Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schweregrad der Ergebnisse GuardDuty

Jedem GuardDuty Ergebnis ist ein Schweregrad und ein Wert zugewiesen, der das potenzielle Risiko widerspiegelt, das das Ergebnis für Ihre Umgebung darstellen könnte. Dies wurde von unseren Sicherheitstechnikern festgelegt. Der Schweregrad kann zwischen 1,0 und 10,0 liegen, wobei höhere Werte auf ein höheres Sicherheitsrisiko hinweisen. Um Ihnen bei der Suche nach einer Reaktion auf ein potenzielles Sicherheitsproblem zu helfen, das durch ein Ergebnis hervorgehoben wird GuardDuty , wird dieser Bereich in die Schweregrade Kritisch, Hoch, Mittel und Niedrig unterteilt.

Ein Ergebnis eines bestimmten Typs kann je nach dem für das Ergebnis spezifischen Kontext einen anderen Schweregrad haben. Eine konsolidierte Liste der Standardschweregrade für alle Ergebnisarten GuardDuty finden Sie unterGuardDuty Typen von aktiven Ergebnissen.

In den folgenden Abschnitten werden die definierten Schweregrade für die GuardDuty Ergebnisse erläutert.

Kritischer Schweregrad

Wertebereich: 9,0 — 10,0

Beschreibung: Ein kritischer Schweregrad weist darauf hin, dass eine Angriffssequenz möglicherweise im Gange ist oder kürzlich stattgefunden hat. Eine oder mehrere AWS Ressourcen, wie IAM Benutzeranmeldedaten und Amazon S3 S3-Bucket, sind möglicherweise gefährdet oder wurden möglicherweise bereits kompromittiert.

Empfehlung: GuardDuty empfiehlt, dass Sie der Suche und Behebung aller Ergebnisse mit kritischem Schweregrad Priorität einräumen, da diese Probleme Teil eines Ransomware-Angriffs sein und jederzeit eskalieren können. Sehen Sie sich Details zu den beteiligten Ressourcen an und beginnen Sie mit der Behebung der Sicherheitsprobleme. Weitere Informationen finden Sie unter Behebung von Erkenntnissen.

Hoher Schweregrad

Wertebereich: 7,0 — 8,9

Beschreibung: Ein hoher Schweregrad weist darauf hin, dass die fragliche Ressource (eine EC2 Amazon-Instance oder ein Satz von IAM Benutzeranmeldedaten) gefährdet ist und aktiv für nicht autorisierte Zwecke verwendet wird.

Empfehlung: GuardDuty empfiehlt, dass Sie jedes Sicherheitsproblem mit hohem Schweregrad als Priorität behandeln und sofortige Maßnahmen ergreifen, um eine weitere unbefugte Nutzung Ihrer Ressourcen zu verhindern. Bereinigen oder beenden Sie beispielsweise Ihre EC2 Amazon-Instance oder wechseln Sie die IAM Anmeldeinformationen. Folgen Sie den Anweisungen unterBehebung von Erkenntnissen, um das Problem zu beheben.

Mittlerer Schweregrad

Wertebereich: 4,0 - 6,9

Beschreibung: Ein mittlerer Schweregrad weist auf verdächtige Aktivitäten hin, die vom normalerweise beobachteten Verhalten abweichen und je nach Anwendungsfall auf eine Beeinträchtigung der Ressourcen hinweisen können.

Empfehlung: GuardDuty empfiehlt, die potenziell betroffene Ressource so bald wie möglich zu untersuchen. Die Schritte zur Behebung variieren je nach Ressource und gefundener Familie. Bei einem etablierten Ansatz müssen Sie sicherstellen, dass die Aktivität autorisiert ist und Ihrem Anwendungsfall entspricht. Wenn Sie die Ursache nicht identifizieren oder nicht bestätigen können, dass die Aktivität autorisiert wurde, sollten Sie davon ausgehen, dass die Ressource gefährdet ist. Folgen Sie den Anweisungen unterBehebung von Erkenntnissen, um das Ergebnis zu beheben.

Bei der Überprüfung eines Fundes auf mittlerer Ebene sollten Sie Folgendes beachten:

Niedriger Schweregrad

Wertebereich: 1,0 — 3,9

Beschreibung: Ein niedriger Schweregrad weist auf einen Versuch einer verdächtigen Aktivität hin, die Ihre Umgebung nicht beeinträchtigt hat, z. B. ein Port-Scan oder ein fehlgeschlagener Eindringversuch.

Empfehlung: Es gibt keine Sofortmaßnahmen, aber es lohnt sich, diese Informationen zur Kenntnis zu nehmen, da sie darauf hindeuten können, dass jemand nach Schwachstellen in Ihrer Umgebung sucht.