Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
GuardDuty recherche d'une agrégation
GuardDuty met à jour les résultats générés de manière dynamique. En GuardDuty cas de détection d'une nouvelle activité liée au même problème de sécurité, au lieu de créer un nouveau résultat, il GuardDuty mettra à jour le résultat initial avec les derniers détails. Ce comportement vous permet d'identifier les problèmes récurrents, sans avoir à consulter plusieurs rapports similaires, et réduit le volume global des découvertes relatives aux problèmes de sécurité connus.
Par exemple, pour UnauthorizedAccess:EC2/SSHBruteForce En cas de découverte, les multiples tentatives d'accès à votre instance seront agrégées sous le même identifiant de recherche, ce qui augmentera le nombre de tentatives d'accès dans les détails de la recherche. En effet, cette découverte représente un problème de sécurité unique, l'instance indiquant que le SSH port de l'instance n'est pas correctement sécurisé contre ce type d'activité. Toutefois, si une activité d'SSHaccès ciblant une nouvelle instance de votre environnement est GuardDuty détectée, une nouvelle découverte sera créée avec un identifiant de recherche unique pour vous avertir de l'existence d'un problème de sécurité associé à la nouvelle ressource.
Lorsqu'un résultat est agrégé, il est mis à jour avec les informations relatives à la dernière occurrence de cette activité. Dans l'exemple ci-dessus, cela signifie que si votre instance est la cible d'une tentative d'attaque en force de la part d'un nouvel acteur, les détails du résultat seront mis à jour pour refléter l'adresse IP distante de la source la plus récente et les informations plus anciennes seront remplacées. Des informations complètes sur les tentatives d'activité individuelles seront toujours disponibles dans vos CloudTrail journaux ou journaux de VPC flux.
Les critères qui incitent GuardDuty à générer un nouveau résultat au lieu d'agréger un résultat existant dépendent du type de recherche. Les critères d'agrégation pour chaque type de recherche sont déterminés par nos ingénieurs en sécurité afin de fournir un aperçu des différents problèmes de sécurité liés à votre compte.
Lorsque vous GuardDuty générez un type de recherche de séquence d'attaque dans votre compte, le résultat ne sera agrégé que lorsque vous aurez GuardDuty identifié les signaux similaires dans la même séquence dans votre compte. Dans le cas contraire, une autre séquence d'attaque GuardDuty sera générée.
