GuardDuty grundlegende Datenquellen - Amazon GuardDuty
AWS CloudTrail Management-EreignisseVPC-Flow-ProtokolleRoute53 Resolver-Abfrageprotokolle DNS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

GuardDuty grundlegende Datenquellen

GuardDuty verwendet die grundlegenden Datenquellen, um die Kommunikation mit bekannten bösartigen Domänen und IP-Adressen zu erkennen und potenziell anomales Verhalten und unbefugte Aktivitäten zu identifizieren. Bei der Übertragung von diesen Quellen zu GuardDuty werden alle Protokolldaten verschlüsselt. GuardDuty extrahiert verschiedene Felder aus diesen Protokollquellen für die Profilerstellung und die Erkennung von Anomalien und verwirft diese Protokolle anschließend.

GuardDuty Bei der ersten Aktivierung in einer Region gibt es eine kostenlose 30-Tage-Testversion, die die Bedrohungserkennung für alle grundlegenden Datenquellen umfasst. Während dieser kostenlosen Testversion können Sie die geschätzte monatliche Nutzung, aufgeschlüsselt nach jeder grundlegenden Datenquelle, überwachen. Als delegiertes GuardDuty Administratorkonto können Sie sich die geschätzten monatlichen Nutzungskosten anzeigen lassen, aufgeschlüsselt nach jedem Mitgliedskonto, das zu Ihrer Organisation gehört und aktiviert wurde. GuardDuty Nach Ablauf der 30-Tage-Testversion können Sie Informationen AWS Billing zu den Nutzungskosten abrufen.

Für den GuardDuty Zugriff auf Ereignisse und Protokolle aus diesen grundlegenden Datenquellen fallen keine zusätzlichen Kosten an.

Nachdem Sie Ihre aktiviert GuardDuty haben AWS-Konto, beginnt sie automatisch mit der Überwachung der in den folgenden Abschnitten erläuterten Protokollquellen. Sie müssen nichts anderes aktivieren, um mit der Analyse und Verarbeitung dieser Datenquellen zu beginnen, um entsprechende Sicherheitsergebnisse zu generieren. GuardDuty

AWS CloudTrail Management-Ereignisse

AWS CloudTrail bietet Ihnen eine Historie der AWS API Anrufe für Ihr Konto, einschließlich der API Anrufe, die AWS Management Console, die AWS SDKs, die Befehlszeilentools und bestimmte AWS Dienste verwendet haben. CloudTrail hilft Ihnen auch dabei, zu ermitteln, welche Benutzer und Konten AWS APIs für unterstützende Dienste aufgerufen wurden CloudTrail, von welcher Quell-IP-Adresse aus die Anrufe aufgerufen wurden, und zu welcher Uhrzeit die Anrufe aufgerufen wurden. Weitere Informationen finden Sie unter Was ist AWS CloudTrail im AWS CloudTrail -Benutzerhandbuch.

GuardDuty überwacht CloudTrail Verwaltungsereignisse, auch bekannt als Ereignisse auf der Kontrollebene. Diese Ereignisse bieten Einblick in Verwaltungsvorgänge, die an Ressourcen in Ihrem Unternehmen ausgeführt werden AWS-Konto.

Im Folgenden finden Sie Beispiele für CloudTrail Verwaltungsereignisse, die GuardDuty überwacht werden:

  • Konfiguration der Sicherheit (IAMAttachRolePolicyAPIBetrieb)

  • Konfiguration von Regeln für das Routing von Daten (Amazon EC2 CreateSubnet API Operations)

  • Einrichtung der Protokollierung (AWS CloudTrail CreateTrailAPIOperationen)

Wenn Sie diese GuardDuty Option aktivieren, werden CloudTrail Verwaltungsereignisse direkt CloudTrail über einen unabhängigen und duplizierten Ereignisstrom verarbeitet und Ihre CloudTrail Ereignisprotokolle analysiert.

GuardDuty verwaltet Ihre CloudTrail Ereignisse nicht und wirkt sich auch nicht auf Ihre vorhandenen CloudTrail Konfigurationen aus. Ebenso haben Ihre CloudTrail Konfigurationen keinen Einfluss darauf, wie GuardDuty die Ereignisprotokolle genutzt und verarbeitet werden. Verwenden Sie die CloudTrail Servicekonsole oderAPI, um den Zugriff auf Ihre CloudTrail Ereignisse und deren Aufbewahrung zu verwalten. Weitere Informationen finden Sie im AWS CloudTrail Benutzerhandbuch unter Ereignisse mit CloudTrail Ereignisverlauf anzeigen.

Wie GuardDuty geht man mit AWS CloudTrail globalen Ereignissen um

Bei den meisten AWS Diensten werden CloudTrail Ereignisse dort aufgezeichnet, AWS-Region wo sie erstellt wurden. Bei globalen Diensten wie AWS Identity and Access Management (IAM), AWS Security Token Service (AWS STS), Amazon Simple Storage Service (Amazon S3) CloudFront, Amazon und Amazon Route 53 (Route 53) werden Ereignisse nur in der Region generiert, in der sie auftreten, aber sie haben globale Bedeutung.

Wenn GuardDuty CloudTrail globale Service-Ereignisse mit Sicherheitswert wie Netzwerkkonfigurationen oder Benutzerberechtigungen verarbeitet werden, repliziert es diese Ereignisse und verarbeitet sie in jeder Region, in der Sie sie aktiviert haben. GuardDuty Dieses Verhalten hilft dabei, Benutzer- und Rollenprofile in jeder Region zu GuardDuty verwalten, was für die Erkennung ungewöhnlicher Ereignisse von entscheidender Bedeutung ist.

Wir empfehlen dringend, dass Sie alle aktivieren GuardDuty AWS-Regionen , die für Sie aktiviert sind. AWS-Konto Auf diese Weise GuardDuty können Sie Erkenntnisse über unbefugte oder ungewöhnliche Aktivitäten gewinnen, auch in den Regionen, die Sie möglicherweise nicht aktiv nutzen.

VPC-Flow-Protokolle

Die VPC Flow Logs-Funktion von Amazon VPC erfasst Informationen über den IP-Verkehr zu und von Netzwerkschnittstellen, die mit den Amazon Elastic Compute Cloud (AmazonEC2) -Instances in Ihrer AWS Umgebung verbunden sind.

Wenn Sie es aktivieren GuardDuty, beginnt es sofort mit der Analyse Ihrer VPC Flow-Logs von EC2 Amazon-Instances in Ihrem Konto. Es verarbeitet VPC Flow-Log-Ereignisse direkt aus der VPC Flow Logs-Funktion über einen unabhängigen und doppelten Stream von Flow-Logs. Dieser Prozess wirkt sich nicht auf ggf. vorhandene Flow-Protokollkonfigurationen aus.

Lambda Protection

Lambda Protection ist eine optionale Erweiterung für Amazon GuardDuty. Derzeit umfasst Lambda Network Activity Monitoring VPC Amazon-Flow-Protokolle von allen Lambda-Funktionen für Ihr Konto, auch von den Protokollen, die kein Netzwerk verwenden. VPC Um Ihre Lambda-Funktion vor potenziellen Sicherheitsbedrohungen zu schützen, müssen Sie Lambda Protection in Ihrem GuardDuty Konto konfigurieren. Weitere Informationen finden Sie unter Lambda Protection.

GuardDuty Überwachung der Laufzeit

Wenn Sie den Security Agent (entweder manuell oder über GuardDuty) in EKS Runtime Monitoring oder Runtime Monitoring für EC2 Instances verwalten und derzeit auf einer EC2 Amazon-Instance bereitgestellt GuardDuty ist und diese Gesammelte Laufzeit-Ereignistypen von dieser Instance erhält, fallen GuardDuty Ihnen keine Gebühren AWS-Konto für die Analyse der VPC Flow-Logs dieser EC2 Amazon-Instance an. Dadurch werden doppelte Nutzungskosten für das Konto GuardDuty vermieden.

GuardDuty verwaltet Ihre Flow-Logs nicht und macht sie auch nicht in Ihrem Konto zugänglich. Um den Zugriff auf und die Aufbewahrung Ihrer Flow-Logs zu verwalten, müssen Sie die VPC Flow-Logs-Funktion konfigurieren.

Route53 Resolver-Abfrageprotokolle DNS

Wenn Sie AWS DNS Resolver für Ihre EC2 Amazon-Instances verwenden (Standardeinstellung), GuardDuty können Sie über die internen Resolver auf Ihre Anfrage- und DNS Antwort-Route53-Resolver-Abfrageprotokolle zugreifen und diese verarbeiten. AWS DNS Wenn Sie einen anderen DNS Resolver wie Open DNS oder Google verwenden oder Ihre eigenen DNS Resolver einrichtenDNS, können Sie GuardDuty nicht auf Daten aus dieser Datenquelle zugreifen und diese verarbeiten.

Wenn Sie es aktivieren GuardDuty, beginnt es sofort mit der Analyse Ihrer Route53 DNS Resolver-Abfrageprotokolle aus einem unabhängigen Datenstrom. Dieser Datenstrom ist von den Daten getrennt, die über das Feature Route-53-Resolver-Abfrageprotokollierung bereitgestellt werden. Die Konfiguration dieser Funktion hat keinen Einfluss auf die Analyse. GuardDuty

Anmerkung

GuardDuty unterstützt keine DNS Überwachungsprotokolle für EC2 Amazon-Instances, auf denen gestartet wurde, AWS Outposts da die Amazon Route 53 Resolver Abfrageprotokollierungsfunktion in dieser Umgebung nicht verfügbar ist.