Erste Schritte mit GuardDuty - Amazon GuardDuty
Bevor Sie beginnenSchritt 1: Amazon aktivieren GuardDutySchritt 2: Beispiel-Erkenntnisse generieren und die grundlegenden Abläufe erkundenSchritt 3: Konfigurieren Sie den Export von GuardDuty Ergebnissen in einen Amazon S3 S3-Bucket Schritt 4: Richten Sie GuardDuty Suchwarnungen ein über SNS Nächste Schritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit GuardDuty

Dieses Tutorial bietet eine praktische Einführung in. GuardDuty Die Mindestanforderungen für die Aktivierung GuardDuty als eigenständiges Konto oder als GuardDuty Administrator mit AWS Organizations werden in Schritt 1 behandelt. Die Schritte 2 bis 5 behandeln die Verwendung zusätzlicher Funktionen, die von empfohlen werden GuardDuty , um das Beste aus Ihren Ergebnissen herauszuholen.

Bevor Sie beginnen

GuardDuty ist ein Dienst zur Bedrohungserkennung, der GuardDuty grundlegende Datenquellen beispielsweise AWS CloudTrail Ereignisprotokolle, AWS CloudTrail Verwaltungsereignisse, Amazon VPC Flow Logs und DNS Protokolle überwacht. GuardDutyanalysiert auch Funktionen, die mit seinen Schutztypen verknüpft sind, nur wenn Sie sie separat aktivieren. Zu den Funktionen gehören Kubernetes-Auditprotokolle, RDS Anmeldeaktivitäten, S3-Protokolle, EBS Volumes, Laufzeitüberwachung und Lambda-Netzwerkaktivitätsprotokolle. Durch die Verwendung dieser Datenquellen und Funktionen (falls aktiviert) werden Sicherheitsergebnisse für Ihr Konto GuardDuty generiert.

Nach der Aktivierung beginnt GuardDuty es mit der Überwachung Ihrer Umgebung. Sie können GuardDuty die Option für jedes Konto in jeder Region jederzeit deaktivieren. Dadurch werden die grundlegenden Datenquellen und alle Funktionen, die separat aktiviert wurden, nicht mehr GuardDuty verarbeitet.

Sie müssen keine der GuardDuty grundlegende Datenquellen explizit aktivieren. Wenn Sie S3 Protection aktivieren, müssen Sie die Amazon S3 S3-Datenereignisprotokollierung nicht explizit aktivieren. Ebenso müssen Sie, wenn Sie EKS den Schutz aktivieren, die EKS Amazon-Audit-Logs nicht explizit aktivieren. Amazon GuardDuty bezieht unabhängige Datenströme direkt von diesen Diensten. Für ein neues GuardDuty Konto sind einige der verfügbaren Schutzarten, die in einem unterstützt werden, AWS-Region standardmäßig aktiviert und in der 30-tägigen kostenlosen Testphase enthalten. Sie können einen oder alle von ihnen deaktivieren. Wenn Sie bereits AWS-Konto mit GuardDuty aktiviert sind, können Sie wählen, ob Sie einige oder alle Schutzpläne aktivieren möchten, die in Ihrer Region verfügbar sind. Eine Übersicht über die Schutzpläne und darüber, welche Schutzpläne standardmäßig aktiviert werden, finden Sie unterPreisgestaltung in GuardDuty.

Beachten Sie bei der Aktivierung GuardDuty die folgenden Punkte:

  • GuardDuty ist ein regionaler Dienst, was bedeutet, dass alle Konfigurationsverfahren, die Sie auf dieser Seite ausführen, in jeder Region, mit der Sie überwachen möchten, wiederholt werden müssen GuardDuty.

    Wir empfehlen dringend, die Aktivierung GuardDuty in allen unterstützten AWS Regionen durchzuführen. Auf diese Weise können GuardDuty auch in Regionen, die Sie nicht aktiv nutzen, Erkenntnisse über unbefugte oder ungewöhnliche Aktivitäten generiert werden. Dies ermöglicht auch GuardDuty die Überwachung von AWS CloudTrail Ereignissen für globale AWS Dienste wieIAM. Wenn diese Option nicht in allen unterstützten Regionen aktiviert GuardDuty ist, ist ihre Fähigkeit zur Erkennung von Aktivitäten, die globale Dienste betreffen, eingeschränkt. Eine vollständige Liste der Regionen, in denen GuardDuty es verfügbar ist, finden Sie unterRegionen und Endpunkte.

  • Jeder Benutzer mit Administratorrechten in einem AWS Konto kann diese Option aktivieren GuardDuty. Gemäß der bewährten Sicherheitsmethode der geringsten Rechte wird jedoch empfohlen, dass Sie eine IAM Rolle, einen Benutzer oder eine Gruppe erstellen, die GuardDuty speziell verwaltet werden soll. Informationen zu den für die Aktivierung erforderlichen Berechtigungen GuardDuty finden Sie unterErforderliche Berechtigungen zum Aktivieren von GuardDuty.

  • Wenn Sie die GuardDuty Option zum ersten Mal in einer beliebigen AWS-Region Region aktivieren, werden standardmäßig auch alle verfügbaren Schutztypen aktiviert, die in dieser Region unterstützt werden, einschließlich Malware-Schutz fürEC2. GuardDuty erstellt eine dienstverknüpfte Rolle für Ihr Konto mit dem Namen. AWSServiceRoleForAmazonGuardDuty Diese Rolle umfasst die Berechtigungen und Vertrauensrichtlinien, die es ermöglichen, Ereignisse direkt aus GuardDuty dem zu verarbeiten und zu analysieren, GuardDuty grundlegende Datenquellen um daraus Sicherheitsresultate zu generieren. Malware Protection for EC2 erstellt eine weitere dienstbezogene Rolle für Ihr Konto mit dem Namen. AWSServiceRoleForAmazonGuardDutyMalwareProtection Diese Rolle umfasst die Berechtigungen und Vertrauensrichtlinien, die es Malware Protection for ermöglichen, Scans ohne Agenten EC2 durchzuführen, um Malware in Ihrem Konto zu erkennen. GuardDuty Sie ermöglicht es GuardDuty , einen EBS Volume-Snapshot in Ihrem Konto zu erstellen und diesen Snapshot mit dem GuardDuty Dienstkonto zu teilen. Weitere Informationen finden Sie unter Dienstbezogene Rollenberechtigungen für GuardDuty. Weitere Informationen zu serviceverknüpften Rollen finden Sie unter Verwenden serviceverknüpfter Rollen.

  • Wenn Sie Ihr Konto GuardDuty zum ersten Mal in einer Region aktivieren, wird Ihr AWS Konto automatisch für eine GuardDuty kostenlose 30-Tage-Testversion für diese Region registriert.

Im folgenden Video wird erklärt, wie Sie mit einem Administratorkonto beginnen GuardDuty und es für mehrere Mitgliedskonten aktivieren können.

Schritt 1: Amazon aktivieren GuardDuty

Der erste Schritt zur Verwendung GuardDuty besteht darin, es in Ihrem Konto zu aktivieren. Nach der Aktivierung GuardDuty wird sofort mit der Überwachung auf Sicherheitsbedrohungen in der aktuellen Region begonnen.

Wenn Sie die GuardDuty Ergebnisse für andere Konten innerhalb Ihrer Organisation als GuardDuty Administrator verwalten möchten, müssen Sie Mitgliedskonten hinzufügen und diese ebenfalls aktivieren GuardDuty .

Anmerkung

Wenn Sie den GuardDuty Malware-Schutz für S3 ohne Aktivierung aktivieren möchten GuardDuty, finden Sie die entsprechenden Schritte unterGuardDuty Malware-Schutz für S3.

Standalone account environment

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/

  2. Wählen Sie die Option Amazon GuardDuty — Alle Funktionen.

  3. Wählen Sie Erste Schritte.

  4. Sehen Sie sich auf der GuardDuty Seite Willkommen bei die Servicebedingungen an. Wählen Sie Aktivieren GuardDuty.

Multi-account environment
Wichtig

Voraussetzung für diesen Prozess ist, dass Sie derselben Organisation angehören wie alle Konten, die Sie verwalten möchten, und Zugriff auf das AWS Organizations Verwaltungskonto haben, um einen Administrator GuardDuty innerhalb Ihrer Organisation delegieren zu können. Für die Delegierung eines Administrators sind möglicherweise zusätzliche Berechtigungen erforderlich. Weitere Informationen finden Sie unter Für die Benennung eines delegierten GuardDuty Administratorkontos sind Berechtigungen erforderlich.

Um ein GuardDuty delegiertes Administratorkonto zu bestimmen

  1. Öffnen Sie die AWS Organizations Konsole unter https://console.aws.amazon.com/organizations/und verwenden Sie das Verwaltungskonto.

  2. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

    Ist in Ihrem Konto GuardDuty bereits aktiviert?

    • Falls GuardDuty es noch nicht aktiviert ist, können Sie Erste Schritte auswählen und dann auf der Seite Willkommen GuardDuty bei einen GuardDuty delegierten Administrator benennen.

    • Wenn diese Option aktiviert GuardDuty ist, können Sie auf der Seite „Einstellungen“ einen GuardDuty delegierten Administrator festlegen.

  3. Geben Sie die zwölfstellige AWS Konto-ID des Kontos ein, das Sie als delegierten Administrator für die Organisation festlegen möchten, und wählen Sie GuardDuty Delegieren aus.

    Anmerkung

    Falls dies noch nicht aktiviert GuardDuty ist, wird durch die Benennung eines delegierten Administrators die Aktivierung GuardDuty für dieses Konto in Ihrer aktuellen Region aktiviert.

So fügen Sie Mitgliedskonten hinzu

Dieses Verfahren umfasst das Hinzufügen von Mitgliederkonten zu einem GuardDuty delegierten Administratorkonto durch. AWS Organizations Es besteht auch die Möglichkeit, Mitglieder auf Einladung hinzuzufügen. Weitere Informationen zu beiden Methoden zum Zuordnen von Mitgliedern finden Sie GuardDuty unter. Mehrere Konten bei Amazon GuardDuty

  1. Melden Sie sich im delegierten Administratorkonto an

  2. Öffnen Sie die GuardDuty Konsole unter. https://console.aws.amazon.com/guardduty/

  3. Wählen Sie im Navigationsbereich Settings (Einstellungen) und dann Accounts (Konten) aus.

    In der Kontentabelle werden alle Konten in der Organisation angezeigt.

  4. Wählen Sie die Konten aus, die Sie als Mitglieder hinzufügen möchten, indem Sie das Kontrollkästchen neben der Konto-ID aktivieren. Wählen Sie dann im Menü Aktion die Option Mitglied hinzufügen.

    Tipp

    Sie können das Hinzufügen neuer Konten als Mitglieder mit dem Feature Automatisch aktivieren automatisieren. Dies gilt jedoch nur für Konten, die Ihrer Organisation beitreten, nachdem das Feature aktiviert wurde.

Schritt 2: Beispiel-Erkenntnisse generieren und die grundlegenden Abläufe erkunden

Wenn ein Sicherheitsproblem GuardDuty entdeckt wird, wird ein Befund generiert. Ein GuardDuty Befund ist ein Datensatz, der Details zu diesem speziellen Sicherheitsproblem enthält. Die Einzelheiten der Erkenntnis können Ihnen bei der Untersuchung des Problems helfen.

GuardDuty unterstützt die Generierung von Stichprobenergebnissen mit Platzhalterwerten, anhand derer Sie die GuardDuty Funktionalität testen und sich mit den Ergebnissen vertraut machen können, bevor Sie auf ein echtes Sicherheitsproblem reagieren müssen, das von entdeckt wurde. GuardDuty Folgen Sie der nachstehenden Anleitung, um Beispielergebnisse für jeden Befundtyp zu generieren GuardDuty, der unter verfügbar ist. Weitere Möglichkeiten zur Generierung von Stichprobenergebnissen, einschließlich der Generierung eines simulierten Sicherheitsereignisses in Ihrem Konto, finden Sie unter. Beispielergebnisse

So erstellen und untersuchen Sie Beispiel-Erkenntnisse

  1. Wählen Sie im Navigationsbereich Settings (Einstellungen).

  2. Klicken Sie auf der Seite Settings unter Sample findings auf Generate sample findings.

  3. Wählen Sie im Navigationsbereich Zusammenfassung aus, um die in Ihrer AWS Umgebung generierten Erkenntnisse zu den Ergebnissen anzuzeigen. Weitere Informationen zu den Komponenten des Übersichts-Dashboards finden Sie unter Übersichts-Dashboard in Amazon GuardDuty.

  4. Wählen Sie im Navigationsbereich Findings aus. Die Beispielergebnisse werden auf der Seite Aktuelle Ergebnisse mit dem Präfix [SAMPLE] angezeigt.

  5. Wählen Sie eine Erkenntnis aus der Liste aus, um Details zur Erkenntnis anzuzeigen.

    1. Sie können die verschiedenen Informationsfelder überprüfen, die im Bereich mit den Erkenntnisdetails verfügbar sind. Verschiedene Arten von Erkenntnissen können unterschiedliche Felder haben. Weitere Informationen zu den verfügbaren Feldern für alle Erkenntnistypen finden Sie unter Erkenntnisdetails. In der Detailansicht können Sie die folgenden Aktionen durchführen:

      • Wählen Sie oben im Bereich die Ergebnis-ID aus, um die vollständigen JSON Details zum Ergebnis zu öffnen. Die vollständige JSON Datei kann auch von diesem Panel heruntergeladen werden. Das JSON enthält einige zusätzliche Informationen, die nicht in der Konsolenansicht enthalten sind, und ist das Format, das von anderen Tools und Diensten aufgenommen werden kann.

      • Sehen Sie sich den Abschnitt Betroffene Ressource an. In einem echten Fall helfen Ihnen die Informationen hier dabei, eine Ressource in Ihrem Konto zu identifizieren, die untersucht werden sollte, und sie enthalten Links zu den entsprechenden AWS Management Console oder umsetzbaren Ressourcen.

      • Wählen Sie das + oder - beim Lupensymbol, um einen inklusiven oder exklusiven Filter für dieses Detail zu erstellen. Weitere Informationen zu Filtern finden Sie unter Gefilterte Ergebnisse anzeigen in GuardDuty.

  6. Archivieren Sie all Ihre Beispiel-Erkenntnisse

    1. Wählen Sie alle Erkenntnisse aus, indem Sie das Kontrollkästchen oben in der Liste aktivieren.

    2. Deaktivieren Sie alle Erkenntnisse, die Sie behalten möchten.

    3. Wählen Sie das Menü Aktionen und dann Archivieren, um die Beispiel-Erkenntnisse auszublenden.

      Anmerkung

      Um die archivierten Erkenntnisse anzuzeigen, wählen Sie Aktuell und dann Archiviert, um zur Erkenntnisansicht zu wechseln.

Schritt 3: Konfigurieren Sie den Export von GuardDuty Ergebnissen in einen Amazon S3 S3-Bucket

GuardDuty empfiehlt, Einstellungen für den Export von Ergebnissen zu konfigurieren, da Sie so Ihre Ergebnisse in einen S3-Bucket exportieren können, um sie nach Ablauf der Aufbewahrungsfrist von GuardDuty 90 Tagen auf unbestimmte Zeit zu speichern. Auf diese Weise können Sie Aufzeichnungen über die Ergebnisse führen oder Probleme in Ihrer AWS Umgebung im Laufe der Zeit verfolgen. Der hier beschriebene Prozess führt Sie durch die Einrichtung eines neuen S3-Buckets und die Erstellung eines neuen KMS Schlüssels zur Verschlüsselung der Ergebnisse von der Konsole aus. Weitere Informationen dazu, wie Sie Ihren eigenen vorhandenen Bucket oder einen Bucket in einem anderen Konto verwenden können, finden Sie unter Generierte Ergebnisse nach Amazon S3 exportieren.

So konfigurieren Sie die Option zum Export von Erkenntnissen an S3

  1. Um die Ergebnisse zu verschlüsseln, benötigen Sie einen KMS Schlüssel mit einer Richtlinie, die die Verwendung dieses Schlüssels für die Verschlüsselung ermöglicht GuardDuty . Die folgenden Schritte helfen Ihnen dabei, einen neuen KMS Schlüssel zu erstellen. Wenn Sie einen KMS Schlüssel von einem anderen Konto verwenden, müssen Sie die Schlüsselrichtlinie anwenden, indem Sie sich bei dem Konto anmelden AWS-Konto , dem der Schlüssel gehört. Die Region Ihres KMS Schlüssels und Ihres S3-Buckets müssen identisch sein. Sie können jedoch dasselbe Bucket und Schlüsselpaar für jede Region verwenden, aus der Sie Erkenntnisse exportieren möchten.

    1. Öffnen Sie die AWS KMS Konsole unter https://console.aws.amazon.com/kms.

    2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

    3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

    4. Klicken Sie auf Create key.

    5. Wählen Sie unter Schlüsseltyp die Option Symmetrisch und dann Weiter.

      Anmerkung

      Eine ausführliche Anleitung zur Erstellung Ihres KMS Schlüssels finden Sie unter Schlüssel erstellen im AWS Key Management Service Entwicklerhandbuch.

    6. Geben Sie einen Alias für Ihren Schlüssel ein und wählen Sie dann Weiter aus.

    7. Wählen Sie Weiter und dann erneut Weiter, um die standardmäßigen Verwaltungs- und Nutzungsberechtigungen zu akzeptieren.

    8. Nachdem Sie die Konfiguration überprüft haben, wählen Sie Fertigstellen, um den Schlüssel zu erstellen.

    9. Wählen Sie auf der Seite Vom Kunden verwaltete Schlüssel Ihren Schlüsselalias aus.

    10. Wählen Sie im Abschnitt Schlüsselrichtlinie die Option Zur Richtlinienansicht wechseln aus.

    11. Wählen Sie Bearbeiten und fügen Sie Ihrem KMS Schlüssel die folgende Schlüsselrichtlinie hinzu, um GuardDuty Zugriff auf Ihren Schlüssel zu gewähren. Diese Anweisung erlaubt es GuardDuty , nur den Schlüssel zu verwenden, zu dem Sie diese Richtlinie hinzufügen. Stellen Sie beim Bearbeiten der Schlüsselrichtlinie sicher, dass die JSON Syntax gültig ist. Wenn Sie die Anweisung vor der finalen Anweisung hinzufügen, müssen Sie nach der schließenden Klammer ein Komma hinzufügen.

      {    
    "Sid": "AllowGuardDutyKey",
    "Effect": "Allow",
    "Principal": {
        "Service": "guardduty.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "arn:aws:kms:Region1:444455556666:key/KMSKeyId",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "111122223333",
            "aws:SourceArn": "arn:aws:guardduty:Region2:111122223333:detector/SourceDetectorID"	
        }
    }
}

      Ersetzen Region1 mit der Region Ihres KMS Schlüssels. Ersetzen 444455556666 mit dem AWS-Konto , dem der KMS Schlüssel gehört. Ersetzen KMSKeyId mit der Schlüssel-ID des KMS Schlüssels, den Sie für die Verschlüsselung ausgewählt haben. Um all diese Werte — Region, und Schlüssel-ID — zu identifizieren AWS-Konto, sehen Sie sich die Werte ARNIhres KMS Schlüssels an. Informationen zum Auffinden des Schlüssels ARN finden Sie unter Schlüssel-ID finden und ARN.

      Ersetzen Sie auf ähnliche Weise 111122223333 mit dem AWS-Konto des GuardDuty Kontos. Ersetzen Region2 mit der Region des GuardDuty Kontos. Ersetzen SourceDetectorID mit der Melder-ID des GuardDuty Kontos für Region2.

      Um die detectorId für Ihr Konto und Ihre aktuelle Region zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

    12. Wählen Sie Save (Speichern) aus.

  2. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  3. Wählen Sie im Navigationsbereich Settings (Einstellungen).

  4. Wählen Sie unter Exportoptionen für Erkenntnisse die Option Jetzt konfigurieren.

  5. Wählen Sie Neuer Bucket. Geben Sie einen eindeutigen Namen für Ihren S3-Bucket ein.

  6. (Optional) Sie können Ihre neuen Exporteinstellungen testen, indem Sie Beispiel-Erkenntnisse generieren. Wählen Sie im Navigationsbereich Settings (Einstellungen).

  7. Wählen Sie unter dem Abschnitt Beispiel-Erkenntnisse die Option Beispiel-Erkenntnisse erstellen. Die neuen Ergebnisse der Stichprobe werden als Einträge im S3-Bucket angezeigt, der GuardDuty in bis zu fünf Minuten erstellt wurde.

Schritt 4: Richten Sie GuardDuty Suchwarnungen ein über SNS

GuardDuty integriert sich in Amazon EventBridge, wodurch Ergebnisdaten zur Verarbeitung an andere Anwendungen und Dienste gesendet werden können. Mit EventBridge Hilfe von GuardDuty Ergebnissen können Sie automatische Antworten auf Ihre Ergebnisse einleiten, indem Sie Findereignisse mit Zielen wie AWS Lambda Funktionen, Amazon EC2 Systems Manager Manager-Automatisierung, Amazon Simple Notification Service (SNS) und mehr verknüpfen.

In diesem Beispiel erstellen Sie ein SNS Thema, das das Ziel einer EventBridge Regel sein soll. Anschließend erstellen Sie EventBridge eine Regel, die Ergebnisdaten erfasst GuardDuty. Die resultierende Regel leitet die Erkenntnisdetails an eine E-Mail-Adresse weiter. Weitere Informationen dazu, wie Sie Erkenntnisse an Slack oder Amazon Chime senden und auch die Arten der Benachrichtigungen zu Erkenntnissen ändern können, finden Sie unter Ein SNS Amazon-Thema und einen Endpunkt einrichten.

Um ein SNS Thema für Ihre Ergebniswarnungen zu erstellen

  1. Öffnen Sie die SNS Amazon-Konsole unter https://console.aws.amazon.com/sns/v3/home.

  2. Wählen Sie im Navigationsbereich Themen aus.

  3. Wählen Sie Create Topic (Thema erstellen) aus.

  4. Wählen Sie für Typ die Option Standard.

  5. Geben Sie unter Name GuardDuty ein.

  6. Wählen Sie Create Topic (Thema erstellen) aus. Die Themendetails für Ihr neues Thema werden geöffnet.

  7. Wählen Sie im Abschnitt Subscriptions (Abonnements) die Option Create subscription (Abonnement erstellen) aus.

  8. Wählen Sie unter Protocol (Protokoll) die Option Email (E-Mail) aus.

  9. Geben Sie als Endpunkt die E-Mail-Adresse ein, an die Benachrichtigungen gesendet werden sollen.

  10. Wählen Sie Create subscription (Abonnement erstellen) aus.

    Sie müssen Ihre E-Mail-Adresse bestätigen, nachdem Sie das Abonnement erstellt haben.

  11. Um nach einer Abonnementnachricht zu suchen, gehen Sie zu Ihrem E-Mail-Posteingang und wählen Sie in der Abonnementnachricht die Option Abonnement bestätigen.

    Anmerkung

    Um den Status der E-Mail-Bestätigung zu überprüfen, gehen Sie zur SNS Konsole und wählen Sie Abonnements.

Um eine EventBridge Regel zu erstellen, um GuardDuty Ergebnisse zu erfassen und zu formatieren

  1. Öffnen Sie die EventBridge Konsole unter https://console.aws.amazon.com/events/.

  2. Wählen Sie im Navigationsbereich Rules aus.

  3. Wählen Sie Regel erstellen aus.

  4. Geben Sie einen Namen und eine Beschreibung für die Regel ein.

    Eine Regel darf nicht denselben Namen wie eine andere Regel in derselben Region und auf demselben Event Bus haben.

  5. Bei Event bus (Ereignisbus) wählen Sie default (Standard) aus.

  6. Bei Rule type (Regeltyp) wählen Sie Rule with an event pattern (Regel mit einem Ereignismuster) aus.

  7. Wählen Sie Weiter.

  8. Wählen Sie unter Event source (Ereignisquelle) AWS events (Ereignisse) aus.

  9. Wählen Sie für Ereignismuster die Option Ereignismusterformular.

  10. Als Event source (Ereignisquelle) wählen Sie AWS -Services aus.

  11. Wählen Sie unter AWS -Service die Option GuardDuty aus.

  12. Wählen Sie als Ereignistyp die Option GuardDutyFinding aus.

  13. Wählen Sie Weiter.

  14. Bei Target types (Zieltypen) wählen Sie AWS -Service aus.

  15. Wählen Sie unter Ziel auswählen SNSdas Thema und für Thema den Namen des SNS Themas aus, das Sie zuvor erstellt haben.

  16. Wählen Sie im Abschnitt Zusätzliche Einstellungen unter Zieleingabe konfigurieren die Option Eingabe-Transformer.

    Durch das Hinzufügen eines Eingangstransformators werden die JSON gesendeten Suchdaten GuardDuty in eine für Menschen lesbare Nachricht formatiert.

  17. Wählen Sie Configure input transformer (Eingabetransformator konfigurieren).

  18. Fügen Sie im Abschnitt Ziel-Eingabe-Transformer für Eingabepfad den folgenden Code ein:

    
{
  "severity": "$.detail.severity",
  "Finding_ID": "$.detail.id",
  "Finding_Type": "$.detail.type",
  "region": "$.region",
  "Finding_description": "$.detail.description"
}

  19. Um die E-Mail zu formatieren, fügen Sie in das Feld Vorlage den folgenden Code ein und achten Sie darauf, den roten Text durch die Werte zu ersetzen, die Ihrer Region entsprechen:

    
"You have a severity severity GuardDuty finding type Finding_Type in the Region_Name Region."
"Finding Description:"
"Finding_Description."
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=region#/findings?search=id%3DFinding_ID"

  20. Wählen Sie Bestätigen aus.

  21. Wählen Sie Weiter.

  22. (Optional) Geben Sie ein oder mehrere Tags für die Regel ein. Weitere Informationen finden Sie unter EventBridge Amazon-Tags im EventBridge Amazon-Benutzerhandbuch.

  23. Wählen Sie Weiter.

  24. Überprüfen Sie die Details der Regel und wählen Sie dann Create rule (Regel erstellen) aus.

  25. (Optional) Testen Sie Ihre neue Regel, indem Sie anhand des in Schritt 2 beschriebenen Prozesses Beispiel-Erkenntnisse generieren. Sie erhalten für jede generierte Beispiel-Erkenntnis eine E-Mail.

Nächste Schritte

Wenn Sie die Nutzung fortsetzen GuardDuty, werden Sie verstehen, welche Arten von Ergebnissen für Ihre Umgebung relevant sind. Wenn Sie eine neue Erkenntnis erhalten, können Sie Informationen, einschließlich Empfehlungen zur Problembehebung, zu dieser Erkenntnis finden, indem Sie in der Beschreibung der Erkenntnis im Bereich mit den Erkenntnisdetails die Option Weitere Informationen auswählen oder indem Sie unter nach dem Namen der Erkenntnis in GuardDuty Typen finden suchen.

Die folgenden Funktionen helfen Ihnen bei der Feinabstimmung, GuardDuty sodass die relevantesten Ergebnisse für Ihre AWS Umgebung bereitgestellt werden können:

  • Um Ergebnisse auf einfache Weise nach bestimmten Kriterien wie Instanz-ID, Konto-ID, S3-Bucket-Name und mehr zu sortieren, können Sie darin Filter erstellen und speichern GuardDuty. Weitere Informationen finden Sie unter Gefilterte Ergebnisse anzeigen in GuardDuty.

  • Wenn Sie Erkenntnisse zu erwartetem Verhalten in Ihrer Umgebung erhalten, können Sie die Erkenntnisse anhand der Kriterien, die Sie mit Unterdrückungsregeln definieren, automatisch archivieren.

  • Um zu verhindern, dass Ergebnisse aus einer Untergruppe vertrauenswürdiger Daten generiert werdenIPs, oder um zu verhindern, dass die GuardDuty Überwachung IPs außerhalb des normalen Überwachungsbereichs liegt, können Sie Listen vertrauenswürdiger IP-Adressen und Bedrohungen einrichten.