如何佈署GuardDuty?
1.找到Amazon GuardDuty
2.點Enable GuardDuty，就完成了(會不會太簡單?XDD 先別離開請繼續往下看~

上述的步驟是單一帳號的狀況，如果是一個組織內有多個帳號，該怎麼處理呢?

1.你必須要先將帳號加到公司統一管理的AWS Organization裡面，並加入下面兩段Policy，這樣你才可以指定admin

{
    “Sid”: “Permissions to Enable GuardDuty delegated administrator”,
    “Effect”: “Allow”,
    “Action”: [
    “guardduty:EnableOrganizationAdminAccount”,
    “organizations:EnableAWSServiceAccess”,
    “organizations:RegisterDelegatedAdministrator”,
    “organizations:ListDelegatedAdministrators”,
    “organizations:ListAWSServiceAccessForOrganization”,
    “organizations:DescribeOrganizationalUnit”,
    “organizations:DescribeAccount”,
    “organizations:DescribeOrganization”
    ],
    “Resource”: “*”
}

輸入下列Policy，指定管理帳號，將下面"123456789012"的地方輸入帳號的AWS ID

{
    ‘Sid”: “Permissions to Enable GuardDuty”
    “Effect”: “Allow”,
    “Action”: [
    “iam:CreateServiceLinkedRole”
    ],
    “Resource”: “arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/ AWSServiceRoleForAmazonGuardDuty”, “Condition”: {
    “StringLike”: { “iam:AWSServiceName”: “guardduty.amazonaws.com”
        }
    }
}

2.跟單一帳號步驟一樣啟用GuardDuty，就完成了
接下來GuardDuty就會開始掃描帳戶的相關資訊然後找出異常行為，你可以根據找到的結果進一步進行調查

產生範例搜尋結果

GuardDuty 支援樣本調查結果的服務，可用於測試 GuardDuty 功能並在需要回應真正GuardDuty 調查結果之前熟悉如何處理這些問題。

如何做呢?

1.在GuardDuty側邊選項選setting

2. setting裡面的sample finding 裡面按下Generate sample finding
   

3.選擇側邊選項選項選Finding，看到列表裡面名稱前面有[Sample]的就是剛剛所產生的範例，並依照嚴重程度分為紅色三角型的High、黃色框框的medium跟藍色圓圈的low

4.點進每個事件，他都會告訴你GuardDuty找到哪裡有問題，並提供調查結果，你可以立即進行修復

下篇我們將繼續介紹GuardDuty的相關資安應用