Grundlegende Datenquellen - Amazon GuardDuty
AWS CloudTrail EreignisprotokolleAWS CloudTrail Management-EreignisseVPC Flow LogsDNS-Protokolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegende Datenquellen

GuardDuty verwendet die grundlegenden Datenquellen, um die Kommunikation mit bekannten bösartigen Domänen und IP-Adressen zu erkennen und potenziell anomales Verhalten und nicht autorisierte Aktivitäten zu identifizieren. Bei der Übertragung von diesen Quellen zu GuardDuty werden alle Protokolldaten verschlüsselt. GuardDutyextrahiert verschiedene Felder aus diesen Protokollquellen für die Profilerstellung und die Erkennung von Anomalien und verwirft diese Protokolle anschließend.

Wenn Sie die Aktivierung GuardDuty zum ersten Mal in einer Region durchführen, gibt es eine kostenlose 30-Tage-Testversion, die die Bedrohungserkennung für alle grundlegenden Datenquellen umfasst. Während dieser kostenlosen Testversion und danach können Sie die geschätzte monatliche Nutzung auf der Seite mit der GuardDuty Konsolennutzung, aufgeschlüsselt nach Datenquellen, überwachen. Als delegiertes GuardDuty Administratorkonto können Sie sich die geschätzten monatlichen Nutzungskosten anzeigen lassen, aufgeschlüsselt nach den Mitgliedskonten in Ihrer Organisation, die die Aktivierung aktiviert GuardDuty haben.

Nachdem Sie Ihr Konto aktiviert GuardDuty haben AWS-Konto, beginnt es automatisch mit der Überwachung der in den folgenden Abschnitten erläuterten Protokollquellen. Sie müssen nichts anderes aktivieren, um mit der Analyse und Verarbeitung dieser Datenquellen zu beginnen, um entsprechende Sicherheitsergebnisse zu generieren. GuardDuty

AWS CloudTrail Ereignisprotokolle

AWS CloudTrail bietet Ihnen einen Verlauf der AWS API-Aufrufe für Ihr Konto, einschließlich API-Aufrufe, die mithilfe der AWS SDKs AWS Management Console, der Befehlszeilentools und bestimmter AWS Dienste getätigt wurden. CloudTrail hilft Ihnen auch dabei, zu ermitteln, welche Benutzer und Konten AWS APIs für Dienste aufgerufen haben CloudTrail, die Quell-IP-Adresse, von der aus die Aufrufe aufgerufen wurden, und den Zeitpunkt, zu dem die Aufrufe aufgerufen wurden. Weitere Informationen finden Sie unter Was ist AWS CloudTrail im AWS CloudTrail -Benutzerhandbuch.

GuardDuty überwacht auch Verwaltungsereignisse CloudTrail . Wenn Sie diese GuardDuty Option aktivieren, werden CloudTrail Verwaltungsereignisse direkt CloudTrail über einen unabhängigen und duplizierten Ereignisstrom verarbeitet und Ihre CloudTrail Ereignisprotokolle analysiert. Beim GuardDuty Zugriff auf die in aufgezeichneten Ereignisse fallen keine zusätzlichen Gebühren an. CloudTrail

GuardDuty verwaltet Ihre CloudTrail Ereignisse nicht und hat auch keine Auswirkungen auf Ihre bestehenden CloudTrail Konfigurationen. Ebenso haben Ihre CloudTrail Konfigurationen keinen Einfluss darauf, wie GuardDuty die Ereignisprotokolle genutzt und verarbeitet werden. Verwenden Sie die CloudTrail Servicekonsole oder API, um den Zugriff auf Ihre CloudTrail Ereignisse und deren Aufbewahrung zu verwalten. Weitere Informationen finden Sie im AWS CloudTrail Benutzerhandbuch unter Ereignisse mit CloudTrail Ereignisverlauf anzeigen.

Wie GuardDuty geht man mit AWS CloudTrail globalen Ereignissen um

Bei den meisten AWS Diensten werden CloudTrail Ereignisse dort aufgezeichnet, AWS-Region wo sie erstellt wurden. Für globale Dienste wie AWS Identity and Access Management (IAM), AWS Security Token Service (AWS STS), Amazon Simple Storage Service (Amazon S3) CloudFront, Amazon und Amazon Route 53 (Route 53) werden Ereignisse nur in der Region generiert, in der sie auftreten, aber sie haben globale Bedeutung.

Wenn GuardDuty CloudTrail globale Serviceereignisse mit Sicherheitswert wie Netzwerkkonfigurationen oder Benutzerberechtigungen verarbeitet werden, repliziert es diese Ereignisse und verarbeitet sie in jeder Region, in der Sie sie aktiviert haben. GuardDuty Dieses Verhalten hilft dabei, Benutzer- und Rollenprofile in jeder Region zu GuardDuty verwalten, was für die Erkennung ungewöhnlicher Ereignisse von entscheidender Bedeutung ist.

Wir empfehlen dringend, dass Sie alle aktivieren GuardDuty AWS-Regionen , die für Sie aktiviert sind. AWS-Konto Auf diese Weise GuardDuty können Sie Erkenntnisse über unbefugte oder ungewöhnliche Aktivitäten gewinnen, auch in den Regionen, die Sie möglicherweise nicht aktiv nutzen.

AWS CloudTrail Management-Ereignisse

Verwaltungsereignisse werden auch als Ereignisse auf der Steuerebene bezeichnet. Diese Ereignisse bieten Einblick in Verwaltungsvorgänge, die mit Ressourcen in Ihrem AWS Konto ausgeführt werden.

Im Folgenden finden Sie Beispiele für CloudTrail Verwaltungsereignisse, die GuardDuty überwacht werden:

  • Konfigurieren von Sicherheit (z. B. AttachRolePolicy-API-Vorgänge von IAM)

  • Konfigurieren von Regeln für die Datenweiterleitung (z. B. CreateSubnet-API-Vorgänge von Amazon EC2)

  • Einrichtung der Protokollierung (AWS CloudTrail CreateTrailAPI-Operationen)

VPC Flow Logs

Die VPC Flow Logs-Funktion von Amazon VPC erfasst Informationen über den IP-Verkehr zu und von Netzwerkschnittstellen, die mit den Amazon Elastic Compute Cloud (Amazon EC2) -Instances in Ihrer Umgebung verbunden sind. AWS

Wenn Sie es aktivieren GuardDuty, beginnt es sofort mit der Analyse Ihrer VPC-Flow-Logs von Amazon EC2 EC2-Instances in Ihrem Konto. Es nutzt VPC-Flow-Protokoll-Ereignisse direkt über das VPC-Flow-Protokoll-Feature durch einen unabhängigen und doppelt angelegten Flow-Protokollstrom. Dieser Prozess wirkt sich nicht auf ggf. vorhandene Flow-Protokollkonfigurationen aus.

GuardDuty Lambda-Schutz

Lambda Protection ist eine optionale Erweiterung für Amazon GuardDuty. Derzeit umfasst Lambda Network Activity Monitoring Amazon-VPC-Flow-Protokolle von allen Lambda-Funktionen für Ihr Konto, auch solche, die kein VPC-Netzwerk verwenden. Um Ihre Lambda-Funktion vor potenziellen Sicherheitsbedrohungen zu schützen, müssen Sie Lambda Protection in Ihrem GuardDuty Konto konfigurieren. Weitere Informationen finden Sie unter GuardDuty Lambda-Schutz.

Laufzeitüberwachung in GuardDuty

Wenn Sie den Security Agent (entweder manuell oder über GuardDuty) in EKS Runtime Monitoring oder Runtime Monitoring for EC2-Instances verwalten und derzeit auf einer Amazon EC2 EC2-Instance bereitgestellt GuardDuty ist und diese Gesammelte Laufzeit-Ereignistypen von dieser Instance empfängt, GuardDuty wird Ihnen die Analyse der VPC-Flow-Logs von dieser Amazon EC2 EC2-Instance nicht in Rechnung gestellt. AWS-Konto Dadurch werden doppelte Nutzungskosten für das Konto GuardDuty vermieden.

GuardDuty verwaltet Ihre Flow-Logs nicht und macht sie auch nicht in Ihrem Konto zugänglich. Damit Sie den Zugriff und die Aufbewahrung Ihrer Flow-Protokolle verwalten können, müssen Sie das Feature VPC-Flow-Protokolle konfigurieren.

DNS-Protokolle

Wenn Sie AWS DNS-Resolver für Ihre Amazon EC2 EC2-Instances verwenden (Standardeinstellung), GuardDuty können Sie über die internen AWS DNS-Resolver auf Ihre Anfrage- und Antwort-DNS-Protokolle zugreifen und diese verarbeiten. Wenn Sie einen anderen DNS-Resolver wie OpenDNS oder GoogleDNS verwenden oder wenn Sie Ihre eigenen DNS-Resolver einrichten, GuardDuty können Sie nicht auf Daten aus dieser Datenquelle zugreifen und diese verarbeiten.

Wenn Sie diese Option aktivieren GuardDuty, werden Ihre DNS-Protokolle sofort anhand eines unabhängigen Datenstroms analysiert. Dieser Datenstrom ist von den Daten getrennt, die über das Feature Route-53-Resolver-Abfrageprotokollierung bereitgestellt werden. Die Konfiguration dieser Funktion hat keinen Einfluss auf die GuardDuty Analyse.

Anmerkung

GuardDuty unterstützt nicht die Überwachung von DNS-Protokollen für Amazon EC2 EC2-Instances, auf denen gestartet wurde, AWS Outposts da die Amazon Route 53 Resolver Abfrageprotokollierungsfunktion in dieser Umgebung nicht verfügbar ist.