Erkenntnisdetails

In der GuardDuty Amazon-Konsole können Sie die Details zu den Ergebnissen im Abschnitt Zusammenfassung der Ergebnisse einsehen. Die Erkenntnisdetails variieren je nach Erkenntnistyp.

Hauptsächlich bestimmen zwei Details, welche Arten von Informationen für jede Erkenntnis verfügbar sind. Der erste ist der Ressourcentyp, derInstance,AccessKey,S3Bucket,S3Object,Kubernetes cluster,ECS cluster, Container RDSDBInstanceRDSLimitlessDB, oder sein kannLambda. Das zweite Detail, das die Suche nach Informationen bestimmt, ist die Ressourcenrolle. Die Rolle der Ressource kann seinTarget, was bedeutet, dass die Ressource das Ziel verdächtiger Aktivitäten war. Bei Feststellungen vom Typ Instance kann die Rolle der Ressource auch Actor sein, was bedeutet, dass Ihre Ressource der Akteur war, der die verdächtige Aktivität durchgeführt hat. In diesem Thema werden einige der allgemein verfügbaren Erkenntnisdetails beschrieben. Für GuardDuty Runtime Monitoring: Typen finden und Suchtyp „Malware-Schutz für S3“ ist die Ressourcenrolle nicht gefüllt.

Überblick über Erkenntnisse

Der Abschnitt Überblick enthält die grundlegendsten Merkmale, anhand derer die Erkenntnis identifiziert werden kann, einschließlich der folgenden Informationen:

• Konto-ID — Die ID des AWS Kontos, in dem die Aktivität stattfand, die GuardDuty zur Generierung dieses Ergebnisses geführt hat.

• Anzahl — Gibt an, wie oft GuardDuty eine Aktivität, die diesem Muster entspricht, mit dieser Ergebnis-ID aggregiert wurde.

• Erstellt am – Uhrzeit und Datum des Zeitpunkts, an dem diese Erkenntnis erstmals erstellt wurde. Wenn dieser Wert von Aktualisiert am abweicht, bedeutet dies, dass die Aktivität mehrfach stattgefunden hat und ein fortlaufendes Problem darstellt.

  Anmerkung

  Zeitstempel für Ergebnisse in der GuardDuty Konsole werden in Ihrer lokalen Zeitzone angezeigt, während JSON-Exporte und CLI-Ausgaben Zeitstempel in UTC anzeigen.

• Erkenntnis-ID – Eine eindeutige Erkenntnis-ID für diesen Erkenntnistyp und Parametersatz. Neue Vorkommen von Aktivitäten, die diesem Muster entsprechen, werden für dieselbe ID aggregiert.

• Erkenntnistyp – Eine formatierte Zeichenfolge, die den Typ der Aktivität darstellt, durch den die Erkenntnis ausgelöst wurde. Weitere Informationen finden Sie unter GuardDuty Format finden.

• Region — Die AWS Region, in der das Ergebnis generiert wurde. Weitere Informationen zu unterstützten Regionen finden Sie unter Regionen und Endpunkte

• Ressourcen-ID — Die ID der AWS Ressource, für die die Aktivität stattgefunden hat, die GuardDuty zur Generierung dieses Ergebnisses geführt hat.

• Scan-ID — Gilt für Ergebnisse, bei denen GuardDuty Malware Protection for aktiviert EC2 ist. Dabei handelt es sich um eine Kennung des Malware-Scans, der auf den EBS-Volumes ausgeführt wird, die an die potenziell gefährdete EC2 Instance oder Container-Workload angehängt sind. Weitere Informationen finden Sie unter Malware-Schutz zum EC2 Auffinden von Details.

• Schweregrad — Einem Ergebnis wird entweder der Schweregrad Kritisch, Hoch, Mittel oder Niedrig zugewiesen. Weitere Informationen finden Sie unter Schweregrade der Ergebnisse.

• Aktualisiert am — Das letzte Mal, als dieses Ergebnis mit einer neuen Aktivität aktualisiert wurde, die dem Muster entspricht, das GuardDuty zur Generierung dieses Ergebnisses geführt hat.

Ressource

Die betroffene Ressource enthält Einzelheiten zu der AWS Ressource, auf die die auslösende Aktivität abzielte. Die verfügbaren Informationen variieren je nach Ressourcentyp und Aktionstyp.

Ressourcenrolle — Die Rolle der AWS Ressource, die den Befund ausgelöst hat. Dieser Wert kann TARGET oder ACTOR lauten und repräsentiert, ob Ihre Ressource das Ziel verdächtiger Aktivitäten bzw. der Akteur war, der die verdächtigen Aktivitäten ausgeführt hat.

Ressourcen-Typ – der Typ der betroffenen Ressource. Wenn mehrere Ressourcen betroffen waren, kann eine Erkenntnis mehrere Ressourcentypen umfassen. Die Ressourcentypen sind Instance AccessKey, S3Bucket, S3Object,, KubernetesCluster, Container ECSClusterRDSDBInstance, RDSLimitlessDB und Lambda. Je nach Ressourcentyp stehen unterschiedliche Erkenntnisdetails zur Verfügung. Wählen Sie eine Registerkarte mit Ressourcenoptionen aus, um mehr über die für diese Ressource verfügbaren Details zu erfahren.

Instance

Instance-Details:

Anmerkung

Einige Instanzdetails fehlen möglicherweise, wenn die Instanz bereits gestoppt wurde oder wenn der zugrunde liegende API-Aufruf bei einem regionsübergreifenden API-Aufruf von einer EC2 Instanz in einer anderen Region stammte.

• Instanz-ID — Die ID der EC2 Instanz, die an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.

• Instanztyp — Der Typ der EC2 Instanz, die an der Entdeckung beteiligt war.

• Startzeit – Das Datum und die Uhrzeit, zu der die Instance gestartet wurde.

• Outpost ARN — Der Amazon-Ressourcenname (ARN) von AWS Outposts. Gilt nur für AWS Outposts Instances. Weitere Informationen finden Sie unter Was ist AWS Outposts? im Benutzerhandbuch für Outposts-Racks.

• Name der Sicherheitsgruppe – Der Name der Sicherheitsgruppe, die der beteiligten Instance angefügt ist.

• Sicherheitsgruppen-ID – Die ID der Sicherheitsgruppe, die der beteiligten Instance angefügt ist.

• Instance-Status – Der aktuelle Status der Ziel-Instance.

• Availability Zone – Die Availability Zone der AWS -Region, in der sich die betroffene Instance befindet.

• Image-ID – Die ID des Amazon Machine Image, das zum Erstellen der an der Aktivität beteiligten Instance verwendet wurde.

• Image-Beschreibung – Eine Beschreibung der ID des Amazon Machine Image, das zum Erstellen der Instance verwendet wurde, die an der Aktivität beteiligt war.

• Tags – Eine Liste der Tags, die dieser Ressource angefügt sind, die im Format key:value aufgeführt werden.

AccessKey

Details zu Zugriffsschlüsseln:

• Zugriffsschlüssel-ID — Die Zugriffsschlüssel-ID des Benutzers, der an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.

• Prinzipal-ID — Die Prinzipal-ID des Benutzers, der an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.

• Benutzertyp — Der Benutzertyp, der an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat. Weitere Informationen finden Sie unter CloudTrail -Element userIdentity.

• Benutzername — Der Name des Benutzers, der an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.

S3Bucket

Details zum Amazon-S3-Bucket:

• Name – Der Name des Buckets, der an der Erkenntnis beteiligt war.

• ARN – Der ARN des Buckets, der an der Erkenntnis beteiligt war.

• Eigentümer – Die kanonische Benutzer-ID des Benutzers, dem der Bucket gehört, der an der Erkenntnis beteiligt war. Weitere Informationen zu kanonischen Benutzern IDs finden Sie unter AWS Kontokennungen.

• Typ – Der Typ der Bucket-Erkenntnis. Mögliche Werte sind Ziel oder Quelle.

• Standardmäßige serverseitige Verschlüsselung – Verschlüsselungsdetails für den Bucket.

• Bucket-Tags – Eine Liste der Tags, die dieser Ressource zugeordnet sind und im Format key:value aufgeführt werden.

• Effektive Berechtigungen – Eine Auswertung aller effektiven Berechtigungen und Richtlinien für den Bucket, die angibt, ob der betreffende Bucket öffentlich verfügbar ist. Werte können Öffentlich oder Nicht öffentlich sein.

S3Object

• S3-Objektdetails — Enthält die folgenden Informationen über das gescannte S3-Objekt:

  • ARN — Amazon-Ressourcenname (ARN) des gescannten S3-Objekts.

  • Schlüssel — Der Name, der der Datei zugewiesen wurde, als sie im S3-Bucket erstellt wurde.

  • Versions-ID — Wenn Sie die Bucket-Versionierung aktiviert haben, gibt dieses Feld die Versions-ID an, die der neuesten Version des gescannten S3-Objekts zugeordnet ist. Weitere Informationen finden Sie unter Verwenden der Versionierung in S3-Buckets im Amazon S3 S3-Benutzerhandbuch.

  • ETag — Stellt die spezifische Version des gescannten S3-Objekts dar.

  • Hash — Der Hash der Bedrohung, die in diesem Ergebnis erkannt wurde.

• S3-Bucket-Details — Enthält die folgenden Informationen über den Amazon S3 S3-Bucket, der dem gescannten S3-Objekt zugeordnet ist:

  • Name — Gibt den Namen des S3-Buckets an, der das Objekt enthält.

  • ARN — Amazon-Ressourcenname (ARN) des S3-Buckets.

• Besitzer — Kanonische ID des Besitzers des S3-Buckets.

EKSCluster

Details zum Kubernetes-Cluster:

• Name – Name des Kubernetes-Clusters.

• ARN – Der ARN, der den Cluster identifiziert.

• Erstellt am – Uhrzeit und Datum des Zeitpunkts, an dem dieser Cluster erstmals erstellt wurde.

  Anmerkung

  Zeitstempel für Ergebnisse in der GuardDuty Konsole werden in Ihrer lokalen Zeitzone angezeigt, während JSON-Exporte und CLI-Ausgaben Zeitstempel in UTC anzeigen.

• VPC-ID – Die ID der VPC, die Ihrem Cluster zugeordnet ist.

• Status – Der aktuelle Status des Clusters.

• Tags – Die Metadaten, die Sie auf den Cluster anwenden, um die Kategorisierung und Organisation zu erleichtern. Jedes Tag besteht aus einem Schlüssel und einem optionalen Wert, aufgelistet im Format key:value. Sie können sowohl den Schlüssel als auch den Wert definieren.

  Cluster-Tags werden nicht auf andere Ressourcen verteilt, die dem Cluster zugeordnet sind.

Details zum Kubernetes-Workload:

• Typ – Der Typ des Kubernetes-Workloads, wie Pod, Bereitstellung und Job.

• Name – Der Name des Kubernetes-Workloads.

• Uid – Die eindeutige ID des Kubernetes-Workloads.

• Erstellt am – Uhrzeit und Datum des Zeitpunkts, an dem dieser Workload erstmals erstellt wurde.

• Labels – Die Schlüssel-Wert-Paare, die dem Kubernetes-Workload angefügt wurden.

• Container – Die Details des Containers, der als Teil des Kubernetes-Workloads ausgeführt wird.

• Namespace – Der Workload gehört zu diesem Kubernetes-Namespace.

• Volumes – Die vom Kubernetes-Workload verwendeten Volumes.

  • Hostpfad – Stellt eine bereits vorhandene Datei oder ein Verzeichnis auf dem Host-Computer dar, dem das Volume zugeordnet ist.

  • Name – Der Name des Volumes.

• Pod-Sicherheitskontext – Definiert die Einstellungen für Rechte und Zugriffskontrolle für alle Container in einem Pod.

• Host-Netzwerk – Auf true setzen, wenn die Pods im Kubernetes-Workload enthalten sind.

Kubernetes-Benutzerdetails:

• Gruppen – Kubernetes-RBAC (Role-Access Based Control)-Gruppen des Benutzers, der an der Aktivität beteiligt war, die die Erkenntnis generiert hat.

• ID – Eindeutige ID des Kubernetes-Benutzers.

• Benutzername – Name des Kubernetes-Benutzers, der an der Aktivität beteiligt war, die das Ergebnis generiert hat.

• Sitzungsname – Entität, die die IAM-Rolle mit Kubernetes-RBAC-Berechtigungen übernommen hat.

ECSCluster

ECS-Cluster-Details:

• ARN – Der ARN, der den Cluster identifiziert.

• Name – Der Name des Clusters.

• Status – Der aktuelle Status des Clusters.

• Anzahl der aktiven Services – Die Anzahl der Services, die in einem ACTIVE-Status auf dem Cluster ausgeführt werden. Sie können diese Dienste mit anzeigen ListServices

• Anzahl registrierter Container-Instances – Die Anzahl der Container-Instances, die im Cluster registriert sind. Dazu gehören Container-Instances sowohl im Status ACTIVE als auch im Status DRAINING.

• Anzahl der laufenden Aufgaben – Die Anzahl der Aufgaben im Cluster, die sich im RUNNING-Status befinden.

• Tags – Die Metadaten, die Sie auf den Cluster anwenden, um die Kategorisierung und Organisation zu erleichtern. Jedes Tag besteht aus einem Schlüssel und einem optionalen Wert, aufgelistet im Format key:value. Sie können sowohl den Schlüssel als auch den Wert definieren.

• Container – Die Details zu dem Container, der der Aufgabe zugeordnet ist:

  • Containername – Der Name des Containers.

  • Container-Image – Das Image des Containers.

• Aufgabendetails – Die Details einer Aufgabe in einem Cluster.

  • ARN – Der Amazon-Ressourcenname (ARN) der Aufgabe.

  • Definition-ARN – Der Amazon-Ressourcenname (ARN) der Aufgabendefinition, die die Aufgabe erstellt.

  • Version – Der Versionszähler für die Aufgabe.

  • Aufgabe erstellt am – Der Unix-Zeitstempel für den Erstellungszeitpunkt der Aufgabe.

  • Aufgabe gestartet am – Der Unix-Zeitstempel für den Startzeitpunkt der Aufgabe.

  • Aufgabe gestartet von – Das Tag, das beim Starten einer Aufgabe angegeben wurde.

Container

Details zum Container:

• Container-Laufzeit – Die Container-Laufzeit (wie z. B. docker oder containerd), die zum Ausführen des Containers verwendet wurde.

• ID – Die Container-Instance-ID oder die vollständigen ARN-Einträge für die Container-Instance.

• Name – Der Name des Containers.

• Image – Das Image der Container-Instance.

• Volume-Mounts – Liste der Volume-Mounts von Containern. Ein Container kann ein Volume unter seinem Dateisystem mounten.

• Sicherheitskontext – Der Sicherheitskontext des Containers definiert Einstellungen für Rechte und Zugriffskontrolle für einen Container.

• Prozessdetails – Beschreibt die Details des Prozesses, der mit der Erkenntnis verknüpft ist.

RDSDBInstance

RDSDBInstance Einzelheiten:

Anmerkung

Diese Ressource ist in den Erkenntnissen von RDS Protection im Zusammenhang mit der Datenbank-Instance verfügbar.

• Datenbankinstanz-ID — Der Bezeichner, der der Datenbankinstanz zugeordnet ist, die an der GuardDuty Suche beteiligt war.

• Engine – Der Name der Datenbank-Engine der Datenbank-Instance, die an der Erkenntnis beteiligt war. Mögliche Werte sind Aurora MySQL-kompatibel oder Aurora PostgreSQL-kompatibel.

• Engine-Version — Die Version der Datenbank-Engine, die an der GuardDuty Entdeckung beteiligt war.

• Datenbank-Cluster-ID — Der Bezeichner des Datenbank-Clusters, der die Datenbank-Instance-ID enthält, die an der GuardDuty Suche beteiligt war.

• Datenbankinstanz-ARN — Der ARN, der die an der GuardDuty Suche beteiligte Datenbankinstanz identifiziert.

RDSLimitlessDB

RDSLimitlessDB-Details:

Diese Ressource ist in den Ergebnissen von RDS Protection im Zusammenhang mit der unterstützten Engine-Version von Limitless Database verfügbar.

• DB-Shard-Gruppen-ID — Der Name, der der Limitless-DB-Shard-Gruppe zugeordnet ist.

• Ressourcen-ID der DB-Shardgruppe — Die Ressourcen-ID der DB-Shard-Gruppe innerhalb der Limitless-DB.

• ARN der DB-Shard-Gruppe — Der Amazon-Ressourcenname (ARN), der die DB-Shard-Gruppe identifiziert.

• Engine — Die Kennung der Limitless-DB, die an der Entdeckung beteiligt war.

• Engine-Version — Die Version der Limitless DB-Engine.

• DB-Cluster-ID — Der Name des Datenbank-Clusters, der Teil der Limitless DB ist.

Hinweise zu Benutzer- und Authentifizierungsdetails der potenziell betroffenen Datenbank finden Sie unter. Benutzerdetails für die RDS-Datenbank (DB)

Lambda

Details zur Lambda-Funktion

• Funktionsname – Der Name der Lambda-Funktion, die an der Erkenntnis beteiligt ist.

• Funktionsversion – Die Version der Lambda-Funktion, die an der Erkenntnis beteiligt ist.

• Funktionsbeschreibung – Eine Beschreibung der Lambda-Funktion, die an der Erkenntnis beteiligt ist.

• Funktions-ARN – Der Amazon-Ressourcenname (ARN) der Lambda-Funktion, die an der Erkenntnis beteiligt ist.

• Revisions-ID – Die Revisions-ID der Lambda-Funktionsversion.

• Rolle – Die Ausführungsrolle der Lambda-Funktion, die an der Erkenntnis beteiligt ist.

• VPC-Konfiguration — Die Amazon VPC-Konfiguration, einschließlich der VPC-ID, der Sicherheitsgruppe und des Subnetzes, das Ihrer Lambda-Funktion IDs zugeordnet ist.

  • VPC-ID – Die ID der Amazon-VPC, die der Lambda-Funktion zugeordnet ist, die an der Erkenntnis beteiligt ist.

  • Subnetz IDs — Die ID der Subnetze, die Ihrer Lambda-Funktion zugeordnet sind.

  • Sicherheitsgruppe – Die Sicherheitsgruppe, die der betroffenen Lambda-Funktion angefügt ist. Dazu gehören der Name und die Gruppen-ID der Sicherheitsgruppe.

• Tags – Eine Liste der Tags, die dieser Ressource angefügt sind, die im Format key:value aufgeführt werden.

Einzelheiten zur Suche nach der Angriffssequenz

GuardDuty bietet Details zu jedem Befund, den es in Ihrem Konto generiert. Diese Informationen helfen Ihnen dabei, die Gründe für den Befund zu verstehen. Dieser Abschnitt konzentriert sich auf Details im Zusammenhang mitArten der Suche nach Angriffssequenzen. Dazu gehören Erkenntnisse wie potenziell betroffene Ressourcen, der Zeitplan der Ereignisse, Indikatoren, Signale und Endpunkte, die an den Ergebnissen beteiligt waren.

Einzelheiten zu Signalen, bei denen es sich um GuardDuty Ergebnisse handelt, finden Sie in den entsprechenden Abschnitten auf dieser Seite.

Wenn Sie in der GuardDuty Konsole ein Ergebnis der Angriffssequenz auswählen, ist der Seitenbereich mit den Details in die folgenden Registerkarten unterteilt:

• Überblick — Bietet eine kompakte Ansicht der Details zur Angriffssequenz, einschließlich Signalen, MITRE-Taktiken und potenziell betroffenen Ressourcen.

• Signale — Zeigt eine Zeitleiste der Ereignisse an, die an einer Angriffssequenz beteiligt sind.

• Ressourcen — Stellt Informationen zu den potenziell betroffenen oder potenziell gefährdeten Ressourcen bereit.

Die folgende Liste enthält Beschreibungen im Zusammenhang mit den Details zur Entdeckung der Angriffssequenz.

Signale

Bei einem Signal kann es sich um eine API-Aktivität oder um einen Befund handeln, der zur Erkennung einer Angriffssequenz GuardDuty verwendet wird. GuardDuty betrachtet die schwachen Signale, die sich nicht als eindeutige Bedrohung darstellen, fügt sie zusammen und korreliert mit individuell generierten Ergebnissen. Für mehr Kontext bietet die Registerkarte „Signale“ eine Zeitleiste der Signale, wie sie von GuardDuty beobachtet wurden.

Jedem Signal, also einem GuardDuty Befund, ist ein eigener Schweregrad und ein eigener Wert zugewiesen. In der GuardDuty Konsole können Sie jedes Signal auswählen, um die zugehörigen Details anzuzeigen.

Schauspieler

Enthält Einzelheiten zu den Bedrohungsakteuren in einer Angriffssequenz. Weitere Informationen finden Sie unter Actor in Amazon GuardDuty API Reference.

Endpunkte

Enthält Details zu den Netzwerkendpunkten, die in dieser Angriffssequenz verwendet wurden. Weitere Informationen finden Sie NetworkEndpointunter Amazon GuardDuty API Reference. Informationen darüber, wie der Standort GuardDuty bestimmt wird, finden Sie unterEinzelheiten zur Geolokalisierung.

Indikatoren

Beinhaltet beobachtete Daten, die dem Muster eines Sicherheitsproblems entsprechen. Diese Daten geben an, warum GuardDuty es Hinweise auf eine potenziell verdächtige Aktivität gibt. Lautet der Indikatorname beispielsweiseHIGH_RISK_API, deutet dies auf eine Aktion hin, die häufig von Bedrohungsakteuren verwendet wird, oder auf eine sensible Aktion, die potenzielle Auswirkungen auf eine haben kann AWS-Konto, z. B. den Zugriff auf Anmeldeinformationen oder die Änderung einer Ressource.

Die folgende Tabelle enthält eine Liste potenzieller Indikatoren und deren Beschreibungen:

Name des Indikators	Beschreibung
SUSPICIOUS_USER_AGENT	Der Benutzeragent ist mit potenziell bekannten verdächtigen oder ausgenutzten Anwendungen wie Amazon S3 S3-Clients und Angriffstools verknüpft.
SUSPICIOUS_NETWORK	Das Netzwerk wird mit bekanntermaßen niedrigen Reputationswerten wie riskanten VPN-Anbietern (Virtual Private Network) und Proxydiensten in Verbindung gebracht.
MALICIOUS_IP	Die IP-Adresse enthält bestätigte Bedrohungsinformationen, die auf böswillige Absichten hinweisen.
TOR_IP	Die IP-Adresse ist einem Tor-Ausgangsknoten zugeordnet.
HIGH_RISK_API	Die AWS API, die den AWS-Service Namen enthält und eventName auf eine Aktion hinweist, die häufig von Bedrohungsakteuren verwendet wird, oder es handelt sich um eine sensible Aktion, die potenzielle Auswirkungen auf eine haben kann AWS-Konto, wie z. B. den Zugriff auf Anmeldeinformationen oder die Änderung von Ressourcen.
ATTACK_TACTIC	Die MITRE-Taktiken wie Discovery und Impact.
ATTACK_TECHNIQUE	Die MITRE-Technik, die vom Bedrohungsakteur in einer Angriffssequenz verwendet wird. Beispiele hierfür sind der Zugriff auf Ressourcen und deren unbeabsichtigte Verwendung sowie das Ausnutzen von Sicherheitslücken.
UNUSUAL_API_FOR_ACCOUNT	Zeigt an, dass die AWS API auf der Grundlage der historischen Ausgangsdaten des Kontos ungewöhnlich aufgerufen wurde. Weitere Informationen finden Sie unter Anormales Verhalten.
UNUSUAL_ASN_FOR_ACCOUNT	Zeigt an, dass die Autonome Systemnummer (ASN) auf der Grundlage des historischen Basiswerts des Kontos als ungewöhnlich eingestuft wurde. Weitere Informationen finden Sie unter Anormales Verhalten.
UNUSUAL_ASN_FOR_USER	Zeigt an, dass die Autonome Systemnummer (ASN) auf der Grundlage des historischen Ausgangswerts des Benutzers als ungewöhnlich eingestuft wurde. Weitere Informationen finden Sie unter Anormales Verhalten.

MITRE-Taktiken

Dieses Feld spezifiziert die MITRE ATT&CK-Taktiken, die der Bedrohungsakteur in einer Angriffssequenz versucht. GuardDuty verwendet das MITRE ATT&ACK-Framework, das der gesamten Angriffssequenz Kontext hinzufügt. Die Farben, mit denen die GuardDuty Konsole die Bedrohungszwecke angibt, die vom Bedrohungsakteur verwendet wurden, entsprechen den Farben, die für kritisch, hoch, mittel und niedrig stehen. Schweregrade der Ergebnisse

Netzwerkindikatoren

Zu den Indikatoren gehört eine Kombination von Netzwerkindikatorwerten, die erklären, warum ein Netzwerk auf ein verdächtiges Verhalten hinweist. Dieser Abschnitt gilt nur, wenn der Indikator SUSPICIOUS_NETWORK oder MALICIOUS_IP enthält. Das folgende Beispiel zeigt, wie Netzwerkindikatoren mit einem Indikator verknüpft werden könnten, wobei:

• AnyCompanyist ein Autonomes System (AS).

• TUNNEL_VPNIS_ANONYMOUS, und ALLOWS_FREE_ACCESS sind die Netzwerkindikatoren.

...{
    "key": "SUSPICIOUS_NETWORK",
    "values": [{
        "AnyCompany": [
            "TUNNEL_VPN",
            "IS_ANONYMOUS",
            "ALLOWS_FREE_ACCESS"
        ]
    }]
}
...

Die folgende Tabelle enthält die Werte der Netzwerkindikatoren und ihre Beschreibung. Diese Tags werden auf der Grundlage der Bedrohungsinformationen hinzugefügt, die aus Quellen wie Spur GuardDuty gesammelt wurden

Wert des Netzwerkanzeigers	Beschreibung
TUNNEL_VPN	Die Netzwerk- oder IP-Adresse ist einem VPN-Tunneltyp zugeordnet. Dies bezieht sich auf ein bestimmtes Protokoll, mit dessen Hilfe eine sichere, verschlüsselte Verbindung zwischen zwei Punkten über ein öffentliches Netzwerk hergestellt werden kann.
TUNNEL_PROXY	Die Netzwerk- oder IP-Adresse ist einem Proxy-Tunneltyp zugeordnet. Dies bezieht sich auf ein bestimmtes Protokoll, das beim Herstellen einer Verbindung über einen Proxyserver hilft.
TUNNEL_RDP	Die Netzwerk- oder IP-Adresse steht im Zusammenhang mit der Verwendung einer Methode zur Kapselung des Remotedesktopverkehrs (RDP) in einem anderen Protokoll, um die Sicherheit zu erhöhen, Netzwerkeinschränkungen zu umgehen oder den Fernzugriff über Firewalls zu ermöglichen.
IS_ANONYMOUS	Die Netzwerk- oder IP-Adresse ist einem bekannten anonymen Dienst oder einem Proxydienst zugeordnet. Dies kann auf potenzielle verdächtige Aktivitäten hinweisen, die sich hinter anonymen Netzwerken verstecken.
KNOWN_THREAT_OPERATOR	Die Netzwerk- oder IP-Adresse ist mit einem bekanntermaßen riskanten Tunnelanbieter verknüpft. Dies weist darauf hin, dass verdächtige Aktivitäten von einer IP-Adresse aus erkannt wurden, die mit einem VPN, Proxy oder anderen Tunneldiensten verknüpft ist, die häufig für böswillige Zwecke verwendet werden.
ALLOWS_FREE_ACCESS	Die Netzwerk- oder IP-Adresse ist einem Tunnelbetreiber zugeordnet, der den Zugriff auf seinen Dienst ermöglicht, ohne dass eine Authentifizierung oder Zahlung erforderlich ist. Dazu können auch Testkonten oder eingeschränkte Nutzungserlebnisse gehören, die von verschiedenen Onlinediensten angeboten werden.
ALLOWS_CRYPTO	Die Netzwerk- oder IP-Adresse ist mit einem Tunnelanbieter (wie einem VPN oder einem Proxydienst) verknüpft, der ausschließlich Kryptowährung oder andere digitale Währungen als Zahlungsmethode akzeptiert.
ALLOWS_TORRENTS	Die Netzwerk- oder IP-Adresse ist mit Diensten oder Plattformen verknüpft, die Torrent-Verkehr zulassen. Solche Dienste werden häufig mit der Unterstützung und Nutzung von Torrents sowie mit Aktivitäten zur Umgehung von Urheberrechten in Verbindung gebracht.
RISK_CALLBACK_PROXY	Die Netzwerk- oder IP-Adresse wird Geräten zugeordnet, von denen bekannt ist, dass sie Datenverkehr an private Proxys, Malware-Proxys oder andere Callback-Proxy-Netzwerke weiterleiten. Dies bedeutet nicht, dass alle Aktivitäten im Netzwerk proxybezogen sind, sondern dass das Netzwerk in der Lage ist, den Datenverkehr im Namen dieser Proxynetzwerke weiterzuleiten.
RISK_GEO_MISMATCH	Dieser Indikator deutet darauf hin, dass das Rechenzentrum oder der Hosting-Standort eines Netzwerks vom erwarteten Standort der Benutzer und Geräte dahinter abweicht. Wenn dieser Indikatorwert nicht vorhanden ist, bedeutet dies nicht, dass keine Diskrepanz vorliegt. Dies könnte bedeuten, dass nicht genügend Daten vorliegen, um die Diskrepanz zu bestätigen.
IS_SCANNER	Die Netzwerk- oder IP-Adresse steht im Zusammenhang mit permanenten Anmeldeversuchen in Webformularen.
RISK_WEB_SCRAPING	Das IP-Netzwerk ist mit automatisierten Webclients und anderen programmatischen Webaktivitäten verknüpft.
CLIENT_BEHAVIOR_FILE_SHARING	Die Netzwerk- oder IP-Adresse ist mit dem Verhalten des Clients verknüpft, das auf Filesharing-Aktivitäten wie peer-to-peer (P2P-) Netzwerke oder Filesharing-Protokolle hinweist.
CATEGORY_COMMERCIAL_VPN	Die Netzwerk- oder IP-Adresse ist einem Tunnelbetreiber zugeordnet, der als herkömmlicher VPN-Dienst (Commercial Virtual Private Network) eingestuft wird, der innerhalb eines Rechenzentrums betrieben wird.
CATEGORY_FREE_VPN	Die Netzwerk- oder IP-Adresse ist einem Tunnelbetreiber zugeordnet, der als völlig kostenloser VPN-Dienst eingestuft ist.
CATEGORY_RESIDENTIAL_PROXY	Die Netzwerk- oder IP-Adresse ist einem Tunnelbetreiber zugeordnet, der als SDK, Malware oder als get-paid-to Quellproxydienst eingestuft ist.
OPERATOR_XXX	Der Name des Dienstanbieters, der diesen Tunnel betreibt.

Benutzerdetails für die RDS-Datenbank (DB)

Anmerkung

Dieser Abschnitt bezieht sich auf Ergebnisse, die bei der Aktivierung der RDS-Schutzfunktion in festgestellt wurden GuardDuty. Weitere Informationen finden Sie unter GuardDuty RDS-Schutz.

Das GuardDuty Ergebnis liefert die folgenden Benutzer- und Authentifizierungsdetails der potenziell gefährdeten Datenbank:

• Benutzer – Der Benutzername, der für den anomalen Anmeldeversuch verwendet wurde.

• Anwendung – Der Anwendungsname, der für den anomalen Anmeldeversuch verwendet wurde.

• Datenbank – Der Name der Datenbank-Instance, die an dem anomalen Anmeldeversuch beteiligt war.

• SSL – Die für das Netzwerk verwendete Version von Secure Socket Layer (SSL).

• Authentifizierungsmethode – Die Authentifizierungsmethode, die von dem Benutzer verwendet wurde, der an der Erkenntnis beteiligt war.

Hinweise zu der potenziell gefährdeten Ressource finden Sie unter. Ressource

Einzelheiten zur Runtime Monitoring finden

Anmerkung

Diese Details sind möglicherweise nur verfügbar, wenn eines der GuardDuty generiert wirdGuardDuty Runtime Monitoring: Typen finden.

Dieser Abschnitt enthält die Laufzeitdetails wie Prozessdetails und den erforderlichen Kontext. Prozessdetails beschreiben Informationen über den beobachteten Prozess, und der Laufzeitkontext beschreibt alle zusätzlichen Informationen über die potenziell verdächtige Aktivität.

Details zum Prozess

• Name – Der Name des Prozesses.

• Ausführbarer Pfad – Absoluter Pfad der ausführbaren Zieldatei des Prozesses.

• Ausführbarer SHA-256 – Der SHA256-Hash der ausführbaren Datei des Prozesses.

• Namespace-PID – Die Prozess-ID des Prozesses in einem sekundären PID-Namespace, bei dem es sich nicht um den PID-Namespace auf Host-Ebene handelt. Bei Prozessen innerhalb eines Containers ist dies die Prozess-ID, die innerhalb des Containers beobachtet wird.

• Derzeitiges Arbeitsverzeichnis – Das aktuelle Arbeitsverzeichnis des Prozesses.

• Prozess-ID – Die ID, die dem Prozess vom Betriebssystem zugewiesen wurde.

• Startzeit – Die Uhrzeit, zu der der Prozess gestartet wurde. Dieses Feld hat das UTC-Datums-Zeichenfolgenformat (2023-03-22T19:37:20.168Z).

• UUID — Die eindeutige ID, die dem Prozess von zugewiesen wurde. GuardDuty

• Parent UUID – Die eindeutige ID des übergeordneten Prozesses. Diese ID wird dem übergeordneten Prozess von zugewiesen. GuardDuty

• Benutzername – Der Benutzername, der den Prozess ausgeführt hat.

• Benutzer-ID – Die Benutzer-ID des Benutzers, der den Prozess ausgeführt hat.

• Effektive Benutzer-ID – Die effektive Benutzer-ID des Prozesses zum Zeitpunkt des Ereignisses.

• Herkunft – Informationen über die Vorfahren des Prozesses.

  • Prozess-ID – Die ID, die dem Prozess vom Betriebssystem zugewiesen wurde.

  • UUID — Die eindeutige ID, die dem Prozess von zugewiesen wurde. GuardDuty

  • Ausführbarer Pfad – Absoluter Pfad der ausführbaren Zieldatei des Prozesses.

  • Effektive Benutzer-ID – Die effektive Benutzer-ID des Prozesses zum Zeitpunkt des Ereignisses.

  • Parent UUID – Die eindeutige ID des übergeordneten Prozesses. Diese ID wird dem übergeordneten Prozess von zugewiesen. GuardDuty

  • Startzeit – Die Uhrzeit, zu der der Prozess gestartet wurde.

  • Namespace-PID – Die Prozess-ID des Prozesses in einem sekundären PID-Namespace, bei dem es sich nicht um den PID-Namespace auf Host-Ebene handelt. Bei Prozessen innerhalb eines Containers ist dies die Prozess-ID, die innerhalb des Containers beobachtet wird.

  • Benutzer-ID – Die Benutzer-ID des Benutzers, der den Prozess ausgeführt hat.

  • Name – Der Name des Prozesses.

Laufzeitkontext

Aus den folgenden Feldern kann eine generierte Erkenntnis nur die Felder enthalten, die für den Erkenntnistyp relevant sind.

• Mount-Quelle – Der Pfad auf dem Host, der vom Container bereitgestellt wird.

• Mount-Ziel – Der Pfad im Container, der dem Host-Verzeichnis zugeordnet ist.

• Dateisystem-Typ – Stellt den Typ des eingehängten Dateisystems dar.

• Flags – Stellt Optionen dar, die das Verhalten des Ereignisses steuern, das an dieser Erkenntnis beteiligt ist.

• Verändernder Prozess – Informationen über den Prozess, der zur Laufzeit eine Binärdatei, ein Skript oder eine Bibliothek in einem Container erstellt oder geändert hat.

• Geändert am – Der Zeitstempel, zu dem der Prozess zur Laufzeit eine Binärdatei, ein Skript oder eine Bibliothek in einem Container erstellt oder geändert hat. Dieses Feld hat das UTC-Datums-Zeichenfolgenformat (2023-03-22T19:37:20.168Z).

• Bibliothekspfad – Der Pfad zur neuen Bibliothek, die geladen wurde.

• LD-Vorladungs-Wert – Der Wert der LD_PRELOAD-Umgebungsvariable.

• Socket-Pfad – Der Pfad zum Docker-Socket, auf den zugegriffen wurde.

• Runc-Binär-Pfad – Der Pfad zur runc-Binärdatei.

• Release-Agent-Pfad – Der Pfad zur cgroup-Release-Agent-Datei.

• Beispiel für eine Befehlszeile — Das Beispiel der Befehlszeile, die an der potenziell verdächtigen Aktivität beteiligt war.

• Werkzeugkategorie — Kategorie, zu der das Tool gehört. Einige der Beispiele sind Backdoor Tool, Pentest Tool, Network Scanner und Network Sniffer.

• Toolname — Der Name des potenziell gefährlichen Tools.

• Skriptpfad — Der Pfad zu dem ausgeführten Skript, das den Befund generiert hat.

• Pfad der Bedrohungsdatei — Der verdächtige Pfad, für den die Bedrohungsinformationen gefunden wurden.

• Dienstname — Der Name des Sicherheitsdienstes, der deaktiviert wurde.

Scan-Details der EBS-Volumes

Anmerkung

Dieser Abschnitt bezieht sich auf Ergebnisse, die beim Einschalten des GuardDuty -initiierten Malware-Scans in Malware-Schutz für EC2 festgestellt wurden.

Der EBS-Volumescan liefert Details über das EBS-Volume, das der potenziell gefährdeten EC2 Instance- oder Container-Workload zugeordnet ist.

• Scan-ID – Die Kennung des Malware-Scans.

• Scan gestartet am – Das Datum und die Uhrzeit, zu der der Malware-Scan gestartet wurde.

• Scan abgeschlossen am – Das Datum und die Uhrzeit, zu der der Malware-Scan abgeschlossen wurde.

• Trigger Finding ID — Die Finde-ID des Fundes, der GuardDuty diesen Malware-Scan ausgelöst hat.

• Quellen — Die möglichen Werte sind Bitdefender undAmazon.

  Weitere Informationen zur Scan-Engine, die zur Erkennung von Malware verwendet wird, finden Sie unterGuardDuty Scan-Engine zur Malware-Erkennung.

• Scan-Erkennungen – Die vollständige Ansicht der Details und Ergebnisse jedes Malware-Scans.

  • Anzahl gescannter Objekte – Die Gesamtzahl der gescannten Dateien. Liefert Details wie totalGb, files und volumes.

  • Anzahl der entdeckten Bedrohungen – Die Gesamtzahl der während des Scans erkannten schädlichen files.

  • Bedrohungsdetails mit dem höchsten Schweregrad – Die Details der Bedrohung mit dem höchsten Schweregrad, die während des Scans erkannt wurde, und die Anzahl der schädlichen Dateien. Liefert Details wie severity, threatName und count.

  • Nach Namen erkannte Bedrohungen – Das Container-Element, in dem Bedrohungen aller Schweregrade gruppiert werden. Liefert Details wie itemCount, uniqueThreatNameCount, shortened und threatNames.

Malware-Schutz zum EC2 Auffinden von Details

Anmerkung

Dieser Abschnitt bezieht sich auf Ergebnisse, die sich ergeben, wenn Sie den GuardDuty -initiierten Malware-Scan in Malware-Schutz für EC2 aktivieren.

Wenn der Malware-Schutz für den EC2 Scan Malware entdeckt, können Sie die Scandetails anzeigen, indem Sie auf der Seite Ergebnisse in der https://console.aws.amazon.com/guardduty/Konsole den entsprechenden Befund auswählen. Der Schweregrad Ihres EC2 Malware-Schutzes bei der Entdeckung hängt vom Schweregrad des GuardDuty Fundes ab.

Die folgenden Informationen sind im Abschnitt Entdeckte Bedrohungen im Detailbereich verfügbar.

• Name – Der Name der Bedrohung, der durch Gruppierung der Dateien nach Entdeckung ermittelt wurde.

• Schweregrad – Der Schweregrad der erkannten Bedrohung.

• Hash – Der SHA-256-Hashwert der Datei.

• Dateipfad – Der Speicherort der schädlichen Datei auf dem EBS-Volume.

• Dateiname – Der Name der Datei, in der die Bedrohung erkannt wurde.

• Volume-ARN – Der ARN der gescannten EBS-Volumes.

Die folgenden Informationen sind im Abschnitt Malware-Scan-Details im Detailbereich verfügbar.

• Scan-ID – Die Kennung des Malware-Scans.

• Scan gestartet am – Das Datum und die Uhrzeit, zu der der Malware-Scan gestartet wurde.

• Scan abgeschlossen am – Das Datum und die Uhrzeit, zu der der Scan abgeschlossen wurde.

• Gescannte Dateien – Die Gesamtzahl der gescannten Dateien und Verzeichnisse.

• Gescannte GB insgesamt – Die Menge an Speicherplatz, die während des Vorgangs gescannt wurde.

• Erkennungs-ID des Auslösers — Die Finde-ID des GuardDuty Fundes, das diesen Malware-Scan ausgelöst hat.

• Die folgenden Informationen sind im Abschnitt Volume-Details im Detailbereich verfügbar.

  • Volume-ARN – Der Amazon-Ressourcenname (ARN) des Volumes.

  • Snapshot-ARN – Der ARN des Snapshots des EBS-Volumes.

  • Status – Der Scan-Status des Volumes, z. B. Running, Skipped und Completed.

  • Verschlüsselungstyp – Der Verschlüsselungstyp, der zur Verschlüsselung des Volumes verwendet wird. Beispiel, CMCMK.

  • Gerätename – Der Name des Geräts. Beispiel, /dev/xvda.

Einzelheiten zur Suche nach Malware-Schutz für S3

Die folgenden Informationen zum Malware-Scan sind verfügbar, wenn Sie GuardDuty sowohl als auch Malware Protection for S3 in Ihrem aktivieren AWS-Konto:

• Bedrohungen — Eine Liste der Bedrohungen, die während des Malware-Scans erkannt wurden.

  Mehrere potenzielle Bedrohungen in Archivdateien

  Wenn Sie eine Archivdatei mit potenziell mehreren Bedrohungen haben, meldet Malware Protection for S3 nur die erste erkannte Bedrohung. Danach wird der Scanstatus als abgeschlossen markiert. GuardDuty generiert den zugehörigen Befundtyp und sendet auch die von ihm generierten EventBridge Ereignisse. Weitere Informationen zur Überwachung der Amazon S3 S3-Objektscans mithilfe der EventBridge Ereignisse finden Sie im Beispiel-Benachrichtigungsschema für THREATS_FOUND unter. Ergebnis des S3-Objektscans

• Elementpfad — Eine Liste der verschachtelten Elementpfade und Hash-Details des gescannten S3-Objekts.

  • Verschachtelter Elementpfad — Elementpfad des gescannten S3-Objekts, in dem die Bedrohung erkannt wurde.

    Der Wert dieses Felds ist nur verfügbar, wenn es sich bei dem Objekt der obersten Ebene um ein Archiv handelt und wenn in einem Archiv eine Bedrohung erkannt wurde.

  • Hash — Hash der Bedrohung, die in diesem Ergebnis erkannt wurde.

• Quellen — Die möglichen Werte sind Bitdefender undAmazon.

  Weitere Informationen zur Scan-Engine, die zur Erkennung von Malware verwendet wird, finden Sie unterGuardDuty Scan-Engine zur Malware-Erkennung.

Aktion

Die Aktion einer Erkenntnis gibt Details über die Art der Aktivität, durch die das Ergebnis ausgelöst wurde. Die verfügbaren Informationen variieren je nach Aktionstyp.

Aktionstyp – Der Aktivitätstyp der Erkenntnis. Dieser Wert kann NETWORK_CONNECTION, PORT_PROBE, DNS_REQUEST , _CALL oder RDS_LOGIN_ATTEMPT sein. AWS_API Die verfügbaren Informationen variieren je nach Aktionstyp:

• NETWORK_CONNECTION — Zeigt an, dass Netzwerkverkehr zwischen der identifizierten Instanz und dem Remote-Host ausgetauscht wurde. EC2 Dieser Aktionstyp enthält die folgenden zusätzlichen Informationen:

  • Verbindungsrichtung — Die Netzwerkverbindungsrichtung, die bei der Aktivität beobachtet wurde, die GuardDuty zur Generierung des Ergebnisses geführt hat. Bei ihnen kann es sich um einen der folgenden Werte handeln:

    • EINGEHEND — Zeigt an, dass ein Remote-Host eine Verbindung zu einem lokalen Port auf der identifizierten EC2 Instanz in Ihrem Konto initiiert hat.

    • AUSGEHEND — Zeigt an, dass die identifizierte EC2 Instanz eine Verbindung zu einem Remote-Host initiiert hat.

    • UNKNOWN — Zeigt an, dass die Richtung der Verbindung nicht bestimmt werden GuardDuty konnte.

  • Protokoll — Das Netzwerkverbindungsprotokoll, das bei der Aktivität beobachtet wurde, die GuardDuty zur Generierung des Ergebnisses geführt hat.

  • Lokale IP – Die ursprüngliche Quell-IP-Adresse des Datenverkehrs, der die Erkenntnis ausgelöst hat. Diese Informationen können verwendet werden, um zwischen der IP-Adresse einer Zwischenebene, durch die Datenverkehr fließt, und der ursprünglichen Quell-IP-Adresse des Datenverkehrs , der die Suche ausgelöst hat, zu unterscheiden. Zum Beispiel die IP-Adresse eines EKS-Pods im Gegensatz zur IP-Adresse der Instance, auf der der EKS-Pod ausgeführt wird.

  • Blockiert – Gibt an, ob der Ziel-Port blockiert ist.

• PORT_PROBE — Zeigt an, dass ein Remote-Host die identifizierte EC2 Instanz an mehreren offenen Ports getestet hat. Dieser Aktionstyp enthält die folgenden zusätzlichen Informationen:

  • Lokale IP – Die ursprüngliche Quell-IP-Adresse des Datenverkehrs, der die Erkenntnis ausgelöst hat. Diese Informationen können verwendet werden, um zwischen der IP-Adresse einer Zwischenebene, durch die Datenverkehr fließt, und der ursprünglichen Quell-IP-Adresse des Datenverkehrs , der die Suche ausgelöst hat, zu unterscheiden. Zum Beispiel die IP-Adresse eines EKS-Pods im Gegensatz zur IP-Adresse der Instance, auf der der EKS-Pod ausgeführt wird.

  • Blockiert – Gibt an, ob der Ziel-Port blockiert ist.

• DNS_REQUEST — Zeigt an, dass die identifizierte Instanz einen Domainnamen abgefragt hat EC2 . Dieser Aktionstyp enthält die folgenden zusätzlichen Informationen:

  • Protokoll — Das Netzwerkverbindungsprotokoll, das bei der Aktivität beobachtet wurde, die zur Generierung des Ergebnisses führte GuardDuty .

  • Blockiert – Gibt an, ob der Ziel-Port blockiert ist.

• AWS_API_CALL — Zeigt an, dass eine AWS API aufgerufen wurde. Dieser Aktionstyp enthält die folgenden zusätzlichen Informationen:

  • API — Der Name des API-Vorgangs, der aufgerufen und somit GuardDuty zur Generierung dieses Ergebnisses aufgefordert wurde.

    Anmerkung

    Diese Vorgänge können auch Nicht-API-Ereignisse einschließen, die von AWS CloudTrail erfasst wurden. Weitere Informationen finden Sie unter Nicht-API-Ereignisse, die von erfasst wurden. CloudTrail

  • Benutzeragent – Der Benutzeragent, der die API-Anfrage gestellt hat. Dieser Wert gibt an, ob der Aufruf von AWS Management Console, einem AWS Dienst, dem oder dem AWS SDKs AWS CLI getätigt wurde.

  • ERROR_CODE – Wenn die Erkenntnis durch einen fehlgeschlagenen API-Aufruf ausgelöst wurde, wird der Fehlercode für diesen Aufruf angezeigt.

  • Service-Name – Der DNS-Name des Services, der versucht hat, den API-Aufruf durchzuführen, durch den die Erkenntnis ausgelöst wurde.

• RDS_LOGIN_ATTEMPT – Zeigt an, dass von einer Remote-IP-Adresse aus ein Anmeldeversuch bei der potenziell kompromittierte Datenbank unternommen wurde.

  • IP-Adresse – Die Remote-IP-Adresse, die für den potenziell verdächtigen Anmeldeversuch verwendet wurde.

Akteur oder Ziel

Eine Erkenntnis verfügt über den Abschnitt Actor, wenn die Ressourcenrolle TARGET war. Dies zeigt an, dass verdächtige Aktivitäten auf Ihre Ressource ausgerichtet waren, und der Abschnitt Actor enthält Details zur Entität, von der diese auf Ihre Ressource ausgerichtet wurden.

Eine Erkenntnis hat einen Ziel-Abschnitt, wenn die Ressourcenrolle ACTOR lautete. Dies zeigt an, dass Ihre Ressource an verdächtigen Aktivitäten gegen einen Remote-Host beteiligt war. Dieser Abschnitt enthält Informationen zur IP-Adresse und/oder Domain, auf die Ihre Ressource ausgerichtet ist.

Im Abschnitt Actor oder Ziel können folgende Informationen verfügbar sein:

• Verbunden — Gibt an, ob das AWS Konto des Remote-API-Aufrufers mit Ihrer GuardDuty Umgebung verknüpft ist. Wenn dieser Wert true ist, ist der API-Aufrufer in irgendeiner Weise Ihrem Konto zugeordnet. Falls der Wert false ist, stammt der API-Aufrufer von außerhalb Ihrer Umgebung.

• Remote-Konto-ID — Die Konto-ID, der die ausgehende IP-Adresse gehört, die für den Zugriff auf die Ressource im endgültigen Netzwerk verwendet wurde.

• IP-Adresse — Die IP-Adresse, die an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.

• Standort — Standortinformationen für die IP-Adresse, die an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.

• Organisation — Informationen zur ISP-Organisation der IP-Adresse, die an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.

• Port — Die Portnummer, die an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.

• Domain — Die Domain, die an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.

• Domain mit Suffix — Die Domain der zweiten und obersten Ebene, die an einer Aktivität beteiligt war, die möglicherweise GuardDuty zur Generierung des Ergebnisses geführt hat. Eine Liste der Domänen der obersten und zweiten Ebene finden Sie in der Liste der öffentlichen Suffixe.

Einzelheiten zur Geolokalisierung

GuardDuty bestimmt den Standort und das Netzwerk von Anfragen mithilfe von MaxMind GeoIP-Datenbanken. MaxMind meldet eine sehr hohe Genauigkeit ihrer Daten auf Landesebene, obwohl die Genauigkeit je nach Faktoren wie Land und Art der IP-Adresse variiert. Weitere Informationen MaxMind dazu finden Sie unter MaxMind IP-Geolokalisierung. Wenn Sie der Meinung sind, dass einige der GeoIP-Daten falsch sind, senden Sie eine Korrekturanfrage MaxMind an MaxMindCorrect Geo IP2 Data.

Zusätzliche Informationen

Alle Erkenntnisse verfügen über einen Abschnitt Zusätzliche Informationen, der die folgenden Informationen enthalten kann:

• Name der Bedrohungsliste — Der Name der Bedrohungsliste, die die IP-Adresse oder den Domainnamen enthält, der an der Aktivität beteiligt war, die GuardDuty zur Generierung des Fundes geführt hat.

• Beispiel – Der Wert Wahr oder Falsch, gibt an, ob es sich um ein Beispiel-Erkenntnis handelt.

• Archiviert – Der Wert Wahr oder Falsch, gibt an, ob diese Erkenntnis archiviert wurde.

• Ungewöhnlich – Aktivitätsdetails, die zuvor noch nicht beobachtet wurden. Dabei kann es sich um ungewöhnliche (zuvor nicht beobachtete) Benutzer, Standorte, Zeitpunkte, Buckets, Anmeldeverhalten oder ASN Org handeln.

• Ungewöhnliches Protokoll — Das Netzwerkverbindungsprotokoll, das an der Aktivität beteiligt war, die GuardDuty zur Generierung des Befundes geführt hat.

• Agentendetails – Details über den Sicherheitsagent, der derzeit auf dem EKS-Cluster in Ihrem AWS-Konto installiert ist. Dies gilt nur für Erkenntnistypen von der EKS-Laufzeit-Überwachung.

  • Agent-Version — Die Version des GuardDuty Security Agents.

  • Agenten-ID — Die eindeutige Kennung des GuardDuty Security Agents.

Beweise

Erkenntnisse, die auf Bedrohungsinformationen basieren, haben einen Abschnitt Beweise, der die folgenden Informationen enthält:

• Informationen zur Bedrohungsinformation — Der Name der Bedrohungsliste, auf der die erkannte Bedrohung aufgeführt Threat name ist.

• Name der Bedrohung — Der Name der Malware-Familie oder eine andere Kennung, die mit der Bedrohung verknüpft ist.

• Bedrohungsdatei SHA256 — SHA256 der Datei, die den Befund generiert hat.

Anormales Verhalten

Arten von Ergebnissen, die AnomalousBehaviorauf Folgendes enden, weisen darauf hin, dass der Befund durch das ML-Modell (Machine Learning) zur Erkennung von GuardDuty Anomalien generiert wurde. Das ML-Modell wertet alle API-Anfragen an Ihr Konto aus und identifiziert anomale Ereignisse, die mit Taktiken von Angreifern in Verbindung gebracht werden. Das ML-Modell verfolgt verschiedene Faktoren der API-Anfrage, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, und die spezifische API, die angefordert wurde.

Einzelheiten darüber, welche Faktoren der API-Anfrage für die CloudTrail Benutzeridentität, die die Anfrage aufgerufen hat, ungewöhnlich sind, finden Sie in den Ergebnisdetails. Die Identitäten werden durch das CloudTrail UserIdentity-Element definiert, und die möglichen Werte sind:Root,,, IAMUserAssumedRole, FederatedUser oder. AWSAccount AWSService

Zusätzlich zu den Informationen, die für alle GuardDuty Ergebnisse im Zusammenhang mit API-Aktivitäten verfügbar sind, enthalten die AnomalousBehaviorErgebnisse zusätzliche Details, die im folgenden Abschnitt beschrieben werden. Diese Details können in der Konsole eingesehen werden und sind auch in der JSON-Datei des Erkenntnisses verfügbar.

• Anomal APIs — Eine Liste von API-Anfragen, die von der Benutzeridentität in der Nähe der primären API-Anfrage aufgerufen wurden, die mit dem Ergebnis verknüpft ist. In diesem Bereich werden die Details des API-Erkenntnisses wie folgt weiter aufgeschlüsselt.

  • Bei der ersten aufgeführten API handelt es sich um die primäre API, d. h. um die API-Anfrage, die mit der beobachteten Aktivität mit dem höchsten Risiko verknüpft ist. Dies ist die API, welche die Erkenntnis ausgelöst hat und mit der Angriffsphase des Erkenntnistyps korreliert. Dies ist auch die API, die im Abschnitt Aktion in der Konsole und in der JSON-Datei des Erkenntnisses detailliert beschrieben wird.

  • Bei allen anderen APIs aufgelisteten Fällen handelt es sich um weitere Anomalien APIs im Vergleich zur aufgelisteten Benutzeridentität, die in der Nähe der primären API beobachtet wurden. Wenn nur eine API auf der Liste steht, hat das ML-Modell keine zusätzlichen API-Anfragen von dieser Benutzeridentität als anomal identifiziert.

  • Die Liste der APIs ist danach unterteilt, ob eine API erfolgreich aufgerufen wurde oder ob die API nicht erfolgreich aufgerufen wurde, was bedeutet, dass eine Fehlerantwort empfangen wurde. Die Art der empfangenen Fehlerantwort ist über jeder API aufgeführt, die erfolglos aufgerufen wurde. Mögliche Fehlerantworttypen sind: access denied, access denied exception, auth failure, instance limit exceeded, invalid permission - duplicate, invalid permission - not found und operation not permitted.

  • APIs werden nach dem zugehörigen Dienst kategorisiert.

  • Wenn Sie mehr Kontext benötigen, wählen Sie „Historisch“ aus, APIs um die wichtigsten Informationen zu sehen APIs, bis zu einem Maximum von 20, die in der Regel sowohl für die Benutzeridentität als auch für alle Benutzer innerhalb des Kontos angezeigt werden. Sie APIs sind als Selten (weniger als einmal pro Monat), Selten (einige Male im Monat) oder Häufig (täglich bis wöchentlich) gekennzeichnet, je nachdem, wie oft sie in Ihrem Konto verwendet werden.

• Ungewöhnliches Verhalten (Konto) – In diesem Abschnitt finden Sie zusätzliche Informationen zum profilierten Verhalten Ihres Kontos.

  Profiliertes Verhalten

  GuardDuty erfährt anhand der bereitgestellten Ereignisse kontinuierlich mehr über die Aktivitäten in Ihrem Konto. Diese Aktivitäten und ihre beobachtete Häufigkeit werden als profiliertes Verhalten bezeichnet.

  Zu den in diesem Bereich erfassten Informationen gehören:

  • ASN Org — Die Organisation mit der Autonomous System Number (ASN), von der aus der anomale API-Aufruf getätigt wurde.

  • Benutzername – Der Name des Benutzers, der den anomalen API-Aufruf ausgeführt hat.

  • Benutzeragent – Der Benutzeragent, der für den anomalen API-Aufruf verwendet wurde. Der Benutzeragent ist die Methode, mit der der Aufruf ausgeführt wird, z. B. aws-cli oder Botocore.

  • Benutzertyp – Der Typ des Benutzers, der den anomalen API-Aufruf ausgeführt hat. Mögliche Werte sind AWS_SERVICE, ASSUMED_ROLE, IAM_USER oder ROLE.

  • Bucket – Der Name des S3-Buckets, auf den zugegriffen wurde.

• Ungewöhnliches Verhalten (Benutzeridentität) – Dieser Abschnitt enthält zusätzliche Informationen zum profilierten Verhalten der Benutzeridentität, die an der Erkenntnis beteiligt war. Wenn ein Verhalten nicht als historisch identifiziert wurde, bedeutet dies, dass das GuardDuty ML-Modell diese Benutzeridentität während des Trainingszeitraums noch nicht gesehen hat, dass dieser API-Aufruf auf diese Weise ausgeführt wurde. Die folgenden zusätzlichen Details zur Benutzeridentität sind verfügbar:

  • ASN Org – Die ASN-Organisation, von der aus der anomale API-Aufruf getätigt wurde.

  • Benutzeragent – Der Benutzeragent, der für den anomalen API-Aufruf verwendet wurde. Der Benutzeragent ist die Methode, mit der der Aufruf ausgeführt wird, z. B. aws-cli oder Botocore.

  • Bucket – Der Name des S3-Buckets, auf den zugegriffen wurde.

• Ungewöhnliches Verhalten (Bucket) – Dieser Abschnitt enthält zusätzliche Informationen zum profilierten Verhalten des S3-Buckets, der mit der Erkenntnis verknüpft ist. Wenn ein Verhalten nicht als historisch identifiziert wurde, bedeutet dies, dass das GuardDuty ML-Modell innerhalb des Trainingszeitraums noch keine API-Aufrufe auf diese Weise an diesen Bucket gesendet hat. Zu den in diesem Bereich erfassten Informationen gehören:

  • ASN Org – Die ASN-Organisation, von der aus der anomale API-Aufruf getätigt wurde.

  • Benutzername – Der Name des Benutzers, der den anomalen API-Aufruf ausgeführt hat.

  • Benutzeragent – Der Benutzeragent, der für den anomalen API-Aufruf verwendet wurde. Der Benutzeragent ist die Methode, mit der der Aufruf ausgeführt wird, z. B. aws-cli oder Botocore.

  • Benutzertyp – Der Typ des Benutzers, der den anomalen API-Aufruf ausgeführt hat. Mögliche Werte sind AWS_SERVICE, ASSUMED_ROLE, IAM_USER oder ROLE.

  Anmerkung

  Weitere Informationen zu historischen Verhaltensweisen finden Sie unter Historisches Verhalten in den Abschnitten Ungewöhnliches Verhalten (Konto), Benutzer-ID oder Bucket, wo Sie Details zum erwarteten Verhalten in Ihrem Konto für jede der folgenden Kategorien anzeigen können: Selten (weniger als einmal pro Monat), Gelegentlich (einige Male pro Monat) oder Häufig (täglich bis wöchentlich), je nachdem, wie oft sie in Ihrem Konto verwendet werden.

• Ungewöhnliches Verhalten (Datenbank) – Dieser Abschnitt enthält zusätzliche Informationen zum profilierten Verhalten der Datenbank-Instance, das mit der Erkenntnis verknüpft ist. Wenn ein Verhalten nicht als historisch identifiziert wurde, bedeutet dies, dass das GuardDuty ML-Modell innerhalb des Trainingszeitraums noch keinen Anmeldeversuch auf diese Weise bei dieser Datenbankinstanz festgestellt hat. Zu den Informationen, die für diesen Abschnitt im Erkenntnisbereich verfolgt werden, gehören:

  • Benutzer – Der Benutzername, der für den anomalen Anmeldeversuch verwendet wurde.

  • ASN Org – Die ASN-Organisation, von der aus der anomale API-Aufruf getätigt wurde.

  • Anwendung – Der Anwendungsname, der für den anomalen Anmeldeversuch verwendet wurde.

  • Datenbank – Der Name der Datenbank-Instance, die an dem anomalen Anmeldeversuch beteiligt war.

  Der Abschnitt Historisches Verhalten bietet mehr Kontext zu den zuvor beobachteten Benutzernamen, ASN-Organisationen, Anwendungsnamen und Datenbanknamen für die zugehörige Datenbank. Jedem Einzelwert ist eine Anzahl zugeordnet, die angibt, wie oft dieser Wert bei einer erfolgreichen Anmeldung beobachtet wurde.

• Ungewöhnliches Verhalten (Konto-Kubernetes-Cluster, Kubernetes-Namespace und Kubernetes-Benutzername) – In diesem Abschnitt finden Sie zusätzliche Informationen zum profilierten Verhalten des Kubernetes-Clusters und des mit der Erkenntnis verbundenen Namespaces. Wenn ein Verhalten nicht als historisch identifiziert wird, bedeutet dies, dass das GuardDuty ML-Modell diesen Account, Cluster, Namespace oder Benutzernamen zuvor nicht auf diese Weise beobachtet hat. Zu den Informationen, die für diesen Abschnitt im Erkenntnisbereich verfolgt werden, gehören:

  • Benutzername – Der Benutzer, der die der Erkenntnis zugeordnete Kubernetes-API aufgerufen hat.

  • Impersonierter Nutzername – Der Benutzer, für den sich username ausgibt.

  • Namespace – Der Kubernetes-Namespace innerhalb des Amazon-EKS-Clusters, in dem die Aktion stattgefunden hat.

  • Benutzeragent – Der Benutzeragent, der dem Kubernetes-API-Aufruf zugeordnet ist. Der Benutzeragent ist die Methode, mit der der Aufruf ausgeführt wird, z. B. kubectl.

  • API – Die Kubernetes-API, die von username innerhalb des Amazon-EKS-Clusters aufgerufen wird.

  • ASN-Informationen – Die ASN-Informationen, wie Organisation und ISP, die der IP-Adresse des Benutzers zugeordnet sind, der diesen Aufruf tätigt.

  • Wochentag – Der Wochentag, an dem der Kubernetes-API-Aufruf getätigt wurde.

  • Permission — Das Kubernetes-Verb und die Ressource, die auf Zugriff geprüft werden, geben an, ob sie die Kubernetes-API verwenden username können oder nicht.

  • Dienstkontoname — Das dem Kubernetes-Workload zugeordnete Dienstkonto, das dem Workload eine Identität verleiht.

  • Registrierung — Die Container-Registry, die dem Container-Image zugeordnet ist, das im Kubernetes-Workload bereitgestellt wird.

  • Image — Das Container-Image ohne die zugehörigen Tags und Digest, das im Kubernetes-Workload bereitgestellt wird.

  • Image-Präfix-Konfiguration — Das Image-Präfix mit aktivierter Container- und Workload-Sicherheitskonfiguration, z. B. hostNetwork oderprivileged, für den Container, der das Image verwendet.

  • Betreffname — Die Subjekte, wie z. B. a usergroup, oder, serviceAccountName die an eine Referenzrolle in einem RoleBinding oder gebunden sindClusterRoleBinding.

  • Rollenname — Der Name der Rolle, die an der Erstellung oder Änderung von Rollen oder der roleBinding API beteiligt ist.

Volumenbezogene S3-Anomalien

In diesem Abschnitt werden die Kontextinformationen für volumenbasierte S3-Anomalien detailliert beschrieben. Die volumenbasierte Erkenntnis (Exfiltration:S3/AnomalousBehavior) überwacht, ob Benutzer ungewöhnlich viele S3-API-Aufrufe an die S3-Buckets tätigen, was auf eine mögliche Datenexfiltration hindeutet. Die folgenden S3-API-Aufrufe werden im Hinblick auf die volumenbasierte Erkennung von Anomalien überwacht.

• GetObject

• CopyObject.Read

• SelectObjectContent

Die folgenden Metriken würden dabei helfen, eine Grundlage für das übliche Verhalten zu schaffen, wenn eine IAM-Entität auf einen S3-Bucket zugreift. Um Datenexfiltration zu erkennen, werden bei der volumenbasierten Erkennung von Anomalien alle Aktivitäten anhand der üblichen Verhaltensgrundlagen bewertet. Wählen Sie die Option Historisches Verhalten in den Abschnitten Ungewöhnliches Verhalten (Benutzeridentität), Beobachtetes Volumen (Benutzeridentität) und Beobachtetes Volumen (Bucket) aus, um jeweils die folgenden Metriken anzuzeigen.

• Anzahl der s3-api-name-API-Aufrufe, die von dem IAM-Benutzer oder der IAM-Rolle (je nachdem, welche ausgestellt wurde), der/die dem betroffenen S3-Bucket zugeordnet ist, in den letzten 24 Stunden durchgeführt wurden.

• Anzahl der s3-api-name-API-Aufrufe, die vom IAM-Benutzer oder von der IAM-Rolle (je nachdem, welche ausgestellt wurde) der/die allen S3-Buckets zugeordnet ist, in den letzen 24 Stunden durchgeführt wurden.

• Anzahl der s3-api-name-API-Aufrufe über alle IAM-Benutzer oder IAM-Rollen (je nachdem, welche ausgestellt wurden), die dem betroffenen S3-Bucket zugeordnet sind, in den letzten 24 Stunden durchgeführt wurden.

Anomalien aufgrund von RDS-Anmeldeaktivitäten

In diesem Abschnitt wird die Anzahl der Anmeldeversuche des ungewöhnlichen Akteurs detailliert beschrieben und nach den Ergebnissen der Anmeldeversuche gruppiert. Die Erkenntnistypen für RDS Protection identifizieren anomales Verhalten, indem sie die Anmeldeereignisse auf ungewöhnliche Muster von successfulLoginCount, failedLoginCount und incompleteConnectionCount überwachen.

• successfulLoginCount— Dieser Zähler stellt die Summe der erfolgreichen Verbindungen (richtige Kombination von Anmeldeattributen) dar, die der ungewöhnliche Akteur mit der Datenbankinstanz hergestellt hat. Zu den Anmeldeattributen gehören Benutzername, Passwort und Datenbankname.

• failedLoginCount— Dieser Zähler stellt die Summe der fehlgeschlagenen (erfolglosen) Anmeldeversuche dar, die unternommen wurden, um eine Verbindung zur Datenbankinstanz herzustellen. Dies weist darauf hin, dass ein oder mehrere Attribute der Anmeldekombination, wie Benutzername, Passwort oder Datenbankname, falsch waren.

• incompleteConnectionCount— Dieser Zähler stellt die Anzahl der Verbindungsversuche dar, die nicht als erfolgreich oder gescheitert eingestuft werden können. Diese Verbindungen werden geschlossen, bevor die Datenbank eine Antwort liefert. Beispielsweise Port-Scanning, bei dem der Datenbank-Port zwar verbunden ist, aber keine Information an die Datenbank gesendet wird, oder die Verbindung vor Abschluss der Anmeldung entweder erfolgreich oder fehlgeschlagen abgebrochen wurde.