Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

GuardDuty Amazon-Ergebnisse abfragen

RSS
Fokusmodus
GuardDuty Amazon-Ergebnisse abfragen - Amazon Athena
VoraussetzungenErstellen Sie in Athena eine Tabelle für Ergebnisse GuardDuty BeispielabfragenTipps zum Abfragen GuardDuty von Ergebnissen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon GuardDuty ist ein Sicherheitsüberwachungsservice, der Ihnen hilft, unerwartete und potenziell nicht autorisierte oder böswillige Aktivitäten in Ihrer AWS Umgebung zu identifizieren. Wenn es unerwartete und potenziell bösartige Aktivitäten erkennt, GuardDuty generiert es Sicherheitsergebnisse, die Sie zur Speicherung und Analyse nach Amazon S3 exportieren können. Nachdem Sie Ihre Ergebnisse in Amazon S3 exportiert haben, können Sie diese mit Athena abfragen. Dieser Artikel zeigt, wie Sie in Athena eine Tabelle für Ihre GuardDuty Ergebnisse erstellen und diese abfragen.

Weitere Informationen zu Amazon GuardDuty finden Sie im GuardDuty Amazon-Benutzerhandbuch.

Voraussetzungen

  • Aktivieren Sie die GuardDuty Funktion zum Exportieren von Ergebnissen nach Amazon S3. Eine Anleitung dazu finden Sie unter Ergebnisse exportieren im GuardDuty Amazon-Benutzerhandbuch.

Erstellen Sie in Athena eine Tabelle für Ergebnisse GuardDuty

Um Ihre GuardDuty Ergebnisse von Athena abzufragen, müssen Sie eine Tabelle für sie erstellen.

Um in Athena eine Tabelle für GuardDuty Ergebnisse zu erstellen

  1. Öffnen Sie die Athena-Konsole unter https://console.aws.amazon.com/athena/.

  2. Fügen Sie die folgende DDL Anweisung in die Athena-Konsole ein. Ändern Sie die Werte soLOCATION 's3://amzn-s3-demo-bucket/AWSLogs/account-id/GuardDuty/', dass sie auf Ihre GuardDuty Ergebnisse in Amazon S3 verweisen.

    CREATE EXTERNAL TABLE `gd_logs` (
  `schemaversion` string,
  `accountid` string,
  `region` string,
  `partition` string,
  `id` string,
  `arn` string,
  `type` string,
  `resource` string,
  `service` string,
  `severity` string,
  `createdat` string,
  `updatedat` string,
  `title` string,
  `description` string)
ROW FORMAT SERDE 'org.openx.data.jsonserde.JsonSerDe'
 LOCATION 's3://amzn-s3-demo-bucket/AWSLogs/account-id/GuardDuty/'
 TBLPROPERTIES ('has_encrypted_data'='true')
    Anmerkung

    Das SerDe erwartet, dass sich jedes JSON Dokument in einer einzigen Textzeile ohne Zeilenabschlusszeichen befindet, die die Felder im Datensatz voneinander trennen. Wenn der JSON Text ein hübsches Druckformat hat, erhalten Sie möglicherweise eine Fehlermeldung wie HIVE_ CURSOR _ERROR: Zeile ist kein gültiges JSON Objekt oder HIVE_ CURSOR _ERROR:: Unerwartet JsonParseException end-of-input: erwartetes Schließzeichen für OBJECT den Versuch, die Tabelle abzufragen, nachdem Sie sie erstellt haben. Weitere Informationen finden Sie unter JSONDatendateien in der SerDe OpenX-Dokumentation von. GitHub

  3. Führen Sie die Abfrage in der Athena-Konsole aus, um die gd_logs-Tabelle zu registrieren. Wenn die Abfrage abgeschlossen ist, können Sie die Ergebnisse aus Athena abfragen.

Beispielabfragen

Die folgenden Beispiele zeigen, wie GuardDuty Ergebnisse von Athena abgefragt werden.

Beispiel — DNS Datenexfiltration

Die folgende Abfrage gibt Informationen über EC2 Amazon-Instances zurück, die möglicherweise Daten über DNS Abfragen exfiltrieren.

SELECT
    title,
    severity,
    type,
    id AS FindingID,
    accountid,
    region,
    createdat,
    updatedat,
    json_extract_scalar(service, '$.count') AS Count,
    json_extract_scalar(resource, '$.instancedetails.instanceid') AS InstanceID,
    json_extract_scalar(service, '$.action.actiontype') AS DNS_ActionType,
    json_extract_scalar(service, '$.action.dnsrequestaction.domain') AS DomainName,
    json_extract_scalar(service, '$.action.dnsrequestaction.protocol') AS protocol,
    json_extract_scalar(service, '$.action.dnsrequestaction.blocked') AS blocked
FROM gd_logs
WHERE type = 'Trojan:EC2/DNSDataExfiltration'
ORDER BY severity DESC
Beispiel — Unbefugter Benutzerzugriff IAM

Die folgende Abfrage gibt alle UnauthorizedAccess:IAMUser Suchtypen für einen IAM Principal aus allen Regionen zurück. 

SELECT title,
         severity,
         type,
         id,
         accountid,
         region,
         createdat,
         updatedat,
         json_extract_scalar(service, '$.count') AS Count, 
         json_extract_scalar(resource, '$.accesskeydetails.username') AS IAMPrincipal, 
         json_extract_scalar(service,'$.action.awsapicallaction.api') AS APIActionCalled
FROM gd_logs
WHERE type LIKE '%UnauthorizedAccess:IAMUser%' 
ORDER BY severity desc;

Tipps zum Abfragen GuardDuty von Ergebnissen

Beachten Sie beim Erstellen der Abfrage die folgenden Punkte.

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.