GuardDuty grundlegende Datenquellen - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

GuardDuty grundlegende Datenquellen

GuardDuty verwendet die grundlegenden Datenquellen, um die Kommunikation mit bekannten bösartigen Domänen und IP-Adressen zu erkennen und potenziell anomales Verhalten und unbefugte Aktivitäten zu identifizieren. Bei der Übertragung von diesen Quellen zu GuardDuty werden alle Protokolldaten verschlüsselt. GuardDuty extrahiert verschiedene Felder aus diesen Protokollquellen für die Profilerstellung und die Erkennung von Anomalien und verwirft diese Protokolle anschließend.

Wenn Sie die Aktivierung GuardDuty zum ersten Mal in einer Region durchführen, gibt es eine kostenlose 30-Tage-Testversion, die die Bedrohungserkennung für alle grundlegenden Datenquellen umfasst. Während dieser kostenlosen Testversion können Sie die geschätzte monatliche Nutzung, aufgeschlüsselt nach jeder grundlegenden Datenquelle, überwachen. Als delegiertes GuardDuty Administratorkonto können Sie sich die geschätzten monatlichen Nutzungskosten anzeigen lassen, aufgeschlüsselt nach jedem Mitgliedskonto, das zu Ihrer Organisation gehört und aktiviert wurde. GuardDuty Nach Ablauf der 30-Tage-Testversion können Sie Informationen AWS Billing zu den Nutzungskosten abrufen.

Für den GuardDuty Zugriff auf Ereignisse und Protokolle aus diesen grundlegenden Datenquellen fallen keine zusätzlichen Kosten an.

Nachdem Sie Ihre aktiviert GuardDuty haben AWS-Konto, beginnt sie automatisch mit der Überwachung der in den folgenden Abschnitten erläuterten Protokollquellen. Sie müssen nichts anderes aktivieren, um mit der Analyse und Verarbeitung dieser Datenquellen zu beginnen, um entsprechende Sicherheitsergebnisse zu generieren. GuardDuty

AWS CloudTrail Verwaltungsereignisse

AWS CloudTrail bietet Ihnen eine Historie der AWS API-Aufrufe für Ihr Konto, einschließlich API-Aufrufe, die AWS Management Console, die AWS SDKs, die Befehlszeilentools und bestimmte AWS Dienste verwendet haben. CloudTrail hilft Ihnen auch dabei, zu ermitteln, welche Benutzer und Konten AWS APIs für unterstützende Dienste aufgerufen wurden CloudTrail, von welcher Quell-IP-Adresse aus die Aufrufe aufgerufen wurden, und zu welcher Uhrzeit die Aufrufe aufgerufen wurden. Weitere Informationen finden Sie unter Was ist AWS CloudTrail im AWS CloudTrail -Benutzerhandbuch.

GuardDuty überwacht CloudTrail Verwaltungsereignisse, auch bekannt als Ereignisse auf der Kontrollebene. Diese Ereignisse bieten Einblick in Verwaltungsvorgänge, die an Ressourcen in Ihrem Unternehmen ausgeführt werden AWS-Konto.

Im Folgenden finden Sie Beispiele für CloudTrail Verwaltungsereignisse, die GuardDuty überwacht werden:

  • Konfiguration der Sicherheit (AttachRolePolicyIAM-API-Operationen)

  • Konfiguration von Regeln für das Routing von Daten ( EC2 CreateSubnetAmazon-API-Operationen)

  • Einrichtung der Protokollierung (AWS CloudTrail CreateTrailAPI-Operationen)

Wenn Sie diese GuardDuty Option aktivieren, werden CloudTrail Verwaltungsereignisse direkt CloudTrail über einen unabhängigen und duplizierten Ereignisstrom verarbeitet und Ihre CloudTrail Ereignisprotokolle analysiert.

GuardDuty verwaltet Ihre CloudTrail Ereignisse nicht und wirkt sich auch nicht auf Ihre vorhandenen CloudTrail Konfigurationen aus. Ebenso haben Ihre CloudTrail Konfigurationen keinen Einfluss darauf, wie GuardDuty die Ereignisprotokolle genutzt und verarbeitet werden. Verwenden Sie die CloudTrail Servicekonsole oder API, um den Zugriff auf Ihre CloudTrail Ereignisse und deren Aufbewahrung zu verwalten. Weitere Informationen finden Sie im AWS CloudTrail Benutzerhandbuch unter Ereignisse mit CloudTrail Ereignisverlauf anzeigen.

Wie GuardDuty geht man mit AWS CloudTrail globalen Ereignissen um

Bei den meisten AWS Diensten werden CloudTrail Ereignisse dort aufgezeichnet, AWS-Region wo sie erstellt wurden. Für globale Dienste wie AWS Identity and Access Management (IAM), AWS Security Token Service (AWS STS), Amazon Simple Storage Service (Amazon S3) CloudFront, Amazon und Amazon Route 53 (Route 53) werden Ereignisse nur in der Region generiert, in der sie auftreten, aber sie haben globale Bedeutung.

Wenn GuardDuty CloudTrail globale Serviceereignisse mit Sicherheitswert wie Netzwerkkonfigurationen oder Benutzerberechtigungen verarbeitet werden, repliziert es diese Ereignisse und verarbeitet sie in jeder Region, in der Sie sie aktiviert haben. GuardDuty Dieses Verhalten hilft dabei, Benutzer- und Rollenprofile in jeder Region zu GuardDuty verwalten, was für die Erkennung ungewöhnlicher Ereignisse von entscheidender Bedeutung ist.

Wir empfehlen dringend, dass Sie alle aktivieren GuardDuty AWS-Regionen , die für Sie aktiviert sind. AWS-Konto Auf diese Weise GuardDuty können Sie Erkenntnisse über unbefugte oder ungewöhnliche Aktivitäten gewinnen, auch in den Regionen, die Sie möglicherweise nicht aktiv nutzen.

VPC Flow Logs

Die VPC Flow Logs-Funktion von Amazon VPC erfasst Informationen über den IP-Verkehr zu und von Netzwerkschnittstellen, die mit den Amazon Elastic Compute Cloud (Amazon EC2) -Instances in Ihrer AWS Umgebung verbunden sind.

Wenn Sie es aktivieren GuardDuty, beginnt es sofort mit der Analyse Ihrer VPC-Flow-Logs von EC2 Amazon-Instances in Ihrem Konto. Es verarbeitet VPC-Flow-Log-Ereignisse direkt aus der VPC Flow Logs-Funktion über einen unabhängigen und doppelten Stream von Flow-Logs. Dieser Prozess wirkt sich nicht auf ggf. vorhandene Flow-Protokollkonfigurationen aus.

Lambda Protection

Lambda Protection ist eine optionale Erweiterung für Amazon GuardDuty. Derzeit umfasst Lambda Network Activity Monitoring Amazon-VPC-Flow-Protokolle von allen Lambda-Funktionen für Ihr Konto, auch solche, die kein VPC-Netzwerk verwenden. Um Ihre Lambda-Funktion vor potenziellen Sicherheitsbedrohungen zu schützen, müssen Sie Lambda Protection in Ihrem GuardDuty Konto konfigurieren. Weitere Informationen finden Sie unter Lambda Protection.

GuardDuty Überwachung der Laufzeit

Wenn Sie den Security Agent (entweder manuell oder über GuardDuty) in EKS Runtime Monitoring oder Runtime Monitoring für EC2 Instances verwalten und derzeit auf einer Amazon-Instance bereitgestellt GuardDuty ist und diese Gesammelte Laufzeit-Ereignistypen von dieser EC2 Instance erhält, fallen GuardDuty Ihnen keine Gebühren AWS-Konto für die Analyse der VPC-Flow-Logs von dieser EC2 Amazon-Instance an. Dadurch werden doppelte Nutzungskosten für das Konto GuardDuty vermieden.

GuardDuty verwaltet Ihre Flow-Logs nicht und macht sie auch nicht in Ihrem Konto zugänglich. Damit Sie den Zugriff und die Aufbewahrung Ihrer Flow-Protokolle verwalten können, müssen Sie das Feature VPC-Flow-Protokolle konfigurieren.

Route53 Resolver DNS-Abfrageprotokolle

Wenn Sie AWS DNS-Resolver für Ihre EC2 Amazon-Instances verwenden (Standardeinstellung), GuardDuty können Sie über die internen DNS-Resolver auf Ihre Anfrage und Antwort Route53 Resolver DNS-Abfrageprotokolle zugreifen und diese verarbeiten. AWS Wenn Sie einen anderen DNS-Resolver wie OpenDNS oder GoogleDNS verwenden oder wenn Sie Ihre eigenen DNS-Resolver einrichten, GuardDuty können Sie nicht auf Daten aus dieser Datenquelle zugreifen und diese verarbeiten.

Wenn Sie es aktivieren GuardDuty, beginnt es sofort mit der Analyse Ihrer Route53 Resolver-DNS-Abfrageprotokolle aus einem unabhängigen Datenstrom. Dieser Datenstrom ist von den Daten getrennt, die über das Feature Route-53-Resolver-Abfrageprotokollierung bereitgestellt werden. Die Konfiguration dieser Funktion hat keinen Einfluss auf die Analyse. GuardDuty

Anmerkung

GuardDuty unterstützt nicht die Überwachung von DNS-Protokollen für EC2 Amazon-Instances, auf denen gestartet wurde AWS Outposts , da die Amazon Route 53 Resolver Abfrageprotokollierungsfunktion in dieser Umgebung nicht verfügbar ist.