Konzepte und Terminologie - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konzepte und Terminologie

Wenn Sie mit Amazon beginnen GuardDuty, können Sie davon profitieren, mehr über die wichtigsten Konzepte zu erfahren.

Account

Ein Standardkonto von Amazon Web Services (AWS), das Ihre AWS Ressourcen enthält. Sie können sich AWS mit Ihrem Konto anmelden und es aktivieren GuardDuty.

Sie können auch andere Konten einladen, Ihr AWS Konto zu aktivieren GuardDuty und mit diesem verknüpft zu werden GuardDuty. Wenn Ihre Einladungen akzeptiert werden, wird Ihr Konto als GuardDuty Administratorkonto festgelegt und die hinzugefügten Konten werden zu Ihren Mitgliedskonten. Sie können dann die GuardDuty Ergebnisse dieser Konten in ihrem Namen einsehen und verwalten.

Benutzer des Administratorkontos können die GuardDuty Ergebnisse für ihr eigenes Konto und alle ihre Mitgliedskonten konfigurieren GuardDuty , einsehen und verwalten. Sie können bis zu 10.000 Mitgliedskonten anlegen GuardDuty.

Benutzer von Mitgliedskonten können die GuardDuty Ergebnisse in ihrem Konto konfigurieren GuardDuty sowie einsehen und verwalten (entweder über die GuardDuty Verwaltungskonsole oder die GuardDuty API). Benutzer von Mitgliedskonten können keine Ergebnisse in den Konten anderer Mitglieder anzeigen oder verwalten.

Ein Konto AWS-Konto kann nicht gleichzeitig ein GuardDuty Administratorkonto und ein Mitgliedskonto sein. An AWS-Konto kann nur eine Mitgliedschaftseinladung annehmen. Das Annehmen einer Mitgliedschaftseinladung ist optional.

Weitere Informationen finden Sie unter Verwaltung mehrerer Konten bei Amazon GuardDuty.

Detektor

Amazon GuardDuty ist ein regionaler Service. Wenn Sie eine bestimmte Option aktivieren GuardDuty AWS-Region, AWS-Konto wird Ihnen eine Melder-ID zugewiesen. Diese 32-stellige alphanumerische ID ist einzigartig für Ihr Konto in dieser Region. Wenn Sie beispielsweise GuardDuty für dasselbe Konto in einer anderen Region aktivieren, wird Ihr Konto mit einer anderen Melder-ID verknüpft. Das Format einer Detektor-ID ist 12abc34d567e8fa901bc2d34e56789f0.

Alle GuardDuty Ergebnisse, Konten und Aktionen zur Verwaltung von Ergebnissen und zum GuardDuty Service verwenden die Detektor-ID, um einen API-Vorgang auszuführen.

Um die detectorId für Ihr Konto und Ihre aktuelle Region geltenden Daten zu finden, besuchen Sie die Einstellungsseite in der https://console.aws.amazon.com/guardduty/ -Konsole oder führen Sie die ListDetectorsAPI aus

Anmerkung

In Umgebungen mit mehreren Konten werden alle Erkenntnisse für Mitgliedskonten zum Detektor des Administratorkontos weitergeleitet.

Einige GuardDuty Funktionen werden über den Detektor konfiguriert, z. B. die Konfiguration der Häufigkeit von Benachrichtigungen über CloudWatch Ereignisse und die Aktivierung oder Deaktivierung optionaler Schutzpläne für GuardDuty die Verarbeitung.

Verwenden Sie den Malware-Schutz für S3 innerhalb GuardDuty

Wenn Sie Malware Protection for S3 in einem Konto aktivieren, auf dem diese Option aktiviert GuardDuty ist, werden die Aktionen von Malware Protection for S3 wie das Aktivieren, Bearbeiten und Deaktivieren einer geschützten Ressource nicht mit der Detektor-ID verknüpft.

Wenn Sie die Bedrohungserkennungsoption Malware Protection for S3 nicht aktivieren GuardDuty und auswählen, wird keine Detektor-ID für Ihr Konto erstellt.

Grundlegende Datenquellen

Der Ursprung oder Speicherort eines Datensatzes. Um eine nicht autorisierte oder unerwartete Aktivität in Ihrer AWS Umgebung zu erkennen. GuardDuty analysiert und verarbeitet Daten aus AWS CloudTrail Ereignisprotokollen, AWS CloudTrail Verwaltungsereignissen, AWS CloudTrail Datenereignissen für S3, VPC-Flussprotokollen und DNS-Protokollen, sieheGrundlegende Datenquellen.

Merkmal

Ein für Ihren GuardDuty Schutzplan konfiguriertes Feature-Objekt hilft dabei, unbefugte oder unerwartete Aktivitäten in Ihrer AWS Umgebung zu erkennen. Jeder GuardDuty Schutzplan konfiguriert das entsprechende Featureobjekt für die Analyse und Verarbeitung von Daten. Zu den Featureobjekten gehören EKS-Auditprotokolle, Überwachung der RDS-Anmeldeaktivität, Lambda-Netzwerkaktivitätsprotokolle und EBS-Volumes. Weitere Informationen finden Sie unter Funktionen Aktivierung in GuardDuty.

Erkenntnis

Ein von GuardDuty erkanntes potenzielles Sicherheitsrisiko. Weitere Informationen finden Sie unter Die GuardDuty Ergebnisse von Amazon verstehen.

Die Ergebnisse werden in der GuardDuty Konsole angezeigt und enthalten eine detaillierte Beschreibung des Sicherheitsproblems. Sie können Ihre generierten Ergebnisse auch abrufen, indem Sie die Operationen GetFindingsund die ListFindingsAPI aufrufen.

Sie können Ihre GuardDuty Ergebnisse auch über Amazon CloudWatch Events einsehen. GuardDuty sendet Ergebnisse CloudWatch über das HTTPS-Protokoll an Amazon. Weitere Informationen finden Sie unter Erstellen von benutzerdefinierten Antworten auf GuardDuty Erkenntnisse mit Amazon CloudWatch Events.

ICH BIN PassRole

Dies ist die IAM-Rolle mit den erforderlichen Berechtigungen zum Scannen des S3-Objekts. Wenn das Taggen gescannter Objekte aktiviert ist, helfen die PassRole IAM-Berechtigungen dabei, dem gescannten Objekt Tags GuardDuty hinzuzufügen.

Ressource des Malware-Schutzplans

Nachdem Sie Malware Protection for S3 für einen Bucket aktiviert haben, GuardDuty wird eine Planressource für Malware Protection for EC2 erstellt. Diese Ressource ist mit der Malware Protection for EC2-Plan-ID verknüpft, einer eindeutigen Kennung für Ihren geschützten Bucket. Verwenden Sie die Ressource des Malware Protection-Plans, um API-Operationen auf einer geschützten Ressource durchzuführen.

Geschützter Bucket (geschützte Ressource)

Ein Amazon S3 S3-Bucket gilt als geschützt, wenn Sie Malware Protection for S3 für diesen Bucket aktivieren und sein Schutzstatus auf Aktiv geändert wird.

GuardDuty unterstützt nur einen S3-Bucket als geschützte Ressource.

Schutzstatus

Der Status, der mit der Ressource Ihres Malware-Schutzplans verknüpft ist. Nachdem Sie Malware Protection for S3 für Ihren Bucket aktiviert haben, gibt dieser Status an, ob Ihr Bucket korrekt eingerichtet ist oder nicht.

S3-Objektpräfix

In einem Amazon Simple Storage Service (Amazon S3) -Bucket können Sie Präfixe verwenden, um Ihren Speicher zu organisieren. Ein Präfix ist eine logische Gruppierung der Objekte in einem S3-Bucket. Weitere Informationen finden Sie unter Objekte organisieren und auflisten im Amazon S3 S3-Benutzerhandbuch.

Scan-Optionen

Wenn GuardDuty Malware Protection for EC2 aktiviert ist, können Sie angeben, welche Amazon EC2-Instances und Amazon Elastic Block Store (EBS) -Volumes gescannt oder übersprungen werden sollen. Mit diesem Feature können Sie die vorhandenen Tags, die Ihren EC2-Instances und Ihrem EBS-Volume zugeordnet sind, entweder zu einer Liste mit Einschluss-Tags oder einer Liste mit Ausschluss-Tags hinzufügen. Die Ressourcen, die mit den Tags verknüpft sind, die Sie zu einer Liste mit Einschlusstags hinzufügen, werden auf Malware gescannt, und die Ressourcen, die zu einer Ausschlusstag-Liste hinzugefügt wurden, werden nicht gescannt. Weitere Informationen finden Sie unter Scan-Optionen mit benutzerdefinierten Tags.

Aufbewahrung von Snapshots

Wenn GuardDuty Malware Protection for EC2 aktiviert ist, besteht die Möglichkeit, die Snapshots Ihrer EBS-Volumes in Ihrem Konto aufzubewahren. AWS GuardDuty generiert die Replikat-EBS-Volumes auf der Grundlage der Snapshots Ihrer EBS-Volumes. Sie können die Snapshots Ihrer EBS-Volumes nur dann beibehalten, wenn der Malware Protection for EC2-Scan Malware in den EBS-Replikat-Volumes erkennt. Wenn auf den EBS-Replikat-Volumes keine Malware erkannt wird, werden die Snapshots Ihrer EBS-Volumes unabhängig von der Aufbewahrungseinstellung für Snapshots GuardDuty automatisch gelöscht. Weitere Informationen finden Sie unter Snapshot-Beibehaltung.

Regel zur Unterdrückung

Unterdrückungsregeln ermöglichen die Einrichtung sehr spezifischer Kombinationen von Attributen, um Ergebnisse zu unterdrücken. Sie können beispielsweise über den GuardDuty Filter eine Regel definieren, um nur die Instances in einer bestimmten VPC, auf der ein bestimmtes AMI oder mit einem bestimmten EC2-Tag ausgeführt wird, automatisch zu archivierenRecon:EC2/Portscan. Diese Regel würde dazu führen, dass Port-Scan-Ergebnisse von den Instances automatisch archiviert werden, die die Kriterien erfüllen. Es ermöglicht jedoch weiterhin Warnmeldungen, wenn Instances GuardDuty entdeckt werden, die andere bösartige Aktivitäten wie das Mining von Kryptowährungen ausführen.

Die im GuardDuty Administratorkonto definierten Unterdrückungsregeln gelten für die Mitgliedskonten GuardDuty . GuardDuty Mitgliedskonten können die Unterdrückungsregeln nicht ändern.

Bei Unterdrückungsregeln werden GuardDuty trotzdem alle Ergebnisse generiert. Die Unterdrückungsregeln sorgen für eine Unterdrückung von Ergebnissen, während gleichzeitig ein vollständiger und unveränderlicher Verlauf aller Aktivitäten aufgezeichnet wird.

Gewöhnlich werden Unterdrückungsregeln verwendet, um Ergebnisse zu verbergen, die Sie als falsch positive Ergebnisse für Ihre Umgebung ermittelt haben, und um das Rauschen durch Ergebnisse mit niedrigem Wert zu reduzieren, sodass Sie sich auf größere Bedrohungen konzentrieren können. Weitere Informationen finden Sie unter Unterdrückungsregeln.

Liste vertrauenswürdiger IPs

Eine Liste vertrauenswürdiger IP-Adressen für die hochsichere Kommunikation mit Ihrer AWS Umgebung. GuardDuty generiert keine Ergebnisse auf der Grundlage vertrauenswürdiger IP-Listen. Weitere Informationen finden Sie unter Arbeiten mit vertrauenswürdigen IP- und Bedrohungslisten.

Liste der bedrohlichen IP-Adressen

Eine Liste bekannter böswilliger IP-Adressen. Generiert nicht nur Ergebnisse aufgrund einer potenziell verdächtigen Aktivität, GuardDuty sondern generiert auch Ergebnisse auf der Grundlage dieser Bedrohungslisten. Weitere Informationen finden Sie unter Arbeiten mit vertrauenswürdigen IP- und Bedrohungslisten.