動設定。

自動化規則 (Automation Rules)

Security Hub 自動化規則 (2023 年宣佈) 讓你根據過濾標準自動修改探索結果 —— 設定嚴重性、隱藏、更改工作流程。對於簡單的探索結果分級邏輯，它取代了手動構建的 EventBridge → Lambda。

作為銜接的 EventBridge — 從偵測到行動

EventBridge 是 DOP-C02 在每個「從偵測到行動」情境中期望的觸發架構。

模式：探索結果到 Lambda 到修復

GuardDuty 探索結果
  → CloudWatch Events / EventBridge 預設匯流排
  → EventBridge 規則 (過濾嚴重性 ≥ HIGH, 類型包含 "UnauthorizedAccess")
  → Lambda 調用
  → Lambda 呼叫 EC2 ModifyInstanceAttribute / IAM AttachUserPolicy / SSM Automation
  → 通知 SNS / Slack / PagerDuty

模式：Security Hub 探索結果到 Step Functions

對於需要批准的複雜修復：

Security Hub 探索結果 (ASFF 格式)
  → EventBridge 規則
  → Step Functions 狀態機
  → 手動批准任務 (SNS 傳送到安全團隊)
  → 有條件修復
  → 將探索結果工作流程狀態更新為 RESOLVED

跨帳戶 EventBridge

EventBridge 支援跨帳戶事件交付。成員帳戶的 GuardDuty 探索結果可以路由到 Audit 帳戶的 EventBridge 匯流排，中央修復邏輯在那裡運作。避免在每個成員帳戶中部署修復 Lambda。

Detective — 當調查需要更深入時

Amazon Detective 是安全套件中經常被遺忘的成員，DOP-C02 偶爾會測試它。

Detective 的作用

Detective 擷取 CloudTrail、VPC Flow Logs、GuardDuty 探索結果、EKS 稽核日誌，並構建一個顯示 IAM 委託人、EC2 執行個體、IP 地址和資源之間關係的行為圖表。調查員詢問「此委託人在我所有的帳戶中做了什麼？」並獲得一個視覺化圖表。

何時使用 Detective

在 GuardDuty 探索結果触发後，SOC 分析師點選進入 Detective 進行調查。「此 IAM 使用者被標記為認證受損；顯示他們在過去 30 天內接觸過的所有內容，包括我最初未懷疑的資源。」Detective 的行為圖表在關係遍歷調查方面優於 SQL 查詢。

Detective vs CloudTrail Lake

CloudTrail Lake：針對事件的 SQL。Detective：針對行為的圖表。不同的工具，不同的問題。使用 Lake 獲取「給我符合 X 的每個 API 呼叫」；使用 Detective 獲取「顯示此探索結果周圍的關係圖」。

典型的專業情境 — 具有自動隔離功能的跨機群威脅偵測

將所有內容整合在一起，這就是典型的 DOP-C02 情境。

架構

• Log Archive 帳戶：啟用了物件鎖定的組織範圍 CloudTrail 追蹤；具備 10 年保留期的 CloudTrail Lake 組織事件資料儲存。
• Audit 帳戶：GuardDuty 委派管理員並具備自動啟用功能；具備跨區域彙總功能的 Security Hub 委派管理員；Detective 委派管理員；Inspector 委派管理員；Access Analyzer 委派管理員。
• 成員帳戶：啟用了所有保護計畫的 GuardDuty；啟用了 AFSBP 和 CIS 標準的 Security Hub；啟用了 EC2/ECR/Lambda 掃描的 Inspector。

自動修復流程

1. 成員帳戶中的 GuardDuty 偵測到 UnauthorizedAccess:IAMUser/MaliciousIPCaller。
2. 探索結果透過委派管理員流向 Audit 帳戶 Security Hub。
3. Audit 帳戶 EventBridge 規則過濾嚴重性 ≥ HIGH + 匹配模式。
4. Audit 帳戶中的 Lambda 假定成員帳戶中的修復角色，將 Deny * 政策附加到可疑 IAM 使用者，並對受影響的 EC2 進行快照。
5. SNS 發佈到 Slack #security-incidents 和 PagerDuty。
6. Security Hub 自動化規則將工作流程狀態設定為 NOTIFIED。

調查流程

1. 分析師在 Security Hub Audit 帳戶儀表板中開啟探索結果。
2. 點選進入 Detective 行為圖表。
3. 執行 CloudTrail Lake SQL 查詢以獲取完整歷史背景。
4. 確認事件，將 Security Hub 工作流程更新為 RESOLVED 並附上評論。

常考陷阱 (Common Exam Traps)

DOP-C02 有可預測的 CloudTrail GuardDuty Security Hub 陷阱：

1. 各帳戶單獨的 CloudTrail 追蹤而非組織追蹤 —— 錯誤。組織追蹤會自動上線新帳戶；各帳戶追蹤則不會。
2. 在需要 S3 / Lambda 可見性的稽核情境中停用 CloudTrail 資料事件 —— 資料事件必須明確啟用 (額外成本)。預設僅開啟管理事件。
3. 單區域 GuardDuty / Security Hub —— 必須在執行工作負載的每個區域啟用。探索結果僅在啟用了服務的區域產生。
4. 混淆 Insights 與 GuardDuty —— Insights 是 API 比率異常 (單一 API 激增)。GuardDuty 是基於行為的威脅偵測 (受損模式、惡意軟體、外洩)。
5. 未配置 Security Hub 彙總區域 —— 探索結果保留在來源區域；SOC 儀表板只能看到一個區域。務必設定彙總區域。
6. 忘記在 Log Archive 儲存桶上使用物件鎖定 —— 沒有它，受損的管理員可以刪除證據。合規模式甚至可以防止根帳戶刪除。
7. 在每個帳戶中使用自訂 EventBridge 規則而非跨帳戶路由 —— 營運開銷大。應將探索結果路由到中央 Audit 帳戶匯流排，以實現中央修復邏輯。
8. 在稽核覆蓋範圍答案中遺漏 Inspector / Macie / Detective —— 完整的專業覆蓋包括漏洞掃描、敏感資料發現和行為圖表調查，而不僅僅是 GuardDuty + Security Hub。
9. 同時啟用 Security Hub 標準和 Config 一致性套件導致重複 —— 部署兩次相同的控制項意味著 Config 評估成本翻倍。每個框架選擇一種路徑。
10. 當情境提到特定資源時未啟用 GuardDuty 保護計畫 (S3, EKS, Runtime, Malware, RDS, Lambda) —— 基礎 GuardDuty 不涵蓋這些；請啟用相關計畫。

FAQ

Q1：何時對稽核查詢使用 CloudTrail Lake vs S3 + Athena？ CloudTrail Lake：受管 SQL 引擎、10 年保留、設定簡單，按擷取的 GB + 掃描的 GB 計費。S3 + Athena：原始儲存成本較低，需要分割區調整和 Glue 目錄，可供非 CloudTrail 使用者存取。大多數專業級設定兩者都會執行 —— Lake 用於主動調查，S3 用於原始證據和長期冷儲存。

Q2：GuardDuty 與 CloudTrail Insights 有何不同？ Insights 偵測管理 API 呼叫率異常 (與基準相比，單一 API 激增)。GuardDuty 使用 ML 與威脅情報偵測跨 CloudTrail + VPC Flow Logs + DNS + EKS + S3 + EBS 的威脅行為。Insights 捕捉「CreateUser 呼叫量異常」；GuardDuty 捕捉「這看起來像是來自 Tor 結束節點的認證受損」。它們相輔相成。

Q3：我應該將探索結果彙總到 Security Hub 還是 Splunk 之類的 SIEM 中？ 兩者皆是。Security Hub 用於 AWS 原生統一視圖、自動化規則、標準合規。Splunk/Datadog/Sentinel 用於跨雲端關聯、更長保留期、自訂儀表板。模式：探索結果流向 Security Hub → Security Hub 探索結果透過 EventBridge → Firehose → SIEM 串流。

Q4：GuardDuty/Security Hub/Inspector 的正確委派管理員帳戶是哪一個？ 同一個 Audit 帳戶。集中化偵測工具的委派管理員帳戶可降低營運複雜性，並重複使用相同的 IAM 許可、跨區域彙總和 EventBridge 匯流排。管理帳戶不應作為委派管理員 (應保持最小化以確保安全)。

Q5：如何自動隔離被 GuardDuty 標記的 EC2 執行個體？ EventBridge 規則過濾相關的 GuardDuty 探索結果模式 → Lambda 假定受影響成員帳戶中的修復角色 → Lambda 呼叫 ModifyInstanceAttribute 以附加一個沒有入站和出站的 quarantine 安全群組。使用 CreateSnapshot 對 EBS 磁碟區進行快照以進行取證。透過 SNS 通知。

Q6：GuardDuty 探索結果保留多久？ 作用中的探索結果從上次更新起保留 90 天。已封存的探索結果會被移除。若要保留更久，請將探索結果串流至 Security Hub (也有限制) 並透過 EventBridge → Firehose → S3 串流至 S3 (保留期可配置，可達數年)。

Q7：Security Hub 如何與 AWS Organizations 協作？ 指定一個成員帳戶作為 Security Hub 委派管理員。從那裡，在所有區域的所有成員帳戶中啟用 Security Hub，並為新帳戶設定自動啟用。選擇一個彙總區域。啟用標準 (AFSBP, CIS, PCI, NIST)。所有探索結果都會流向跨所有成員和區域的委派管理員視圖。

Q8：我可以將 Security Hub 探索結果匯出到我的 SIEM 嗎？ 可以。Security Hub 預設會將探索結果發佈到 EventBridge。配置一個規則將探索結果路由到 Kinesis Data Firehose → S3 (用於冷儲存) 或直接路由到 Splunk/Datadog/Sumo Logic 目標。AWS 合作夥伴產品通常具有一鍵整合功能。

Q9：Security Hub 控制項與 Config 一致性套件有什麼區別？ Security Hub 控制項是預建的、AWS 受管的，並映射到常用標準 (AFSBP, CIS, PCI, NIST)。一致性套件是客戶可部署的捆綁包，可以包含受管 Config 規則、自訂規則和修復操作。對於常用架構，Security Hub 是一鍵式的。對於自訂基準或附加修復的合規性，請使用一致性套件。

Q10：何時應對調查使用 Detective vs CloudTrail Lake？ Detective：關係圖視圖 (「顯示與此委託人連接的所有內容」)。最適合事故回應描述。CloudTrail Lake：針對事件的 SQL 查詢 (「給我過去一年中符合 X 的每個 API 呼叫」)。最適合取證資料提取。兩者兼施 —— Detective 用於故事，Lake 用於證據。

總結 — CloudTrail GuardDuty Security Hub 心智模型

CloudTrail、GuardDuty 和 Security Hub 是 DOP-C02 的稽核與偵測三位一體。CloudTrail 提供「誰做了什麼」的不可變追蹤；GuardDuty 提供跨 CloudTrail、VPC Flow Logs、DNS、EKS、S3、EBS、RDS 和 Lambda 的 ML 驅動威脅偵測；Security Hub 將來自所有偵測工具的探索結果彙總到一個標準 ASFF 格式的儀表板中，並附帶合規性標準。EventBridge 將探索結果與修復行動銜接起來。Detective 增加行為圖表調查；Inspector 增加漏洞掃描；Macie 增加敏感資料發現；Access Analyzer 增加外部存取偵測。

成熟的 DOP-C02 答案模式是委派管理員模型：Audit 帳戶執行 GuardDuty/Security Hub/Inspector/Macie/Access Analyzer/Detective 委派管理員；Log Archive 帳戶執行具備物件鎖定功能的組織 CloudTrail 追蹤；成員帳戶自動加入；跨區域彙總將所有內容彙集到一個統一視圖；EventBridge 將探索結果路由到 Lambda 或 SSM Automation，以便在關鍵事件發生時進行自我修復。單帳戶、單服務、單區域答案都是專業級的干擾項。