Die GuardDuty Ergebnisse von Amazon verstehen - Amazon GuardDuty
GuardDuty Schweregrade der ErgebnisseGuardDuty Aggregation findenAuffinden und Analysieren von Ergebnissen GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die GuardDuty Ergebnisse von Amazon verstehen

Ein GuardDuty Ergebnis steht für ein potenzielles Sicherheitsproblem, das in Ihrem Netzwerk erkannt wurde. GuardDutygeneriert immer dann einen Befund, wenn unerwartete und potenziell bösartige Aktivitäten in Ihrer AWS Umgebung entdeckt werden.

Sie können Ihre GuardDuty Ergebnisse auf der Ergebnisseite in der GuardDuty Konsole oder mithilfe der API-Operationen AWS CLI oder anzeigen und verwalten. Einen Überblick über die Möglichkeiten zur Verwaltung von Erkenntnissen finden Sie unter Verwaltung der GuardDuty Amazon-Ergebnisse.

Themen:

Erkenntnisdetails

Erfahren Sie mehr über die Details zu den GuardDuty Ergebnissen, die in Ihrem Konto generiert werden.

GuardDuty-Erkenntnisformat

Machen Sie sich mit dem Format der GuardDuty Erkennungstypen und den verschiedenen Bedrohungszwecken vertraut, die von verfolgt werden GuardDuty.

Beispielergebnisse

Versuchen Sie, Stichprobenergebnisse zu generieren, um die GuardDuty Ergebnisse und die zugehörigen Details zu testen und zu verstehen. Diese Ergebnisse sind mit dem Präfix [SAMPLE] gekennzeichnet.

GuardDuty Testergebnisse in speziellen Konten

Führen Sie ein guardduty-tester Skript in einem speziellen Nicht-Produktionsumfeld aus AWS-Konto , um ausgewählte GuardDuty Ergebnisse in Ihrer AWS Umgebung zu generieren.

Erkenntnistypen

Alle verfügbaren GuardDuty Ergebnisse nach Typ anzeigen und durchsuchen. Jeder Erkenntnistypeintrag enthält eine Erläuterung der betreffenden Erkenntnis sowie Tipps und Vorschläge für die Behebung.

GuardDuty Schweregrade der Ergebnisse

Jedem GuardDuty Ergebnis ist ein Schweregrad und ein Wert zugewiesen, der das von unseren Sicherheitstechnikern festgestellte potenzielle Risiko für Ihr Netzwerk widerspiegelt. Der Wert des Schweregrads kann an beliebiger Stelle im Bereich von 1,0 bis 8,9 liegen, wobei höhere Werte auf ein höheres Sicherheitsrisiko hinweisen. Um Ihnen dabei zu helfen, eine Reaktion auf ein potenzielles Sicherheitsproblem zu finden, das durch ein Ergebnis hervorgehoben GuardDuty wird, wird dieser Bereich in die Schweregrade Hoch, Mittel und Niedrig unterteilt.

Anmerkung

Die Werte 0 und 9,0 bis 10,0 sind für die zukünftige Verwendung reserviert.

Im Folgenden sind die derzeit definierten Schweregrade und Werte für die GuardDuty Ergebnisse sowie allgemeine Empfehlungen für die einzelnen Ergebnisse aufgeführt:

Schweregrad Wertebereich

Hoch

7,0 — 8,9

Der Schweregrad „Hoch“ weist darauf hin, dass die fragliche Ressource (z. B. eine EC2-Instance oder eine Gruppe von IAM-Benutzeranmeldeinformationen) erfolgreich angegriffen wurde und aktiv für unbefugte Zwecke verwendet wird.

Es wird empfohlen, dass Sie Sicherheitsprobleme mit hohem Schweregrad als Priorität behandeln und sofortige Korrekturmaßnahmen ergreifen, um eine weitere unbefugte Nutzung Ihrer Ressourcen zu verhindern. Bereinigen oder beenden Sie Ihre EC2 Instance, oder rotieren Sie die IAM-Anmeldeinformationen. Weitere Informationen finden Sie unter Schritte zur Abhilfe.

Mittel

4,0 - 6,9

Ein mittlerer Schweregrad weist auf verdächtige Aktivitäten hin, die vom normalerweise beobachteten Verhalten abweichen und je nach Anwendungsfall auf eine Ressourcenkomprimettierung hinweisen können.

Wir empfehlen Ihnen, die betroffene Ressource so bald wie möglich zu untersuchen. Die Schritte zur Abhilfe variieren je nach Ressource und Ergebnisfamilie. Im Allgemeinen sollten Sie jedoch prüfen, ob die Aktivität autorisiert ist und mit Ihrem Anwendungsfall übereinstimmt. Wenn Sie die Ursache nicht identifizieren oder nicht bestätigen können, dass die Aktivität autorisiert wurde, sollten Sie die Ressource als kompromittiert betrachten und zum Sichern der Ressource die Schritte zur Abhilfe befolgen.

Hier sind einige Dinge, die Sie bei der Überprüfung eines Ergebnisses mittleren Schweregrades beachten sollten:

  • Prüfen Sie, ob ein autorisierter Benutzer neue Software installiert hat, die das Verhalten einer Ressource ändert (z. B. mehr Datenverkehr als normal zugelassen oder die Kommunikation über einen neuen Port aktiviert hat).

  • Überprüfen Sie, ob ein autorisierter Benutzer die Einstellungen für die Systemsteuerung (z. B. eine Sicherheitsgruppeneinstellung) geändert hat.

  • Führen Sie eine Virenprüfung der betroffenen Ressource durch, um nicht autorisierte Software zu erkennen.

  • Überprüfen Sie die Berechtigungen, die mit der betroffenen IAM-Rolle, dem Benutzer, der Gruppe oder den Anmeldeinformationen verbunden sind. Möglicherweise müssen diese geändert oder rotiert werden.

Niedrig

1,0 - 3,9

Ein niedriger Schweregrad weist auf versuchte verdächtige Aktivitäten hin, die Ihr Netzwerk nicht gefährdet haben, z. B. einen Port-Scan oder einen fehlgeschlagenen Eindringungsversuch.

Es gibt keine empfohlene Sofortmaßnahme, aber es lohnt sich, diesen Informationen Beachtung zu schenken, da dies möglicherweise darauf hindeutet, dass jemand nach Schwachstellen in Ihrem Netzwerk sucht.

GuardDuty Aggregation finden

Alle Ergebnisse sind dynamisch, d. h., wenn eine neue Aktivität im Zusammenhang mit demselben Sicherheitsproblem GuardDuty erkannt wird, wird das ursprüngliche Ergebnis mit den neuen Informationen aktualisiert, anstatt ein neues Ergebnis zu generieren. Dieses Verhalten ermöglicht es Ihnen, laufende Probleme zu identifizieren, ohne mehrere ähnliche Berichte durchsehen zu müssen, und reduziert insgesamt das ausgelöste Rauschen durch Sicherheitsprobleme, die Ihnen bereits bekannt sind.

Zum Beispiel werden bei einer UnauthorizedAccess:EC2/SSHBruteForce-Erkenntnis mehrere Zugriffsversuche auf Ihre Instance unter derselben Erkenntnis-ID zusammengefasst, wodurch sich die Anzahl in den Details der Erkenntnis erhöht. Dies liegt daran, dass dieses Ergebnis ein einziges Sicherheitsproblem darstellt, wobei die Instance anzeigt, dass der SSH-Port auf der Instance nicht ordnungsgemäß vor dieser Art von Aktivität geschützt ist. Wenn jedoch SSH-Zugriffsaktivitäten GuardDuty erkannt werden, die auf eine neue Instanz in Ihrer Umgebung abzielen, wird ein neues Ergebnis mit einer eindeutigen Befund-ID erstellt, um Sie darauf hinzuweisen, dass mit der neuen Ressource ein Sicherheitsproblem verbunden ist.

Wenn eine Erkenntnis aggregiert wird, wird sie mit Informationen aus dem letzten Ereignis dieser Aktivität aktualisiert. Das bedeutet, dass im obigen Beispiel, wenn Ihre Instance das Ziel eines Brute-Force-Versuchs von einem neuen Akteur ist, die Erkenntnisdetails aktualisiert werden, um die Remote-IP der jüngsten Quelle wiederzugeben, und ältere Informationen ersetzt werden. Vollständige Informationen zu einzelnen Aktivitätsversuchen sind weiterhin in Ihren CloudTrail oder VPC Flow Logs verfügbar.

Die Kriterien, GuardDuty nach denen ein neues Ergebnis generiert wird, anstatt ein vorhandenes zu aggregieren, hängen vom Typ des Ergebnisses ab. Die Aggregationskriterien für jeden Ergebnistyp werden von unseren Sicherheitstechnikern festgelegt, um Ihnen den besten Überblick über verschiedene Sicherheitsprobleme in Ihrem Konto zu geben.

Auffinden und Analysieren von Ergebnissen GuardDuty

Gehen Sie wie folgt vor, um Ihre GuardDuty Ergebnisse anzusehen und zu analysieren.

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Klicken Sie auf Ergebnisse und wählen Sie dann ein bestimmtes Ergebnis aus, um sich die Details anzeigen zu lassen.

    Die Details für jede Erkenntnis unterscheiden sich je nach Erkenntnistyp, betroffenen Ressourcen und Art der Aktivität. Weitere Informationen zu verfügbaren Ergebnisfeldern finden Sie unter Erkenntnisdetails.

  3. (Optional) Wenn Sie eine Erkenntnis archivieren möchten, wählen Sie sie aus der Liste Ihrer Erkenntnisse aus und wählen Sie dann das Menü Aktionen. Wählen Sie dann Archivieren.

    Archivierte Erkenntnisse können angezeigt werden, indem Sie in der Dropdownliste Aktuell die Option Archiviert auswählen.

    Derzeit können GuardDuty Benutzer von GuardDuty Mitgliedskonten keine Ergebnisse archivieren.

    Wichtig

    Wenn Sie ein Ergebnis manuell mit dem oben beschriebenen Verfahren archivieren, werden alle nachfolgenden Vorkommen dieses Ergebnisses (die nach Abschluss der Archivierung generiert werden) der Liste Ihrer aktuellen Ergebnisse hinzugefügt. Wenn dieses Ergebnis nie in Ihrer aktuellen Liste angezeigt werden soll, können Sie es automatisch archivieren. Weitere Informationen finden Sie unter Unterdrückungsregeln.

  4. (Optional) Zum Herunterzuladen eines Ergebnisses wählen Sie es in der Ergebnisliste aus und öffnen dann das Menü Aktionen. Wählen Sie dann Exportieren. Wenn Sie ein Ergebnis mit Export (Exportieren) exportieren, können Sie sein vollständiges JSON-Dokument einsehen.

    Anmerkung

    In einigen Fällen GuardDuty wird ihm bewusst, dass es sich bei bestimmten Ergebnissen um falsch positive Ergebnisse handelt, nachdem sie generiert wurden. GuardDuty stellt ein Konfidenzfeld in der JSON-Datei des Ergebnisses bereit und setzt dessen Wert auf Null. Auf diese Weise GuardDuty wissen Sie, dass Sie solche Ergebnisse getrost ignorieren können.