GuardDuty Aggregation finden - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

GuardDuty Aggregation finden

GuardDuty aktualisiert die generierten Ergebnisse dynamisch. Wenn eine neue Aktivität im Zusammenhang mit demselben Sicherheitsproblem GuardDuty erkannt wird, GuardDuty wird das ursprüngliche Ergebnis nicht erstellt, sondern das ursprüngliche Ergebnis mit den neuesten Details aktualisiert. Dieses Verhalten ermöglicht es Ihnen, alle laufenden Probleme zu identifizieren, ohne mehrere ähnliche Berichte durchsuchen zu müssen, und reduziert das Gesamtvolumen der Ergebnisse für bekannte Sicherheitsprobleme.

Zum Beispiel für UnauthorizedAccess:EC2/SSHBruteForce Wenn Sie feststellen, werden mehrere Zugriffsversuche auf Ihre Instance zu derselben Ergebnis-ID zusammengefasst, wodurch die Anzahl in den Details des Ergebnisses erhöht wird. Dies liegt daran, dass dieses Ergebnis ein einzelnes Sicherheitsproblem darstellt, da die Instance darauf hinweist, dass der SSH Port auf der Instance nicht ordnungsgemäß gegen diese Art von Aktivität geschützt ist. Wenn jedoch eine SSH Zugriffsaktivität GuardDuty erkannt wird, die auf eine neue Instance in Ihrer Umgebung abzielt, wird ein neues Ergebnis mit einer eindeutigen Finde-ID erstellt, um Sie darauf aufmerksam zu machen, dass mit der neuen Ressource ein Sicherheitsproblem verbunden ist.

Wenn ein Ergebnis aggregiert wird, wird es mit Informationen aus dem letzten Ereignis dieser Aktivität aktualisiert. Das bedeutet, dass im obigen Beispiel, wenn Ihre Instance das Ziel eines Brute-Force-Versuchs von einem neuen Akteur ist, die Erkenntnisdetails aktualisiert werden, um die Remote-IP der jüngsten Quelle wiederzugeben, und ältere Informationen ersetzt werden. Vollständige Informationen zu einzelnen Aktivitätsversuchen sind weiterhin in Ihren CloudTrail Logs oder VPC Flow Logs verfügbar.

Die Kriterien, anhand derer GuardDuty ein neues Ergebnis generiert wird, anstatt ein vorhandenes zu aggregieren, hängen vom Typ des Ergebnisses ab. Die Aggregationskriterien für jeden Befundtyp werden von unseren Sicherheitstechnikern festgelegt, um einen Überblick über die verschiedenen Sicherheitsprobleme in Ihrem Konto zu bieten.

Wenn in Ihrem Konto ein Erkennungstyp für eine Angriffssequenz GuardDuty generiert wird, wird das Ergebnis nur dann aggregiert, wenn Sie ähnliche Signale in derselben Reihenfolge in Ihrem Konto GuardDuty identifizieren. Andernfalls GuardDuty wird eine weitere Angriffssequenz generiert.