Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Was ist Amazon GuardDuty?
Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der kontinuierlich AWS Datenquellen und Protokolle in Ihrer AWS Umgebung überwacht, analysiert und verarbeitet. GuardDuty verwendet Threat-Intelligence-Feeds wie Listen bösartiger IP-Adressen und Domains, Datei-Hashes und Modelle für maschinelles Lernen (ML), um verdächtige und potenziell bösartige Aktivitäten in Ihrer AWS Umgebung zu identifizieren. Die folgende Liste bietet einen Überblick über potenzielle Bedrohungsszenarien, anhand derer Sie Folgendes erkennen GuardDuty können:
-
Kompromittierte und exfiltrierte Anmeldeinformationen AWS .
-
Exfiltration und Zerstörung von Daten, die zu einem Ransomware-Ereignis führen können. Ungewöhnliche Muster von Anmeldeereignissen in den unterstützten Engine-Versionen von Amazon Aurora und RDS Amazon-Datenbanken, die auf ein anomales Verhalten hinweisen.
-
Unautorisierte Cryptomining-Aktivitäten in Ihren Amazon Elastic Compute Cloud (AmazonEC2) -Instances und Container-Workloads.
-
Vorhandensein von Malware in Ihren EC2 Amazon-Instances und Container-Workloads sowie neu hochgeladene Dateien in Ihren Amazon Simple Storage Service (Amazon S3) -Buckets.
-
Ereignisse auf Betriebssystemebene, Netzwerk- und Dateiereignisse, die auf unberechtigtes Verhalten in Ihren Amazon Elastic Kubernetes Service (AmazonEKS) -Clustern, Amazon Elastic Container Service (AmazonECS) AWS Fargate -Aufgaben sowie EC2 Amazon-Instances und Container-Workloads hinweisen.
Das folgende Video bietet einen Überblick darüber, wie Sie Bedrohungen in Ihrer GuardDuty Umgebung erkennen können. AWS
Inhalt
Eigenschaften von GuardDuty
Im Folgenden finden Sie einige der wichtigsten Methoden, mit denen Amazon GuardDuty Sie bei der Überwachung, Erkennung und Verwaltung potenzieller Bedrohungen in Ihrer AWS Umgebung unterstützen kann.
- Überwacht kontinuierlich bestimmte Datenquellen und Ereignisprotokolle
-
-
Fundamentale Bedrohungserkennung — Wenn Sie GuardDuty in an aktivieren AWS-Konto, GuardDuty werden automatisch die grundlegenden Datenquellen aufgenommen, die mit diesem Konto verknüpft sind. Zu diesen Datenquellen gehören AWS CloudTrail Verwaltungsereignisse, VPC Flow-Logs (von EC2 Amazon-Instances) und DNS Logs. Sie müssen nichts anderes aktivieren, um mit der Analyse und Verarbeitung dieser Datenquellen zu beginnen, um die zugehörigen Sicherheitsergebnisse zu generieren. GuardDuty Weitere Informationen finden Sie unter GuardDuty grundlegende Datenquellen.
-
Erweiterte Bedrohungserkennung — Diese Funktion erkennt mehrstufige Angriffe, die sich über grundlegende Datenquellen, mehrere Arten von AWS Ressourcen und einen Zeitraum innerhalb eines Zeitraums erstrecken. AWS-Konto In Ihrem Konto gibt es möglicherweise mehrere Ereignisse, die für sich genommen keine eindeutige Bedrohung darstellen. Wenn diese Ereignisse jedoch in einer Reihenfolge beobachtet werden, die auf eine verdächtige Aktivität hinweist, wird dies als Angriffssequenz GuardDuty identifiziert. GuardDuty benachrichtigt Sie, indem es den zugehörigen Erkennungstyp der Angriffssequenz generiert, um Ihnen Einzelheiten zur beobachteten Angriffssequenz bereitzustellen.
Extended Threat Detection wird AWS-Konto bei jeder Aktivierung automatisch aktiviert, ohne dass zusätzliche Kosten anfallen. GuardDuty Für diese Funktion müssen Sie keinen anwendungsspezifischen Schutzplan aktivieren. Um die Sicherheit Ihrer Amazon S3 S3-Ressourcen zu erhöhen, GuardDuty empfiehlt es sich jedoch, S3 Protection in Ihrem Konto zu aktivieren. Auf diese Weise kann Extended Threat Detection mehrstufige Angriffe identifizieren, die sich möglicherweise auf Ihre Amazon S3 S3-Ressourcen auswirken.
Weitere Informationen darüber, wie diese Funktion funktioniert und welche Bedrohungsszenarien sie abdeckt, finden Sie unterGuardDuty Erweiterte Bedrohungserkennung.
-
Auf Anwendungsfälle ausgerichtete GuardDuty Schutzpläne — Für einen besseren Einblick in die Sicherheit Ihrer AWS Umgebung bei der Erkennung von Bedrohungen GuardDuty bieten wir spezielle Schutzpläne, die Sie aktivieren können. Schutzpläne helfen Ihnen bei der Überwachung von Protokollen und Ereignissen anderer AWS Dienste. Zu diesen Quellen gehören EKS Auditprotokolle, RDS Anmeldeaktivitäten, Amazon S3 S3-Datenereignisse in CloudTrail, EBS Volumen, Runtime Monitoring in Amazon EKSEC2, Amazon und Amazon ECS -Fargate sowie Lambda-Netzwerkaktivitätsprotokolle. GuardDutyfasst diese Protokoll- und Ereignisquellen unter dem Begriff Funktionen zusammen. Sie können jederzeit einen oder mehrere spezielle Schutzpläne in AWS-Region einem unterstützten Paket aktivieren. GuardDuty beginnt mit der Überwachung, Verarbeitung und Analyse der Aktivitäten auf der Grundlage des von Ihnen aktivierten Schutzplans. Weitere Informationen zu den einzelnen Schutzplänen und ihrer Funktionsweise finden Sie im entsprechenden Schutzplandokument.
Schutzplan Beschreibung Identifiziert potenzielle Sicherheitsrisiken wie Datenexfiltrations- und Zerstörungsversuche in Ihren Amazon S3 S3-Buckets.
EKSAudit Log Monitoring analysiert Kubernetes-Auditprotokolle aus Ihren EKS Amazon-Clustern auf potenziell verdächtige und böswillige Aktivitäten.
Überwacht und analysiert Ereignisse auf Betriebssystemebene auf AmazonEKS, Amazon und Amazon ECS (einschließlich AWS Fargate)EC2, um potenzielle Laufzeitbedrohungen zu erkennen.
Erkennt das potenzielle Vorhandensein von Malware, indem es die EBS Amazon-Volumes scannt, die Ihren EC2 Amazon-Instances zugeordnet sind. Es besteht die Möglichkeit, diese Funktion bei Bedarf zu nutzen.
Erkennt das potenzielle Vorhandensein von Malware in den neu hochgeladenen Objekten in Ihren Amazon S3 S3-Buckets.
Analysiert und profiliert Ihre RDS Anmeldeaktivitäten im Hinblick auf potenzielle Zugriffsbedrohungen auf die unterstützten Amazon Aurora- und RDS Amazon-Datenbanken.
Überwacht Lambda-Netzwerkaktivitätsprotokolle, beginnend mit VPC Flussprotokollen, um Bedrohungen für Ihre AWS Lambda Funktionen zu erkennen. Zu diesen potenziellen Bedrohungen gehören beispielsweise Cryptomining und die Kommunikation mit bösartigen Servern.
Aktivieren Sie den Malware-Schutz für S3 unabhängig voneinander
GuardDuty bietet die Flexibilität, Malware Protection for S3 unabhängig zu verwenden, ohne den GuardDuty Amazon-Service zu aktivieren. Weitere Informationen zu den ersten Schritten nur mit Malware Protection for S3 finden Sie unterGuardDuty Malware-Schutz für S3. Um alle anderen Schutzpläne nutzen zu können, müssen Sie den GuardDuty Dienst aktivieren.
-
- Umgebung mit mehreren Konten verwalten
-
Sie können eine AWS Umgebung mit mehreren Konten verwalten, indem Sie entweder die AWS Organizations (empfohlene) oder die herkömmliche Einladungsmethode verwenden. Weitere Informationen finden Sie unter Mehrere Konten in GuardDuty.
- Generiert Sicherheitsergebnisse für erkannte Bedrohungen
-
Wenn potenzielle Sicherheitsbedrohungen im Zusammenhang mit Ihren AWS Ressourcen GuardDuty erkannt werden, werden Sicherheitsergebnisse generiert, die Informationen über die potenziell gefährdete Ressource liefern. Generieren Sie nach GuardDuty der Aktivierung in Ihrem Konto, Beispielergebnisse um die zugehörigen Erkenntnisdetails Dateien anzuzeigen. Eine vollständige Liste der Sicherheitsergebnisse finden Sie unterGuardDuty Typen finden.
Mit GuardDuty können Sie auch ein Testerskript verwenden, das spezifische GuardDuty Sicherheitserkenntnisse generiert, um zu verstehen, wie die GuardDuty Ergebnisse überprüft und darauf reagiert werden. Weitere Informationen finden Sie unter GuardDuty Testergebnisse in speziellen Konten.
- Bewertung und Verwaltung von Sicherheitsergebnissen
-
GuardDuty konsolidiert Ihre Sicherheitsfeststellungen für alle Konten und zeigt die Ergebnisse im Übersichts-Dashboard auf der GuardDuty Konsole an. Sie können die Ergebnisse auch über AWS Security Hub API AWS Command Line Interface, oder AWS SDK abrufen. Mit einem ganzheitlichen Überblick über Ihren aktuellen Sicherheitsstatus können Sie Trends und potenzielle Probleme erkennen und die erforderlichen Abhilfemaßnahmen ergreifen. Weitere Informationen finden Sie unter Verwaltung der GuardDuty Ergebnisse.
- Integrieren Sie es in verwandte AWS Sicherheitsdienste
-
Um Sie bei der Analyse und Untersuchung der Sicherheitstrends in Ihrer AWS Umgebung weiter zu unterstützen, sollten Sie die folgenden AWS sicherheitsbezogenen Services in Kombination mit in Betracht ziehen. GuardDuty
-
AWS Security Hub— Dieser Service bietet Ihnen einen umfassenden Überblick über den Sicherheitsstatus Ihrer AWS Ressourcen und hilft Ihnen dabei, Ihre AWS Umgebung anhand der Sicherheitsstandards und bewährten Verfahren der Branche zu überprüfen. Dies geschieht unter anderem dadurch, dass Ihre Sicherheitsergebnisse aus mehreren AWS Diensten (einschließlich Amazon Macie) und unterstützten AWS Partner Network (APN) -Produkten verarbeitet, aggregiert, organisiert und priorisiert werden. Security Hub hilft Ihnen dabei, Ihre Sicherheitstrends zu analysieren und die Sicherheitsprobleme mit der höchsten Priorität in Ihrer AWS Umgebung zu identifizieren.
Informationen zur gemeinsamen Verwendung von GuardDuty und Security Hub finden Sie unterIntegration GuardDuty mit AWS Security Hub. Weitere Informationen zu Security Hub finden Sie im AWS Security Hub Benutzerhandbuch.
-
Amazon Detective — Dieser Service hilft Ihnen dabei, Sicherheitslücken oder verdächtige Aktivitäten zu analysieren, zu untersuchen und schnell die Ursache zu identifizieren. Detective sammelt automatisch Protokolldaten von Ihren AWS Ressourcen. Es verwendet dann Machine Learning, statistische Analysen und die Diagrammtheorie, um Visualisierungen zu erstellen, mit denen Sie effektive Sicherheitsuntersuchungen schneller und effizienter durchführen können. Die vorgefertigten Datenaggregationen, Zusammenfassungen und Kontexte von Detective helfen Ihnen bei der Analyse und Bestimmung der Art und des Ausmaßes potenzieller Sicherheitsprobleme.
Hinweise zur gemeinsamen Verwendung von GuardDuty und Detective finden Sie unterIntegration GuardDuty mit Amazon Detective. Weitere Informationen zu Detective finden Sie im Amazon Detective User Guide.
-
Amazon EventBridge — Dieser Service hilft Ihnen, Benachrichtigungen zu erhalten und nahezu in Echtzeit auf GuardDuty Sicherheitslücken zu reagieren. GuardDuty erzeugt ein Ereignis, wenn sich die Ergebnisse ändern. Sie können wählen, von wie oft Sie die Benachrichtigungen erhalten möchten EventBridge. Weitere Informationen finden Sie unter Was ist Amazon EventBridge im EventBridge Amazon-Benutzerhandbuch.
-
PCIDSSEinhaltung der Vorschriften
GuardDuty unterstützt die Verarbeitung, Speicherung und Übertragung von Kreditkartendaten durch einen Händler oder Dienstleister und wurde als konform mit dem Payment Card Industry (PCI) Data Security Standard (DSS) validiert. Weitere Informationen PCI DSS zum Compliance-Paket sowie zur Beantragung einer Kopie des AWS PCI Compliance-Pakets finden Sie unter PCIDSSStufe 1.
Weitere Informationen finden Sie im AWS Sicherheitsblog unter Neuer Drittanbietertest vergleicht Amazon GuardDuty mit Systemen zur Erkennung von Netzwerkeindringlingen