GuardDuty menemukan agregasi

Semua temuan bersifat dinamis, artinya, jika GuardDuty mendeteksi aktivitas baru yang terkait dengan masalah keamanan yang sama, itu akan memperbarui temuan asli dengan informasi baru, alih-alih menghasilkan temuan baru. Perilaku ini memungkinkan Anda mengidentifikasi masalah yang sedang berlangsung, tanpa perlu melihat beberapa laporan serupa, dan mengurangi kebisingan keseluruhan dari masalah keamanan yang sudah Anda ketahui.

Misalnya, untuk UnauthorizedAccess:EC2/SSHBruteForce menemukan, beberapa upaya akses terhadap instans Anda akan digabungkan ke ID temuan yang sama, meningkatkan jumlah Hitungan dalam detail temuan. Ini karena temuan itu mewakili masalah keamanan tunggal dengan instance yang menunjukkan bahwa SSH port pada instance tidak diamankan dengan benar terhadap jenis aktivitas ini. Namun, jika GuardDuty mendeteksi aktivitas SSH akses yang menargetkan instance baru di lingkungan Anda, itu akan membuat temuan baru dengan ID temuan unik untuk mengingatkan Anda tentang fakta bahwa ada masalah keamanan yang terkait dengan sumber daya baru.

Ketika sebuah temuan dikumpulkan, temuan tersebut diperbarui dengan informasi dari kejadian terbaru dari aktivitas tersebut. Ini berarti bahwa dalam contoh di atas, jika instans Anda adalah target upaya brute force dari aktor baru, detail temuan akan diperbarui untuk mencerminkan IP jarak jauh dari sumber terbaru dan informasi lama akan diganti. Informasi lengkap tentang upaya aktivitas individu akan tetap tersedia di Log VPC Aliran CloudTrail atau Anda.

Kriteria yang mengingatkan GuardDuty untuk menghasilkan temuan baru alih-alih menggabungkan yang sudah ada tergantung pada jenis temuan. Kriteria agregasi untuk setiap tipe temuan ditentukan oleh teknisi keamanan kami untuk memberikan gambaran terbaik tentang masalah keamanan yang berbeda dalam akun Anda.