自疫情爆發以來，在疫情的影響下，提前布局產業數位轉型、上雲已成為各家企業相繼關注的焦點，在眾多雲端服務當中，Amazon Web Services ( AWS ) 仍然是各家企業的首選，隨著企業主使用愈來愈多 AWS 雲端服務，建立複雜的雲端架構來達到各家企業的業務目標，資訊安全的相關建構變得愈發重要。

AWS 致力於維護資訊安全，提供多元的資安服務供企業選擇。但資安要做到層層把關，密不透風的保護是相當不容易的事情，如果能夠偵測威脅來自哪裡、針對偵測到的威脅做妥善處理，對症下藥的持續監控方式是比較實際的做法。

在 AWS 眾多服務中，有一項資安服務能夠持續安全監控企業的雲端環境，偵測雲端環境中未經授權危害資安的威脅，此項服務名為 Amazon GuardDuty。

GuardDuty 可分析和處理多個 AWS 資料來源（VPC Flow Logs、AWS CloudTrail Management Events、CloudTrail S3 Data Events 和 DNS Logs）中的多重事件，無需部署或維護軟、硬體即可使用。GuardDuty 利用威脅情報源（例如:惡意 IP 的列表）和機器學習以識別 AWS 環境中未經授權危害資安的活動。

GuardDuty 本身會自動創建一個基於時間日期的文件夾架構，並藉由 Lambda 重新組織排列文件夾架構。此排列方式是 GuardDuty 針對偵測監控而組織的排列結果 (Finding Type)。重新組織後，將視圖傳送至 QuickSight，使用者能更輕鬆的將想關注的監控結果視覺化。

企業只要在選定的區域開啟 GuardDuty，就可將 GuardDuty 監控結果提取至 Amazon Simple Storage Service (Amazon S3) 中，使用 Lambda 重組 S3文件夾結構，並透過 Glue 和 Athena 將嵌套的 JSON 結構轉換並產出相對應的列表與資料，最後透過 QuickSight 分析並將結果視覺化，同時可下載分析結果。此架構流程提供易執行且高效率的解決方案，可用於分析 GuardDuty 的監控結果，廣泛地展示處理和視覺化多元類型複雜的 JSON 日誌。

GuardDuty Finding Type內容樣貌