Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
GuardDuty aktualisiert die generierten Ergebnisse dynamisch. Wenn eine neue Aktivität im Zusammenhang mit demselben Sicherheitsproblem GuardDuty erkannt wird, GuardDuty wird das ursprüngliche Ergebnis nicht erstellt, sondern das ursprüngliche Ergebnis mit den neuesten Details aktualisiert. Dieses Verhalten ermöglicht es Ihnen, alle laufenden Probleme zu identifizieren, ohne mehrere ähnliche Berichte durchsuchen zu müssen, und reduziert das Gesamtvolumen der Ergebnisse für bekannte Sicherheitsprobleme.
Zum Beispiel für UnauthorizedAccess:EC2/SSHBruteForce Wenn Sie feststellen, werden mehrere Zugriffsversuche auf Ihre Instance zu derselben Ergebnis-ID zusammengefasst, wodurch die Anzahl in den Details des Ergebnisses erhöht wird. Dies liegt daran, dass dieses Ergebnis ein einziges Sicherheitsproblem darstellt, wobei die Instance anzeigt, dass der SSH-Port auf der Instance nicht ordnungsgemäß vor dieser Art von Aktivität geschützt ist. Wenn GuardDuty jedoch SSH-Zugriffsaktivitäten für eine neue Instance in Ihrer Umgebung erkennt, wird ein neues Ergebnis mit einer eindeutigen Ergebniskennung erstellt, die Sie darauf hinzuweisen, dass mit der neuen Ressource ein Sicherheitsproblem verbunden ist.
Wenn ein Ergebnis aggregiert wird, wird es mit Informationen aus dem letzten Ereignis dieser Aktivität aktualisiert. Das bedeutet, dass im obigen Beispiel, wenn Ihre Instance das Ziel eines Brute-Force-Versuchs von einem neuen Akteur ist, die Erkenntnisdetails aktualisiert werden, um die Remote-IP der jüngsten Quelle wiederzugeben, und ältere Informationen ersetzt werden. Vollständige Informationen zu einzelnen Aktivitätsversuchen sind weiterhin in Ihren CloudTrail Protokollen oder VPC Flow Logs verfügbar.
Die Kriterien, GuardDuty nach denen ein neues Ergebnis generiert wird, anstatt ein vorhandenes zu aggregieren, hängen vom Befundtyp ab. Die Aggregationskriterien für jeden Befundtyp werden von unseren Sicherheitstechnikern festgelegt, um einen Überblick über die verschiedenen Sicherheitsprobleme in Ihrem Konto zu bieten.
Wenn in Ihrem Konto ein Erkennungstyp für eine Angriffssequenz GuardDuty generiert wird, wird das Ergebnis nur dann aggregiert, wenn Sie ähnliche Signale in derselben Reihenfolge in Ihrem Konto GuardDuty identifizieren. Andernfalls GuardDuty wird eine weitere Angriffssequenz generiert.