Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
GuardDuty recherche d'une agrégation
Tous les résultats sont dynamiques, ce qui signifie que, s'ils GuardDuty détectent une nouvelle activité liée au même problème de sécurité, ils mettront à jour le résultat initial avec les nouvelles informations, au lieu de générer un nouveau résultat. Ce comportement vous permet d'identifier les problèmes en cours sans avoir à consulter plusieurs rapports similaires. Il réduit également le bruit global lié aux problèmes de sécurité que vous connaissez déjà.
Par exemple, pour un résultat UnauthorizedAccess:EC2/SSHBruteForce, plusieurs tentatives d'accès à votre instance sont regroupées dans le même ID de résultat, ce qui augmente la valeur de Nombre dans les détails du résultat. En effet, cette découverte représente un problème de sécurité unique, l'instance indiquant que le SSH port de l'instance n'est pas correctement sécurisé contre ce type d'activité. Toutefois, si une activité d'SSHaccès ciblant une nouvelle instance de votre environnement est GuardDuty détectée, une nouvelle découverte sera créée avec un identifiant de recherche unique pour vous avertir de l'existence d'un problème de sécurité associé à la nouvelle ressource.
Lorsqu'un résultat est regroupé, il est mis à jour avec les informations de la dernière occurrence de cette activité. Dans l'exemple ci-dessus, cela signifie que si votre instance est la cible d'une tentative d'attaque en force de la part d'un nouvel acteur, les détails du résultat seront mis à jour pour refléter l'adresse IP distante de la source la plus récente et les informations plus anciennes seront remplacées. Les informations complètes sur les tentatives d'activité individuelles seront toujours disponibles dans vos journaux CloudTrail ou dans ceux de VPC flux.
Les critères qui incitent GuardDuty à générer un nouveau résultat au lieu d'agréger un résultat existant dépendent du type de recherche. Les critères de regroupement pour chaque type de résultat sont déterminés par nos ingénieurs en sécurité afin de vous donner la meilleure vue d'ensemble des problèmes de sécurité distincts au sein de votre compte.
