Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

GuardDuty Aggregation finden

Fokusmodus
GuardDuty Aggregation finden - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

GuardDuty aktualisiert die generierten Ergebnisse dynamisch. Wenn eine neue Aktivität im Zusammenhang mit demselben Sicherheitsproblem GuardDuty erkannt wird, GuardDuty wird das ursprüngliche Ergebnis nicht erstellt, sondern das ursprüngliche Ergebnis mit den neuesten Details aktualisiert. Dieses Verhalten ermöglicht es Ihnen, alle laufenden Probleme zu identifizieren, ohne mehrere ähnliche Berichte durchsuchen zu müssen, und reduziert das Gesamtvolumen der Ergebnisse für bekannte Sicherheitsprobleme.

Zum Beispiel für UnauthorizedAccess:EC2/SSHBruteForce Wenn Sie feststellen, werden mehrere Zugriffsversuche auf Ihre Instance zu derselben Ergebnis-ID zusammengefasst, wodurch die Anzahl in den Details des Ergebnisses erhöht wird. Dies liegt daran, dass dieses Ergebnis ein einziges Sicherheitsproblem darstellt, wobei die Instance anzeigt, dass der SSH-Port auf der Instance nicht ordnungsgemäß vor dieser Art von Aktivität geschützt ist. Wenn GuardDuty jedoch SSH-Zugriffsaktivitäten für eine neue Instance in Ihrer Umgebung erkennt, wird ein neues Ergebnis mit einer eindeutigen Ergebniskennung erstellt, die Sie darauf hinzuweisen, dass mit der neuen Ressource ein Sicherheitsproblem verbunden ist.

Wenn ein Ergebnis aggregiert wird, wird es mit Informationen aus dem letzten Ereignis dieser Aktivität aktualisiert. Das bedeutet, dass im obigen Beispiel, wenn Ihre Instance das Ziel eines Brute-Force-Versuchs von einem neuen Akteur ist, die Erkenntnisdetails aktualisiert werden, um die Remote-IP der jüngsten Quelle wiederzugeben, und ältere Informationen ersetzt werden. Vollständige Informationen zu einzelnen Aktivitätsversuchen sind weiterhin in Ihren CloudTrail Protokollen oder VPC Flow Logs verfügbar.

Die Kriterien, GuardDuty nach denen ein neues Ergebnis generiert wird, anstatt ein vorhandenes zu aggregieren, hängen vom Befundtyp ab. Die Aggregationskriterien für jeden Befundtyp werden von unseren Sicherheitstechnikern festgelegt, um einen Überblick über die verschiedenen Sicherheitsprobleme in Ihrem Konto zu bieten.

Wenn in Ihrem Konto ein Erkennungstyp für eine Angriffssequenz GuardDuty generiert wird, wird das Ergebnis nur dann aggregiert, wenn Sie ähnliche Signale in derselben Reihenfolge in Ihrem Konto GuardDuty identifizieren. Andernfalls GuardDuty wird eine weitere Angriffssequenz generiert.

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.