Что такое AWS GuardDuty и как он работает?

GuardDuty — managed threat detection сервис, анализирует CloudTrail Events, VPC Flow Logs и DNS logs через ML и threat intelligence. Находит: compromised EC2 (криптомайнинг, C2 коммуникации), утечки IAM credentials, port scanning, unusual API calls. Не требует агентов, включается одной кнопкой. Интегрируется с Security Hub и EventBridge для автоматизации ответа. Рекомендуется включать во всех аккаунтах как базовый уровень детекции.