Erste Schritte mit GuardDuty - Amazon GuardDuty
Bevor Sie beginnenSchritt 1: Amazon aktivieren GuardDutySchritt 2: Beispiel-Erkenntnisse generieren und die grundlegenden Abläufe erkundenSchritt 3: Konfigurieren Sie den Export von GuardDuty Ergebnissen in einen Amazon S3 S3-Bucket Schritt 4: Richten Sie die GuardDuty Suche nach Warnmeldungen ein SNS Nächste Schritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit GuardDuty

Dieses Tutorial bietet eine praktische Einführung in. GuardDuty Die Mindestanforderungen für die Aktivierung GuardDuty als eigenständiges Konto oder als GuardDuty Administrator mit AWS Organizations werden in Schritt 1 behandelt. Die Schritte 2 bis 5 behandeln die Verwendung zusätzlicher Funktionen, die von empfohlen werden GuardDuty , um das Beste aus Ihren Ergebnissen herauszuholen.

Bevor Sie beginnen

GuardDuty ist ein Dienst zur Bedrohungserkennung, Grundlegende Datenquellen der AWS CloudTrail Verwaltungsereignisse, Amazon VPC Flow Logs und Amazon Route 53 Resolver DNS Abfrageprotokolle überwacht. GuardDutyanalysiert außerdem Funktionen, die mit seinen Schutztypen verknüpft sind, nur wenn Sie sie separat aktivieren. Zu den Funktionen gehören Kubernetes-Auditprotokolle, RDS Anmeldeaktivitäten, AWS CloudTrail Datenereignisse für Amazon S3, EBS Amazon-Volumes, Runtime Monitoring und Lambda-Netzwerkaktivitätsprotokolle. Durch die Verwendung dieser Datenquellen und Funktionen (sofern aktiviert) werden Sicherheitslücken für Ihr Konto GuardDuty generiert.

Nach der Aktivierung beginnt es GuardDuty, Ihr Konto auf der Grundlage der Aktivitäten in grundlegenden Datenquellen auf potenzielle Bedrohungen zu überwachen. Standardmäßig Erweiterte Bedrohungserkennung ist es für alle aktiviert, AWS-Konten die es aktiviert GuardDuty haben. Diese Funktion erkennt mehrstufige Angriffssequenzen, die sich über mehrere grundlegende Datenquellen, AWS Ressourcen und Zeiträume in Ihrem Konto erstrecken. Um potenzielle Bedrohungen für bestimmte AWS Ressourcen zu erkennen, können Sie sich dafür entscheiden, anwendungsfallorientierte Schutzpläne zu aktivieren, die Folgendes bieten: GuardDuty Weitere Informationen finden Sie unter Eigenschaften von GuardDuty.

Sie müssen keine der grundlegenden Datenquellen explizit aktivieren. Wenn Sie S3 Protection aktivieren, müssen Sie die Amazon S3 S3-Datenereignisprotokollierung nicht explizit aktivieren. Ebenso müssen Sie, wenn Sie EKS den Schutz aktivieren, die EKS Amazon-Audit-Logs nicht explizit aktivieren. Amazon GuardDuty bezieht unabhängige Datenströme direkt von diesen Diensten.

Für ein neues GuardDuty Konto sind einige der verfügbaren Schutzarten, die in einem unterstützt werden, AWS-Region standardmäßig aktiviert und in der 30-tägigen kostenlosen Testphase enthalten. Sie können einen oder alle von ihnen deaktivieren. Wenn Sie bereits AWS-Konto mit GuardDuty aktiviert sind, können Sie wählen, ob Sie einige oder alle Schutzpläne aktivieren möchten, die in Ihrer Region verfügbar sind. Eine Übersicht über die Schutzpläne und darüber, welche Schutzpläne standardmäßig aktiviert werden, finden Sie unterPreisgestaltung in GuardDuty.

Beachten Sie bei der Aktivierung GuardDuty die folgenden Punkte:

  • GuardDuty ist ein regionaler Dienst, was bedeutet, dass alle Konfigurationsverfahren, die Sie auf dieser Seite ausführen, in jeder Region, mit der Sie überwachen möchten, wiederholt werden müssen GuardDuty.

    Wir empfehlen dringend, die Aktivierung GuardDuty in allen unterstützten AWS Regionen durchzuführen. Auf diese Weise können GuardDuty auch in Regionen, die Sie nicht aktiv nutzen, Erkenntnisse über unbefugte oder ungewöhnliche Aktivitäten generiert werden. Dies ermöglicht auch GuardDuty die Überwachung von AWS CloudTrail Ereignissen für globale AWS Dienste wieIAM. Wenn diese Option nicht in allen unterstützten Regionen aktiviert GuardDuty ist, ist ihre Fähigkeit zur Erkennung von Aktivitäten, die globale Dienste betreffen, eingeschränkt. Eine vollständige Liste der Regionen, in denen GuardDuty es verfügbar ist, finden Sie unterRegionen und Endpunkte.

  • Jeder Benutzer mit Administratorrechten in einem AWS Konto kann diese Option aktivieren GuardDuty. Gemäß der bewährten Sicherheitsmethode der geringsten Rechte wird jedoch empfohlen, eine IAM Rolle, einen Benutzer oder eine Gruppe zu erstellen, die GuardDuty speziell verwaltet werden soll. Informationen zu den für die Aktivierung erforderlichen Berechtigungen GuardDuty finden Sie unterErforderliche Berechtigungen zum Aktivieren von GuardDuty.

  • Wenn Sie die GuardDuty Option zum ersten Mal in einer beliebigen AWS-Region Region aktivieren, werden standardmäßig auch alle verfügbaren Schutztypen aktiviert, die in dieser Region unterstützt werden, einschließlich Malware-Schutz fürEC2. GuardDuty erstellt eine dienstverknüpfte Rolle für Ihr Konto mit dem Namen. AWSServiceRoleForAmazonGuardDuty Diese Rolle umfasst die Berechtigungen und Vertrauensrichtlinien, die es ermöglichen, Ereignisse direkt aus GuardDuty dem zu verarbeiten und zu analysieren, GuardDuty grundlegende Datenquellen um daraus Sicherheitsresultate zu generieren. Malware Protection for EC2 erstellt eine weitere dienstbezogene Rolle für Ihr Konto mit dem Namen. AWSServiceRoleForAmazonGuardDutyMalwareProtection Diese Rolle umfasst die Berechtigungen und Vertrauensrichtlinien, die es Malware Protection for ermöglichen, Scans ohne Agenten EC2 durchzuführen, um Malware in Ihrem Konto zu erkennen. GuardDuty Sie ermöglicht es GuardDuty , einen EBS Volume-Snapshot in Ihrem Konto zu erstellen und diesen Snapshot mit dem GuardDuty Dienstkonto zu teilen. Weitere Informationen finden Sie unter Dienstbezogene Rollenberechtigungen für GuardDuty. Weitere Informationen zu serviceverknüpften Rollen finden Sie unter Verwenden serviceverknüpfter Rollen.

  • Wenn Sie Ihr Konto GuardDuty zum ersten Mal in einer Region aktivieren, wird Ihr AWS Konto automatisch für eine GuardDuty kostenlose 30-Tage-Testversion für diese Region registriert.

Im folgenden Video wird erklärt, wie Sie mit einem Administratorkonto beginnen GuardDuty und es für mehrere Mitgliedskonten aktivieren können.

Schritt 1: Amazon aktivieren GuardDuty

Der erste Schritt zur Verwendung GuardDuty besteht darin, es in Ihrem Konto zu aktivieren. Nach der Aktivierung GuardDuty wird sofort mit der Überwachung auf Sicherheitsbedrohungen in der aktuellen Region begonnen.

Wenn Sie die GuardDuty Ergebnisse für andere Konten innerhalb Ihrer Organisation als GuardDuty Administrator verwalten möchten, müssen Sie Mitgliedskonten hinzufügen und diese ebenfalls aktivieren GuardDuty .

Anmerkung

Wenn Sie den GuardDuty Malware-Schutz für S3 ohne Aktivierung aktivieren möchten GuardDuty, finden Sie die entsprechenden Schritte unterGuardDuty Malware-Schutz für S3.

Standalone account environment

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/

  2. Wählen Sie die Option Amazon GuardDuty — Alle Funktionen.

  3. Wählen Sie Erste Schritte.

  4. Sehen Sie sich auf der GuardDuty Seite Willkommen bei die Servicebedingungen an. Wählen Sie Enable (Aktivieren) GuardDuty aus.

Multi-account environment
Wichtig

Voraussetzung für diesen Vorgang ist, dass Sie derselben Organisation angehören wie alle Konten, die Sie verwalten möchten, und Zugriff auf das AWS Organizations Verwaltungskonto haben müssen, um einen Administrator GuardDuty innerhalb Ihrer Organisation delegieren zu können. Für die Delegierung eines Administrators sind möglicherweise zusätzliche Berechtigungen erforderlich. Weitere Informationen finden Sie unter Für die Benennung eines delegierten GuardDuty Administratorkontos sind Berechtigungen erforderlich.

Um ein GuardDuty delegiertes Administratorkonto zu bestimmen

  1. Öffnen Sie die AWS Organizations Konsole unter https://console.aws.amazon.com/organizations/und verwenden Sie das Verwaltungskonto.

  2. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

    Ist in Ihrem Konto GuardDuty bereits aktiviert?

    • Falls GuardDuty es noch nicht aktiviert ist, können Sie Erste Schritte auswählen und dann auf der Seite Willkommen GuardDuty bei einen GuardDuty delegierten Administrator benennen.

    • Wenn diese Option aktiviert GuardDuty ist, können Sie auf der Seite Einstellungen einen GuardDuty delegierten Administrator benennen.

  3. Geben Sie die zwölfstellige AWS Konto-ID des Kontos ein, das Sie als delegierten Administrator für die Organisation festlegen möchten, und wählen Sie GuardDuty Delegieren aus.

    Anmerkung

    Falls dies noch nicht aktiviert GuardDuty ist, wird durch die Benennung eines delegierten Administrators die Aktivierung GuardDuty für dieses Konto in Ihrer aktuellen Region aktiviert.

So fügen Sie Mitgliedskonten hinzu

Dieses Verfahren umfasst das Hinzufügen von Mitgliederkonten zu einem GuardDuty delegierten Administratorkonto durch. AWS Organizations Es besteht auch die Möglichkeit, Mitglieder auf Einladung hinzuzufügen. Weitere Informationen zu beiden Methoden zum Zuordnen von Mitgliedern finden Sie GuardDuty unter. Mehrere Konten bei Amazon GuardDuty

  1. Melden Sie sich im delegierten Administratorkonto an

  2. Öffnen Sie die GuardDuty Konsole unter. https://console.aws.amazon.com/guardduty/

  3. Wählen Sie im Navigationsbereich Settings (Einstellungen) und dann Accounts (Konten) aus.

    In der Kontentabelle werden alle Konten in der Organisation angezeigt.

  4. Wählen Sie die Konten aus, die Sie als Mitglieder hinzufügen möchten, indem Sie das Kontrollkästchen neben der Konto-ID aktivieren. Wählen Sie dann im Menü Aktion die Option Mitglied hinzufügen.

    Tipp

    Sie können das Hinzufügen neuer Konten als Mitglieder mit dem Feature Automatisch aktivieren automatisieren. Dies gilt jedoch nur für Konten, die Ihrer Organisation beitreten, nachdem das Feature aktiviert wurde.

Schritt 2: Beispiel-Erkenntnisse generieren und die grundlegenden Abläufe erkunden

Wenn ein Sicherheitsproblem GuardDuty entdeckt wird, wird ein Befund generiert. Ein GuardDuty Befund ist ein Datensatz, der Details zu diesem speziellen Sicherheitsproblem enthält. Die Einzelheiten der Erkenntnis können Ihnen bei der Untersuchung des Problems helfen.

GuardDuty unterstützt die Generierung von Stichprobenergebnissen mit Platzhalterwerten, anhand derer Sie die GuardDuty Funktionalität testen und sich mit den Ergebnissen vertraut machen können, bevor Sie auf ein echtes Sicherheitsproblem reagieren müssen, das von entdeckt wurde. GuardDuty Folgen Sie der nachstehenden Anleitung, um Beispielergebnisse für jeden Befundtyp zu generieren GuardDuty, der unter verfügbar ist. Weitere Möglichkeiten zur Generierung von Stichprobenergebnissen, einschließlich der Generierung eines simulierten Sicherheitsereignisses in Ihrem Konto, finden Sie unter. Beispielergebnisse

So erstellen und untersuchen Sie Beispiel-Erkenntnisse

  1. Wählen Sie im Navigationsbereich Settings (Einstellungen).

  2. Klicken Sie auf der Seite Settings unter Sample findings auf Generate sample findings.

  3. Wählen Sie im Navigationsbereich Zusammenfassung aus, um die in Ihrer AWS Umgebung generierten Erkenntnisse zu den Ergebnissen anzuzeigen. Weitere Informationen zu den Komponenten des Übersichts-Dashboards finden Sie unter Übersichts-Dashboard in Amazon GuardDuty.

  4. Wählen Sie im Navigationsbereich Findings aus. Die Beispielergebnisse werden auf der Seite Aktuelle Ergebnisse mit dem Präfix [SAMPLE] angezeigt.

  5. Wählen Sie eine Erkenntnis aus der Liste aus, um Details zur Erkenntnis anzuzeigen.

    1. Sie können die verschiedenen Informationsfelder überprüfen, die im Bereich mit den Erkenntnisdetails verfügbar sind. Verschiedene Arten von Erkenntnissen können unterschiedliche Felder haben. Weitere Informationen zu den verfügbaren Feldern für alle Erkenntnistypen finden Sie unter Erkenntnisdetails. In der Detailansicht können Sie die folgenden Aktionen durchführen:

      • Wählen Sie oben im Bereich die Ergebnis-ID aus, um die vollständigen JSON Details zum Ergebnis zu öffnen. Die vollständige JSON Datei kann auch von diesem Panel heruntergeladen werden. Das JSON enthält einige zusätzliche Informationen, die nicht in der Konsolenansicht enthalten sind, und ist das Format, das von anderen Tools und Diensten aufgenommen werden kann.

      • Sehen Sie sich den Abschnitt Betroffene Ressource an. In einem echten Fall helfen Ihnen die Informationen hier dabei, eine Ressource in Ihrem Konto zu identifizieren, die untersucht werden sollte, und sie enthalten Links zu den entsprechenden AWS Management Console oder umsetzbaren Ressourcen.

      • Wählen Sie das + oder - beim Lupensymbol, um einen inklusiven oder exklusiven Filter für dieses Detail zu erstellen. Weitere Informationen zu Filtern finden Sie unter Ergebnisse filtern in GuardDuty.

  6. Archivieren Sie all Ihre Beispiel-Erkenntnisse

    1. Wählen Sie alle Erkenntnisse aus, indem Sie das Kontrollkästchen oben in der Liste aktivieren.

    2. Deaktivieren Sie alle Erkenntnisse, die Sie behalten möchten.

    3. Wählen Sie das Menü Aktionen und dann Archivieren, um die Beispiel-Erkenntnisse auszublenden.

      Anmerkung

      Um die archivierten Erkenntnisse anzuzeigen, wählen Sie Aktuell und dann Archiviert, um zur Erkenntnisansicht zu wechseln.

Schritt 3: Konfigurieren Sie den Export von GuardDuty Ergebnissen in einen Amazon S3 S3-Bucket

GuardDuty empfiehlt, Einstellungen für den Export von Ergebnissen zu konfigurieren, da Sie so Ihre Ergebnisse in einen S3-Bucket exportieren können, um sie nach Ablauf der Aufbewahrungsfrist von GuardDuty 90 Tagen auf unbestimmte Zeit zu speichern. Auf diese Weise können Sie Aufzeichnungen über die Ergebnisse führen oder Probleme in Ihrer AWS Umgebung im Laufe der Zeit verfolgen. GuardDuty verschlüsselt die Ergebnisdaten in Ihrem S3-Bucket mithilfe von AWS Key Management Service (AWS KMS key). Um die Einstellungen zu konfigurieren, müssen Sie GuardDuty der Berechtigung einen KMS Schlüssel geben. Ausführlichere Schritte finden Sie unterGenerierte Ergebnisse nach Amazon S3 exportieren.

Um GuardDuty Ergebnisse in einen Amazon S3 S3-Bucket zu exportieren
  1. Richtlinie an KMS Schlüssel anhängen

    1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Key Management Service (AWS KMS) -Konsole unter https://console.aws.amazon.com/kms.

    2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

    3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

    4. Wählen Sie einen vorhandenen KMS Schlüssel aus, oder führen Sie die Schritte zum Erstellen eines symmetrischen KMS Verschlüsselungsschlüssels im Entwicklerhandbuch aus.AWS Key Management Service

      Die Region Ihres KMS Schlüssels und Ihres Amazon S3 S3-Buckets müssen identisch sein.

      Kopieren Sie den Schlüssel ARN auf einen Notizblock, um ihn in den späteren Schritten zu verwenden.

    5. Wählen Sie im Abschnitt Schlüsselrichtlinie Ihres KMS Schlüssels die Option Bearbeiten aus. Wenn Zur Richtlinienansicht wechseln angezeigt wird, wählen Sie diese aus, um die Schlüsselrichtlinie anzuzeigen, und klicken Sie dann auf Bearbeiten.

    6. Kopieren Sie den folgenden Richtlinienblock in Ihre KMS wichtigste Richtlinie:

      {    
    "Sid": "AllowGuardDutyKey",
    "Effect": "Allow",
    "Principal": {
        "Service": "guardduty.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "KMS key ARN",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "123456789012",
            "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
        }
    }
}

      Bearbeiten Sie die Richtlinie, indem Sie die folgenden Werte ersetzen, die redim Richtlinienbeispiel formatiert sind:

      1. KMS key ARNErsetzen Sie es durch den Amazon-Ressourcennamen (ARN) des KMS Schlüssels. Informationen zum Auffinden des ARN Schlüssels finden Sie unter Finden der Schlüssel-ID und ARN im AWS Key Management Service Entwicklerhandbuch.

      2. 123456789012Ersetzen Sie ihn durch die AWS-Konto ID, der das GuardDuty Konto gehört, das die Ergebnisse exportiert.

      3. Region2Ersetzen Sie durch den AWS-Region Ort, an dem die GuardDuty Ergebnisse generiert wurden.

      4. SourceDetectorIDErsetzen Sie es durch das GuardDuty Konto in der spezifischen Region, in der die Ergebnisse generiert wurden. detectorID

        Um das detectorId für Ihr Konto und Ihre aktuelle Region zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

  2. Richtlinie an Amazon S3 S3-Bucket anhängen

    Wenn Sie noch keinen Amazon S3 S3-Bucket haben, in den Sie diese Ergebnisse exportieren möchten, finden Sie weitere Informationen unter Erstellen eines Buckets im Amazon S3 S3-Benutzerhandbuch.

    1. Führen Sie die Schritte unter So erstellen oder bearbeiten Sie eine Bucket-Richtlinie im Amazon S3 S3-Benutzerhandbuch aus, bis die Seite Bucket-Richtlinie bearbeiten angezeigt wird.

    2. Die Beispielrichtlinie zeigt, wie Sie die GuardDuty Erlaubnis zum Exportieren von Ergebnissen in Ihren Amazon S3 S3-Bucket erteilen. Wenn Sie den Pfad ändern, nachdem Sie Exportergebnisse konfiguriert haben, müssen Sie die Richtlinie ändern, um die Erlaubnis für den neuen Speicherort zu erteilen.

      Kopieren Sie die folgende Beispielrichtlinie und fügen Sie sie in den Bucket-Richtlinieneditor ein.

      Wenn Sie die Richtlinienerklärung vor der endgültigen Aussage hinzugefügt haben, fügen Sie vor dem Hinzufügen dieser Aussage ein Komma hinzu. Stellen Sie sicher, dass die JSON Syntax Ihrer KMS wichtigsten Richtlinie gültig ist.

      Beispiel für eine S3-Bucket-Richtlinie

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow GetBucketLocation",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:GetBucketLocation",
            "Resource": "Amazon S3 bucket ARN",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "Allow PutObject",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "Deny unencrypted object uploads",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption": "aws:kms"
                }
            }
        },
        {
            "Sid": "Deny incorrect encryption header",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption-aws-kms-key-id": "KMS key ARN"
                }
            }
        },
        {
            "Sid": "Deny non-HTTPS access",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

    3. Bearbeiten Sie die Richtlinie, indem Sie die folgenden Werte ersetzen, die redim Richtlinienbeispiel formatiert sind:

      1. Amazon S3 bucket ARNErsetzen Sie es durch den Amazon-Ressourcennamen (ARN) des Amazon S3-Buckets. Sie finden den Bucket ARN auf der Seite Bucket-Richtlinie bearbeiten in der https://console.aws.amazon.com/s3/Konsole.

      2. 123456789012Ersetzen Sie ihn durch die AWS-Konto ID, der das GuardDuty Konto gehört, das die Ergebnisse exportiert.

      3. Region2Ersetzen Sie durch den AWS-Region Ort, an dem die GuardDuty Ergebnisse generiert wurden.

      4. SourceDetectorIDErsetzen Sie es durch das GuardDuty Konto in der spezifischen Region, in der die Ergebnisse generiert wurden. detectorID

        Um das detectorId für Ihr Konto und Ihre aktuelle Region zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

      5. Ersetzen Sie einen [optional prefix] Teil des S3 bucket ARN/[optional prefix] Platzhalterwerts durch einen optionalen Ordnerpfad, in den Sie die Ergebnisse exportieren möchten. Weitere Informationen zur Verwendung von Präfixen finden Sie unter Objekte mithilfe von Präfixen organisieren im Amazon S3 S3-Benutzerhandbuch.

        Wenn Sie einen optionalen Ordnerspeicherort angeben, der noch nicht existiert, GuardDuty wird dieser Speicherort nur erstellt, wenn das mit dem S3-Bucket verknüpfte Konto mit dem Konto identisch ist, das die Ergebnisse exportiert. Wenn Sie Ergebnisse in einen S3-Bucket exportieren, der zu einem anderen Konto gehört, muss der Speicherort des Ordners bereits vorhanden sein.

      6. KMS key ARNErsetzen Sie ihn durch den Amazon-Ressourcennamen (ARN) des KMS Schlüssels, der mit der Verschlüsselung der in den S3-Bucket exportierten Ergebnisse verknüpft ist. Informationen zum Auffinden des ARN Schlüssels finden Sie unter Finden der Schlüssel-ID und ARN im AWS Key Management Service Entwicklerhandbuch.

  3. Schritte in der GuardDuty Konsole

    1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

    2. Wählen Sie im Navigationsbereich Settings (Einstellungen).

    3. Wählen Sie auf der Seite Einstellungen unter Exportoptionen für Ergebnisse für den S3-Bucket die Option Jetzt konfigurieren (oder je nach Bedarf Bearbeiten) aus.

    4. Geben Sie für den S3-Bucket ARN bucket ARN den Bucket ein, an den Sie die Ergebnisse senden möchten. Informationen zum Anzeigen des Buckets ARN finden Sie unter Eigenschaften für einen S3-Bucket anzeigen im Amazon S3 S3-Benutzerhandbuch.

    5. Geben Sie als KMSSchlüssel ARN den einkey ARN. Informationen zum Auffinden des Schlüssels ARN finden Sie unter Suchen der Schlüssel-ID und des Schlüssels ARN im AWS Key Management Service Entwicklerhandbuch.

    6. Wählen Sie Save (Speichern) aus.

Mehr anzeigenWeniger anzeigen

Schritt 4: Richten Sie die GuardDuty Suche nach Warnmeldungen ein SNS

GuardDuty ist in Amazon integriert EventBridge, wodurch Befunddaten zur Verarbeitung an andere Anwendungen und Dienste gesendet werden können. Mit EventBridge Hilfe von GuardDuty Ergebnissen können Sie automatische Antworten auf Ihre Ergebnisse einleiten, indem Sie Findereignisse mit Zielen wie AWS Lambda Funktionen, Amazon EC2 Systems Manager Manager-Automatisierung, Amazon Simple Notification Service (SNS) und mehr verknüpfen.

In diesem Beispiel erstellen Sie ein SNS Thema, das das Ziel einer EventBridge Regel sein soll. Anschließend erstellen Sie EventBridge eine Regel, die Ergebnisdaten erfasst GuardDuty. Die resultierende Regel leitet die Erkenntnisdetails an eine E-Mail-Adresse weiter. Weitere Informationen dazu, wie Sie Erkenntnisse an Slack oder Amazon Chime senden und auch die Arten der Benachrichtigungen zu Erkenntnissen ändern können, finden Sie unter Ein SNS Amazon-Thema und einen Endpunkt einrichten.

Um ein SNS Thema für Ihre Ergebniswarnungen zu erstellen

  1. Öffnen Sie die SNS Amazon-Konsole unter https://console.aws.amazon.com/sns/v3/home.

  2. Wählen Sie im Navigationsbereich Themen aus.

  3. Wählen Sie Create Topic (Thema erstellen) aus.

  4. Wählen Sie für Typ die Option Standard.

  5. Geben Sie unter Name GuardDuty ein.

  6. Wählen Sie Create Topic (Thema erstellen) aus. Die Themendetails für Ihr neues Thema werden geöffnet.

  7. Wählen Sie im Abschnitt Subscriptions (Abonnements) die Option Create subscription (Abonnement erstellen) aus.

  8. Wählen Sie unter Protocol (Protokoll) die Option Email (E-Mail) aus.

  9. Geben Sie als Endpunkt die E-Mail-Adresse ein, an die Benachrichtigungen gesendet werden sollen.

  10. Wählen Sie Create subscription (Abonnement erstellen) aus.

    Sie müssen Ihre E-Mail-Adresse bestätigen, nachdem Sie das Abonnement erstellt haben.

  11. Um nach einer Abonnementnachricht zu suchen, gehen Sie zu Ihrem E-Mail-Posteingang und wählen Sie in der Abonnementnachricht die Option Abonnement bestätigen.

    Anmerkung

    Um den Status der E-Mail-Bestätigung zu überprüfen, rufen Sie die SNS Konsole auf und wählen Sie Abonnements.

Um eine EventBridge Regel zu erstellen, um GuardDuty Ergebnisse zu erfassen und zu formatieren

  1. Öffnen Sie die EventBridge Konsole unter https://console.aws.amazon.com/events/.

  2. Wählen Sie im Navigationsbereich Regeln aus.

  3. Wählen Sie Regel erstellen aus.

  4. Geben Sie einen Namen und eine Beschreibung für die Regel ein.

    Eine Regel darf nicht denselben Namen wie eine andere Regel in derselben Region und auf demselben Event Bus haben.

  5. Bei Event bus (Ereignisbus) wählen Sie default (Standard) aus.

  6. Bei Regeltyp wählen Sie Regel mit einem Ereignismuster aus.

  7. Wählen Sie Weiter.

  8. Wählen Sie unter Event source (Ereignisquelle) AWS events (Ereignisse) aus.

  9. Wählen Sie für Ereignismuster die Option Ereignismusterformular.

  10. Als Event source (Ereignisquelle) wählen Sie AWS -Services aus.

  11. Wählen Sie unter AWS -Service die Option GuardDuty aus.

  12. Wählen Sie als Ereignistyp die Option GuardDutyFinding aus.

  13. Wählen Sie Weiter.

  14. Bei Zieltypen wählen Sie AWS -Service aus.

  15. Wählen Sie unter Ziel auswählen SNSdas Thema und für Thema den Namen des SNS Themas aus, das Sie zuvor erstellt haben.

  16. Wählen Sie im Abschnitt Zusätzliche Einstellungen unter Zieleingabe konfigurieren die Option Eingabe-Transformer.

    Durch das Hinzufügen eines Eingangstransformators werden die JSON gesendeten Suchdaten GuardDuty in eine für Menschen lesbare Nachricht formatiert.

  17. Wählen Sie Configure input transformer (Eingabetransformator konfigurieren).

  18. Fügen Sie im Abschnitt Ziel-Eingabe-Transformer für Eingabepfad den folgenden Code ein:

    
{
  "severity": "$.detail.severity",
  "Finding_ID": "$.detail.id",
  "Finding_Type": "$.detail.type",
  "region": "$.region",
  "Finding_description": "$.detail.description"
}

  19. Um die E-Mail zu formatieren, fügen Sie in das Feld Vorlage den folgenden Code ein und achten Sie darauf, den roten Text durch die Werte zu ersetzen, die Ihrer Region entsprechen:

    
"You have a severity severity GuardDuty finding type Finding_Type in the Region_Name Region."
"Finding Description:"
"Finding_Description."
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=region#/findings?search=id%3DFinding_ID"

  20. Wählen Sie Bestätigen aus.

  21. Wählen Sie Weiter.

  22. (Optional) Geben Sie ein oder mehrere Tags für die Regel ein. Weitere Informationen finden Sie unter EventBridge Amazon-Tags im EventBridge Amazon-Benutzerhandbuch.

  23. Wählen Sie Weiter.

  24. Überprüfen Sie die Details der Regel und wählen Sie dann Regel erstellen aus.

  25. (Optional) Testen Sie Ihre neue Regel, indem Sie anhand des in Schritt 2 beschriebenen Prozesses Beispiel-Erkenntnisse generieren. Sie erhalten für jede generierte Beispiel-Erkenntnis eine E-Mail.

Nächste Schritte

Wenn Sie die Nutzung fortsetzen GuardDuty, werden Sie verstehen, welche Arten von Ergebnissen für Ihre Umgebung relevant sind. Wenn Sie eine neue Erkenntnis erhalten, können Sie Informationen, einschließlich Empfehlungen zur Problembehebung, zu dieser Erkenntnis finden, indem Sie in der Beschreibung der Erkenntnis im Bereich mit den Erkenntnisdetails die Option Weitere Informationen auswählen oder indem Sie unter nach dem Namen der Erkenntnis in GuardDuty Typen finden suchen.

Die folgenden Funktionen helfen Ihnen bei der Feinabstimmung, GuardDuty sodass die relevantesten Ergebnisse für Ihre AWS Umgebung bereitgestellt werden können:

  • Um Ergebnisse auf einfache Weise nach bestimmten Kriterien wie Instanz-ID, Konto-ID, S3-Bucket-Name und mehr zu sortieren, können Sie darin Filter erstellen und speichern GuardDuty. Weitere Informationen finden Sie unter Ergebnisse filtern in GuardDuty.

  • Wenn Sie Erkenntnisse zu erwartetem Verhalten in Ihrer Umgebung erhalten, können Sie die Erkenntnisse anhand der Kriterien, die Sie mit Unterdrückungsregeln definieren, automatisch archivieren.

  • Um zu verhindern, dass Ergebnisse aus einer Untergruppe vertrauenswürdiger Daten generiert werdenIPs, oder um zu verhindern, dass die GuardDuty Überwachung IPs außerhalb des normalen Überwachungsbereichs liegt, können Sie Listen vertrauenswürdiger IP-Adressen und Bedrohungen einrichten.