Konzepte und Schlüsselbegriffe bei Amazon GuardDuty

Ein Standardkonto von Amazon Web Services (AWS), das Ihre AWS Ressourcen enthält. Sie können sich AWS mit Ihrem Konto anmelden und es aktivieren GuardDuty.

Sie können auch andere Konten einladen, Ihr AWS Konto zu aktivieren GuardDuty und mit diesem verknüpft zu werden GuardDuty. Wenn Ihre Einladungen akzeptiert werden, wird Ihr Konto als GuardDuty Administratorkonto festgelegt und die hinzugefügten Konten werden zu Ihren Mitgliedskonten. Sie können dann die GuardDuty Ergebnisse dieser Konten in ihrem Namen einsehen und verwalten.

Benutzer des Administratorkontos können die GuardDuty Ergebnisse für ihr eigenes Konto und alle ihre Mitgliedskonten konfigurieren GuardDuty , einsehen und verwalten. Informationen zur Anzahl der Mitgliedskonten, die Ihr Administratorkonto verwalten kann, finden Sie unterGuardDuty Kontingente.

Benutzer von Mitgliedskonten können GuardDuty Ergebnisse in ihrem Konto konfigurieren GuardDuty sowie anzeigen und verwalten (entweder über die GuardDuty Verwaltungskonsole oder die GuardDuty API). Benutzer von Mitgliedskonten können keine Ergebnisse in den Konten anderer Mitglieder anzeigen oder verwalten.

Ein Konto AWS-Konto kann nicht gleichzeitig ein GuardDuty Administratorkonto und ein Mitgliedskonto sein. An AWS-Konto kann nur eine Mitgliedschaftseinladung annehmen. Das Annehmen einer Mitgliedschaftseinladung ist optional.

Weitere Informationen finden Sie unter Mehrere Konten bei Amazon GuardDuty.

Eine Angriffssequenz ist eine Korrelation mehrerer Ereignisse, die, wie von beobachtet GuardDuty, in einer bestimmten Reihenfolge passiert sind, die dem Muster einer verdächtigen Aktivität entspricht. GuardDuty nutzt seine Erweiterte Bedrohungserkennung Fähigkeit, um diese mehrstufigen Angriffe zu erkennen, die grundlegende Datenquellen, AWS Ressourcen und Zeitpläne in Ihrem Konto umfassen.

In der folgenden Liste werden die wichtigsten Begriffe im Zusammenhang mit Angriffssequenzen kurz erläutert:

Amazon GuardDuty ist ein regionaler Service. Wenn Sie eine bestimmte Option aktivieren GuardDuty AWS-Region, AWS-Konto wird Ihnen eine Melder-ID zugewiesen. Diese 32-stellige alphanumerische ID ist einzigartig für Ihr Konto in dieser Region. Wenn Sie beispielsweise GuardDuty für dasselbe Konto in einer anderen Region aktivieren, wird Ihr Konto mit einer anderen Melder-ID verknüpft. Das Format einer Detektor-ID ist 12abc34d567e8fa901bc2d34e56789f0.

Alle GuardDuty Ergebnisse, Konten und Aktionen im Zusammenhang mit der Verwaltung von Ergebnissen und dem GuardDuty Service verwenden die Detektor-ID, um einen API-Vorgang auszuführen.

Um die detectorId für Ihr Konto und Ihre aktuelle Region geltenden Daten zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectorsAPI.

Einige GuardDuty Funktionen werden über den Detektor konfiguriert, z. B. die Konfiguration der Häufigkeit von Benachrichtigungen über CloudWatch Ereignisse und die Aktivierung oder Deaktivierung optionaler Schutzpläne für GuardDuty die Verarbeitung.

Der Ursprung oder Speicherort eines Datensatzes. Um eine nicht autorisierte oder unerwartete Aktivität in Ihrer AWS Umgebung zu erkennen. GuardDuty analysiert und verarbeitet Daten aus AWS CloudTrail Ereignisprotokollen, AWS CloudTrail Verwaltungsereignissen, AWS CloudTrail Datenereignissen für S3, VPC-Flussprotokollen und DNS-Protokollen, sieheGuardDuty grundlegende Datenquellen.

Ein für Ihren GuardDuty Schutzplan konfiguriertes Feature-Objekt hilft dabei, unbefugte oder unerwartete Aktivitäten in Ihrer AWS Umgebung zu erkennen. Jeder GuardDuty Schutzplan konfiguriert das entsprechende Featureobjekt für die Analyse und Verarbeitung von Daten. Zu den Featureobjekten gehören EKS-Auditprotokolle, Überwachung der RDS-Anmeldeaktivität, Lambda-Netzwerkaktivitätsprotokolle und EBS-Volumes. Weitere Informationen finden Sie unter Funktionsnamen für Schutzpläne in der GuardDuty API.

Ein von GuardDuty erkanntes potenzielles Sicherheitsrisiko. Weitere Informationen finden Sie unter GuardDuty Amazon-Ergebnisse verstehen und generieren.

Die Ergebnisse werden in der GuardDuty Konsole angezeigt und enthalten eine detaillierte Beschreibung des Sicherheitsproblems. Sie können Ihre generierten Ergebnisse auch abrufen, indem Sie GetFindingsund aufrufen ListFindingsAPI-Operationen.

Sie können Ihre GuardDuty Ergebnisse auch über Amazon CloudWatch Events einsehen. GuardDuty sendet Ergebnisse CloudWatch über das HTTPS-Protokoll an Amazon. Weitere Informationen finden Sie unter Erstellen von benutzerdefinierten Antworten auf GuardDuty Ergebnisse mit Amazon CloudWatch Events.

Dies ist die IAM-Rolle mit den erforderlichen Berechtigungen zum Scannen des S3-Objekts. Wenn das Taggen gescannter Objekte aktiviert ist, helfen die PassRole IAM-Berechtigungen dabei, dem gescannten Objekt Tags GuardDuty hinzuzufügen.

Nachdem Sie den Malware-Schutz für S3 für einen Bucket aktiviert haben, GuardDuty wird die Ressource „Malware-Schutz für den EC2 Plan“ erstellt. Diese Ressource ist mit der Paket-ID von Malware EC2 Protection for verknüpft, einer eindeutigen Kennung für Ihren geschützten Bucket. Verwenden Sie die Ressource des Malware Protection-Plans, um API-Operationen auf einer geschützten Ressource durchzuführen.

Ein Amazon S3 S3-Bucket gilt als geschützt, wenn Sie Malware Protection for S3 für diesen Bucket aktivieren und sein Schutzstatus auf Aktiv geändert wird.

GuardDuty unterstützt nur einen S3-Bucket als geschützte Ressource.

Der Status, der mit der Ressource Ihres Malware-Schutzplans verknüpft ist. Nachdem Sie Malware Protection for S3 für Ihren Bucket aktiviert haben, gibt dieser Status an, ob Ihr Bucket korrekt eingerichtet ist oder nicht.

In einem Amazon Simple Storage Service (Amazon S3) -Bucket können Sie Präfixe verwenden, um Ihren Speicher zu organisieren. Ein Präfix ist eine logische Gruppierung der Objekte in einem S3-Bucket. Weitere Informationen finden Sie unter Objekte organisieren und auflisten im Amazon S3 S3-Benutzerhandbuch.

Wenn GuardDuty Malware Protection for aktiviert EC2 ist, können Sie angeben, welche EC2 Amazon-Instances und Amazon Elastic Block Store (EBS) -Volumes gescannt oder übersprungen werden sollen. Mit dieser Funktion können Sie die vorhandenen Tags, die Ihren EC2 Instances und Ihrem EBS-Volume zugeordnet sind, entweder zu einer Liste mit Einschluss-Tags oder einer Ausschluss-Tag-Liste hinzufügen. Die Ressourcen, die mit den Tags verknüpft sind, die Sie zu einer Liste mit Einschlusstags hinzufügen, werden auf Malware gescannt, und die Ressourcen, die zu einer Ausschlusstag-Liste hinzugefügt wurden, werden nicht gescannt. Weitere Informationen finden Sie unter Scan-Optionen mit benutzerdefinierten Tags.

Wenn GuardDuty Malware Protection for aktiviert EC2 ist, besteht die Möglichkeit, die Snapshots Ihrer EBS-Volumes in Ihrem Konto aufzubewahren. AWS GuardDuty generiert die Replikat-EBS-Volumes auf der Grundlage der Snapshots Ihrer EBS-Volumes. Sie können die Snapshots Ihrer EBS-Volumes nur dann beibehalten, wenn der Malware-Schutz für den EC2 Scan Malware in den EBS-Replikat-Volumes erkennt. Wenn auf den EBS-Replikat-Volumes keine Malware erkannt wird, werden die Snapshots Ihrer EBS-Volumes unabhängig von der Aufbewahrungseinstellung für Snapshots GuardDuty automatisch gelöscht. Weitere Informationen finden Sie unter Snapshot-Beibehaltung.

Unterdrückungsregeln ermöglichen die Einrichtung sehr spezifischer Kombinationen von Attributen, um Ergebnisse zu unterdrücken. Sie können beispielsweise über den GuardDuty Filter eine Regel definieren, um nur die Instances in einer bestimmten VPC, auf der ein bestimmtes AMI oder mit einem bestimmten EC2 Tag ausgeführt wird, automatisch zu archivierenRecon:EC2/Portscan. Diese Regel würde dazu führen, dass Port-Scan-Ergebnisse von den Instances automatisch archiviert werden, die die Kriterien erfüllen. Es ermöglicht jedoch weiterhin Warnmeldungen, wenn Instanzen GuardDuty entdeckt werden, die andere bösartige Aktivitäten wie das Mining von Kryptowährungen ausführen.

Die im GuardDuty Administratorkonto definierten Unterdrückungsregeln gelten für die Mitgliedskonten GuardDuty . GuardDuty Mitgliedskonten können die Unterdrückungsregeln nicht ändern.

Bei Unterdrückungsregeln werden GuardDuty trotzdem alle Ergebnisse generiert. Die Unterdrückungsregeln sorgen für eine Unterdrückung von Ergebnissen, während gleichzeitig ein vollständiger und unveränderlicher Verlauf aller Aktivitäten aufgezeichnet wird.

Gewöhnlich werden Unterdrückungsregeln verwendet, um Ergebnisse zu verbergen, die Sie als falsch positive Ergebnisse für Ihre Umgebung ermittelt haben, und um das Rauschen durch Ergebnisse mit niedrigem Wert zu reduzieren, sodass Sie sich auf größere Bedrohungen konzentrieren können. Weitere Informationen finden Sie unter Unterdrückungsregeln in GuardDuty.

Eine Liste vertrauenswürdiger IP-Adressen für die hochsichere Kommunikation mit Ihrer AWS Umgebung. GuardDuty generiert keine Ergebnisse auf der Grundlage vertrauenswürdiger IP-Listen. Weitere Informationen finden Sie unter Arbeiten mit vertrauenswürdigen IP- und Bedrohungslisten.

Eine Liste bekannter böswilliger IP-Adressen. Generiert nicht nur Ergebnisse aufgrund einer potenziell verdächtigen Aktivität, GuardDuty sondern generiert auch Ergebnisse auf der Grundlage dieser Bedrohungslisten. Weitere Informationen finden Sie unter Arbeiten mit vertrauenswürdigen IP- und Bedrohungslisten.