GuardDuty-Erkenntnisformat - Amazon GuardDuty
Bedrohungszwecke

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

GuardDuty-Erkenntnisformat

Wenn GuardDuty eine verdächtige oder unerwartete Aktivität in Ihrer AWS-Umgebung erkennt, erstellt der Service eine Erkenntnis. Eine Erkenntnis ist eine Benachrichtigung, die Details zu einem von GuardDuty festgestellten potenziellen Sicherheitsrisiko enthält. Die Erkenntnisdetails enthalten Informationen darüber, was geschehen ist, welche AWS-Ressourcen an der verdächtigen Aktivität beteiligt waren und wann diese Aktivität stattfand, sowie weitere Informationen.

Eine der wichtigsten Informationen in den Ergebnisdetails ist der Ergebnistyp. Der Zweck des Ergebnistyps ist eine kurze und dennoch aussagekräftige Beschreibung des potenziellen Sicherheitsrisikos. So informiert Sie beispielsweise der GuardDuty-Ergebnistyp Recon:EC2/PortProbeUnprotectedPort darüber, dass eine EC2-Instance in Ihrer AWS-Umgebung einen ungeschützten Port aufweist, der von einem potenziellen Angreifer untersucht wird.

GuardDuty verwendet das folgende Format für die verschiedenen Erkenntnistypen, die generiert werden:

ThreatPurpose:ResourceTypeAffected/ThreatFamilyName.DetectionMechanism!Artifact

Jeder Teil dieses Formats steht für einen Aspekt eines Erkenntnistyps. Für diese Aspekte gibt es die folgenden Erklärungen:

  • ThreatPurpose – Eine Beschreibung des Hauptzwecks einer Bedrohung oder eines potentiellen Angriffs. Im folgenden Abschnitt finden Sie eine vollständige Liste der Bedrohungszwecke von GuardDuty.

  • ResourceTypeAffected – Dieser Wert gibt an, welche AWS-Ressource in diesem Ergebnis als potenzielles Ziel eines Angriffs ermittelt wurde. Derzeit kann GuardDuty Erkenntnisse für EC2-, S3-, IAM- und EKS-Ressourcen generieren.

  • ThreatFamilyName – Eine Beschreibung der allgemeinen Bedrohung oder potenziell böswilliger Aktivitäten, die GuardDuty erkennt. Der Wert NetworkPortUnusual gibt beispielsweise an, dass eine EC2-Instance, die in der GuardDuty-Erkenntnis erkannt wurde, zuvor noch nicht über einen bestimmten Remote-Port kommuniziert hat, der ebenfalls in der Erkenntnis erkannt wurde.

  • DetectionMechanism – beschreibt die Methode, mit der GuardDuty die Erkenntnis erkannt hat. Dies kann verwendet werden, um auf eine Variation eines gängigen Erkenntnistyps oder auf eine Erkenntnis hinzuweisen, für deren Erkennung GuardDuty einen bestimmten Mechanismus verwendet hat. Beispielsweise weist Backdoor:EC2/DenialOfService.Tcp darauf hin, dass eine Serviceverweigerung (DoS) über TCP erkannt wurde. Die UDP-Variante ist Backdoor:EC2/DenialOfService.Udp.

    Der Wert .Custom gibt an, dass GuardDuty die Erkenntnis anhand Ihrer benutzerdefinierten Bedrohungslisten erkannt hat, wohingegen .Reputation angibt, dass GuardDuty die Erkenntnis anhand eines Domain-Reputations-Punkte-Modells erkannt hat.

  • Artefakt – Eine Beschreibung einer bestimmten Ressource eines Tools, das beim Angriff verwendet wird. So gibt beispielsweise DNS im Ergebnistyp CryptoCurrency:EC2/BitcoinTool.B!DNS an, dass eine EC2-Instance mit einer Domain kommuniziert, die mit Bitcoin in Verbindung steht.

Bedrohungszwecke

In GuardDuty beschreibt ein Bedrohungszweck den Hauptzweck einer Bedrohung, einen Angriffstyp oder ein Stadium eines potenziellen Angriffs. Beispielsweise deuten einige Bedrohungszwecke, wie Backdoor, auf einen Typ von Angriff hin. Einige Bedrohungszwecke, wie etwa Impact, stimmen jedoch mit den Taktiken von MITRE ATT&CK überein. Die MITRE-ATT&CK-Taktiken deuten auf verschiedene Phasen im Angriffszyklus eines Gegners hin. In der aktuellen Version von GuardDuty kann ThreatPurpose die folgenden Werte annehmen:

Backdoor

Dieser Wert gibt an, dass der Angriff eine AWS-Ressource kompromittiert hat und seinen eigenen Command-and-Control-Server (C&C-Server) kontaktieren kann, um weitere Anweisungen für schädigende Aktivitäten zu erhalten.

Verhalten

Dieser Wert gibt an, dass GuardDuty Aktivitäten oder Aktivitätsmuster erkennt, die sich vom normalen Verhalten einer bestimmten AWS-Ressource unterscheiden.

CredentialAccess

Dieser Wert gibt an, dass GuardDuty Aktivitätsmuster erkannt hat, anhand derer ein Angreifer Anmeldeinformationen wie Konto-IDs oder Passwörter aus Ihrer Umgebung stehlen kann. Dieser Bedrohungszweck basiert auf den MITRE-ATT&CK-Taktiken

Kryptowährung

Dieser Wert gibt an, dass GuardDuty erkannt hat, dass eine AWS-Ressource in Ihrer Umgebung Software hostet, die mit Kryptowährungen in Verbindung steht (z. B. Bitcoin).

DefenseEvasion

Dieser Wert zeigt an, dass GuardDuty Aktivitäten oder Aktivitätsmuster entdeckt hat, die ein Angreifer nutzen könnte, um sich beim Eindringen in Ihre Umgebung der Entdeckung zu entziehen. Dieser Bedrohungszweck basiert auf den MITRE-ATT&CK-Taktiken

Erkennung

Dieser Wert gibt an, dass GuardDuty Aktivitäten oder Aktivitätsmuster erkannt hat, anhand derer ein Angreifer sein Wissen über Ihre Systeme und internen Netzwerke erweitern kann. Dieser Bedrohungszweck basiert auf der MITRE-ATT&CK-Taktiken.

Ausführung

Dieser Wert gibt an, dass GuardDuty erkannt hat, dass ein Angreifer möglicherweise versucht, bösartigen Code auszuführen, um das Netzwerk zu durchsuchen oder Daten zu stehlen. Dieser Bedrohungszweck basiert auf der MITRE-ATT&CK-Taktiken.

Exfiltration

Dieser Wert gibt an, dass GuardDuty Aktivitäten oder Aktivitätsmuster erkannt hat, die ein Angreifer verwenden könnte, wenn er versucht, Daten aus Ihrem Netzwerk zu stehlen. Dieser Bedrohungszweck basiert auf der MITRE-ATT&CK-Taktiken.

Auswirkung

Dieser Wert gibt an, dass GuardDuty Aktivitäten oder Aktivitätsmuster erkannt hat, die darauf hindeuten, dass ein Angreifer versucht, Ihre Systeme und Daten zu manipulieren, zu unterbrechen oder zu zerstören. Dieser Bedrohungszweck basiert auf den MITRE-ATT&CK-Taktiken

InitialAccess

Dieser Bedrohungszweck basiert auf den MITRE-ATT&CK-Taktiken

Penetrationstest

Manchmal führen die Eigentümer von AWS-Ressourcen oder ihre bevollmächtigten Vertreter absichtlich Tests mit AWS-Anwendungen durch, um Schwachstellen zu finden, z. B. offene Sicherheitsgruppen oder Zugriffsschlüssel, die zu viele Berechtigungen enthalten. Bei diesen Penetrationstests wird versucht, gefährdete Ressourcen zu erkennen und zu sperren, bevor sie von Angreifern entdeckt werden. Einige der von autorisierten Penetrationstestern verwendeten Tools sind jedoch kostenlos verfügbar und können daher auch von nicht autorisierten Benutzern oder Angreifern verwendet werden, um Analysetests durchzuführen. Obwohl GuardDuty den wahren Zweck einer solchen Aktivität nicht erkennen kann, zeigt der Pentest-Wert an, dass GuardDuty eine solche Aktivität erkennt, dass sie der Aktivität ähnelt, die von bekannten Penetrationstest-Tools erzeugt wird, und dass sie auf ein böswilliges Sondieren Ihres Netzwerks hindeuten könnte.

Persistenz

Dieser Wert gibt an, dass GuardDuty Aktivitäten oder Aktivitätsmuster erkannt hat, anhand derer ein Angreifer versuchen könnte, den Zugriff auf Ihre Systeme aufrechtzuerhalten, auch wenn der ursprüngliche Zugriffsweg unterbrochen ist. Dies könnte beispielsweise das Erstellen eines neuen IAM-Benutzers beinhalten, nachdem er über die kompromittierten Anmeldeinformationen eines vorhandenen Benutzers Zugriff erhalten hat. Wenn die Anmeldeinformationen des vorhandenen Benutzers gelöscht werden, behält der Angreifer den Zugriff auf den neuen Benutzer, der beim ursprünglichen Ereignis nicht erkannt wurde. Dieser Bedrohungszweck basiert auf der MITRE-ATT&CK-Taktiken.

Richtlinie

Dieser Wert gibt an, dass Ihr AWS-Konto ein Verhalten zeigt, das den empfohlenen bewährten Sicherheitsmethoden widerspricht.

PrivilegeEscalation

Dieser Wert informiert Sie darüber, dass der betroffene Prinzipal in Ihrer AWS-Umgebung ein Verhalten an den Tag legt, das ein Angreifer nutzen könnte, um sich Zugriff auf Ihr Netzwerk auf höherer Ebene zu verschaffen. Dieser Bedrohungszweck basiert auf der MITRE-ATT&CK-Taktiken.

Recon

Dieser Wert gibt an, dass GuardDuty Aktivitäten oder Aktivitätsmuster erkannt hat, anhand derer ein Angreifer Ihr Netzwerk auskundschaften kann, um festzustellen, wie er seinen Zugriff erweitern oder Ihre Ressourcen nutzen kann. Diese Aktivität kann beispielsweise das Aufspüren von Schwachstellen in Ihrer AWS-Umgebung umfassen, indem Ports untersucht, Benutzer und Datenbanktabellen aufgelistet werden usw.

Stealth

Dieser Wert gibt an, dass ein Angreifer aktiv versucht, seine Aktionen zu verbergen. Beispielsweise könnten sie einen anonymisierenden Proxyserver verwenden, was es extrem schwierig macht, die wahre Art der Aktivität einzuschätzen.

Trojan

Dieser Wert gibt an, dass der Angriff über Trojaner-Programme erfolgt, die im Hintergrund schädliche Aktivitäten durchführen. Es kann vorkommen, dass diese Software das Erscheinungsbild eines seriösen Programms annimmt. Es kann vorkommen, dass Benutzer diese Software versehentlich ausführen. Die Software kann auch automatisch durch Ausnutzung einer Schwachstelle ausgeführt werden.

UnauthorizedAccess

Dieser Wert gibt an, dass GuardDuty verdächtige Aktivitäten oder Aktivitätsmuster einer unbefugten Person erkennt.