Erste Schritte mit GuardDuty - Amazon GuardDuty
Bevor Sie beginnenSchritt 1: Amazon aktivieren GuardDutySchritt 2: Beispiel-Erkenntnisse generieren und die grundlegenden Abläufe erkundenSchritt 3: Konfigurieren Sie den Export von GuardDuty Ergebnissen in einen Amazon S3 S3-Bucket Schritt 4: Richten Sie GuardDuty Suchwarnungen über SNS ein Nächste Schritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit GuardDuty

Dieses Tutorial bietet eine praktische Einführung in. GuardDuty Die Mindestanforderungen für die Aktivierung GuardDuty als eigenständiges Konto oder als GuardDuty Administrator mit AWS Organizations werden in Schritt 1 behandelt. Die Schritte 2 bis 5 behandeln die Verwendung zusätzlicher Funktionen, die von empfohlen werden GuardDuty , um das Beste aus Ihren Ergebnissen herauszuholen.

Bevor Sie beginnen

GuardDuty ist ein Dienst zur Bedrohungserkennung, der Grundlegende Datenquellen beispielsweise AWS CloudTrail Ereignisprotokolle, AWS CloudTrail Verwaltungsereignisse, Amazon VPC Flow Logs und DNS-Protokolle überwacht. GuardDuty analysiert auch Funktionen, die mit seinen Schutztypen verknüpft sind, nur wenn Sie sie separat aktivieren. Zu den Funktionen gehören Kubernetes-Prüfungsprotokolle, RDS-Anmeldeaktivitäten, S3-Protokolle, EBS-Volumes, Laufzeit-Überwachung und Lambda-Netzwerkaktivitätsprotokolle. Durch die Verwendung dieser Datenquellen und Funktionen (sofern aktiviert) werden Sicherheitsergebnisse für Ihr Konto GuardDuty generiert.

Nach der Aktivierung beginnt GuardDuty es mit der Überwachung Ihrer Umgebung. Sie können GuardDuty die Option für jedes Konto in jeder Region jederzeit deaktivieren. Dadurch werden die grundlegenden Datenquellen und alle Funktionen, die separat aktiviert wurden, nicht mehr GuardDuty verarbeitet.

Sie müssen keine der Grundlegende Datenquellen explizit aktivieren. Amazon GuardDuty bezieht unabhängige Datenströme direkt von diesen Diensten. Für ein neues GuardDuty Konto sind alle verfügbaren Schutzarten, die in einem unterstützt werden, AWS-Region standardmäßig aktiviert und in der 30-tägigen kostenlosen Testphase enthalten. Sie können einen oder alle von ihnen deaktivieren. Wenn Sie bereits GuardDuty Kunde sind, können Sie wählen, ob Sie einige oder alle Schutzpläne aktivieren möchten, die in Ihrem AWS-Region Paket verfügbar sind. Weitere Informationen finden Sie unter Funktionen für die einzelnen Schutztypen in GuardDuty.

Beachten Sie bei der Aktivierung GuardDuty die folgenden Punkte:

  • GuardDuty ist ein regionaler Dienst, was bedeutet, dass alle Konfigurationsverfahren, die Sie auf dieser Seite ausführen, in jeder Region, mit der Sie überwachen möchten, wiederholt werden müssen GuardDuty.

    Wir empfehlen dringend, die Aktivierung GuardDuty in allen unterstützten AWS Regionen durchzuführen. Auf diese Weise können GuardDuty auch in Regionen, die Sie nicht aktiv nutzen, Erkenntnisse über unbefugte oder ungewöhnliche Aktivitäten generiert werden. Dies ermöglicht auch GuardDuty die Überwachung von AWS CloudTrail Ereignissen für globale AWS Dienste wie IAM. Wenn diese Option nicht in allen unterstützten Regionen aktiviert GuardDuty ist, ist ihre Fähigkeit zur Erkennung von Aktivitäten, die globale Dienste betreffen, eingeschränkt. Eine vollständige Liste der Regionen, in denen GuardDuty es verfügbar ist, finden Sie unterRegionen und Endpunkte.

  • Jeder Benutzer mit Administratorrechten in einem AWS Konto kann diese Option aktivieren GuardDuty. Gemäß der bewährten Sicherheitsmethode der geringsten Rechte wird jedoch empfohlen, eine IAM-Rolle, einen Benutzer oder eine Gruppe zu erstellen, die GuardDuty speziell verwaltet werden soll. Informationen zu den für die Aktivierung erforderlichen Berechtigungen GuardDuty finden Sie unterErforderliche Berechtigungen zum Aktivieren von GuardDuty.

  • Wenn Sie es GuardDuty zum ersten Mal in einer beliebigen AWS-Region Region aktivieren, werden standardmäßig auch alle verfügbaren Schutztypen aktiviert, die in dieser Region unterstützt werden, einschließlich Malware Protection for EC2. GuardDuty erstellt eine dienstverknüpfte Rolle für Ihr Konto mit dem Namen. AWSServiceRoleForAmazonGuardDuty Diese Rolle umfasst die Berechtigungen und Vertrauensrichtlinien, die es ermöglichen, Ereignisse direkt aus GuardDuty dem zu verarbeiten und zu analysieren, Grundlegende Datenquellen um daraus Sicherheitsresultate zu generieren. Malware Protection for EC2 erstellt eine weitere dienstbezogene Rolle für Ihr Konto mit dem Namen. AWSServiceRoleForAmazonGuardDutyMalwareProtection Diese Rolle umfasst die Berechtigungen und Vertrauensrichtlinien, die es Malware Protection for EC2 ermöglichen, Scans ohne Agenten durchzuführen, um Malware in Ihrem Konto zu erkennen. GuardDuty Sie ermöglicht es GuardDuty , einen EBS-Volume-Snapshot in Ihrem Konto zu erstellen und diesen Snapshot mit dem GuardDuty Dienstkonto zu teilen. Weitere Informationen finden Sie unter Mit dem Dienst verknüpfte Rollenberechtigungen für GuardDuty. Weitere Informationen zu serviceverknüpften Rollen finden Sie unter Verwenden serviceverknüpfter Rollen.

  • Wenn Sie Ihr Konto GuardDuty zum ersten Mal in einer Region aktivieren, wird Ihr AWS Konto automatisch für eine GuardDuty kostenlose 30-Tage-Testversion für diese Region registriert.

Schritt 1: Amazon aktivieren GuardDuty

Der erste Schritt zur Verwendung GuardDuty besteht darin, es in Ihrem Konto zu aktivieren. Nach der Aktivierung GuardDuty wird sofort mit der Überwachung auf Sicherheitsbedrohungen in der aktuellen Region begonnen.

Wenn Sie die GuardDuty Ergebnisse für andere Konten innerhalb Ihrer Organisation als GuardDuty Administrator verwalten möchten, müssen Sie Mitgliedskonten hinzufügen und diese ebenfalls aktivieren GuardDuty .

Anmerkung

Wenn Sie den GuardDuty Malware-Schutz für S3 ohne Aktivierung aktivieren möchten GuardDuty, finden Sie die entsprechenden Schritte unterGuardDuty Malware-Schutz für S3.

Standalone account environment

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/

  2. Wählen Sie die Option Amazon GuardDuty — Alle Funktionen.

  3. Wählen Sie Erste Schritte.

  4. Sehen Sie sich auf der GuardDuty Seite Willkommen bei die Servicebedingungen an. Wählen Sie „Aktivieren GuardDuty“.

Multi-account environment
Wichtig

Voraussetzung für diesen Prozess ist, dass Sie derselben Organisation angehören wie alle Konten, die Sie verwalten möchten, und Zugriff auf das AWS Organizations Verwaltungskonto haben, um einen Administrator GuardDuty innerhalb Ihrer Organisation delegieren zu können. Für die Delegierung eines Administrators sind möglicherweise zusätzliche Berechtigungen erforderlich. Weitere Informationen finden Sie unter Für die Benennung eines delegierten GuardDuty Administratorkontos sind Berechtigungen erforderlich.

Um ein GuardDuty delegiertes Administratorkonto zu bestimmen

  1. Öffnen Sie die AWS Organizations Konsole unter https://console.aws.amazon.com/organizations/ mit dem Verwaltungskonto.

  2. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

    Ist in Ihrem Konto GuardDuty bereits aktiviert?

    • Falls GuardDuty es noch nicht aktiviert ist, können Sie Erste Schritte auswählen und dann auf der Seite Willkommen GuardDuty bei einen GuardDuty delegierten Administrator benennen.

    • Wenn diese Option aktiviert GuardDuty ist, können Sie auf der Seite „Einstellungen“ einen GuardDuty delegierten Administrator festlegen.

  3. Geben Sie die zwölfstellige AWS Konto-ID des Kontos ein, das Sie als delegierten Administrator für die Organisation festlegen möchten, und wählen Sie GuardDuty Delegieren aus.

    Anmerkung

    Falls dies noch nicht aktiviert GuardDuty ist, wird durch die Benennung eines delegierten Administrators die Aktivierung GuardDuty für dieses Konto in Ihrer aktuellen Region aktiviert.

So fügen Sie Mitgliedskonten hinzu

Dieses Verfahren umfasst das Hinzufügen von Mitgliederkonten zu einem GuardDuty delegierten Administratorkonto durch. AWS Organizations Es besteht auch die Möglichkeit, Mitglieder auf Einladung hinzuzufügen. Weitere Informationen zu beiden Methoden zum Zuordnen von Mitgliedern finden Sie GuardDuty unter. Verwaltung mehrerer Konten bei Amazon GuardDuty

  1. Melden Sie sich im delegierten Administratorkonto an

  2. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  3. Wählen Sie im Navigationsbereich Settings (Einstellungen) und dann Accounts (Konten) aus.

    In der Kontentabelle werden alle Konten in der Organisation angezeigt.

  4. Wählen Sie die Konten aus, die Sie als Mitglieder hinzufügen möchten, indem Sie das Kontrollkästchen neben der Konto-ID aktivieren. Wählen Sie dann im Menü Aktion die Option Mitglied hinzufügen.

    Tipp

    Sie können das Hinzufügen neuer Konten als Mitglieder mit dem Feature Automatisch aktivieren automatisieren. Dies gilt jedoch nur für Konten, die Ihrer Organisation beitreten, nachdem das Feature aktiviert wurde.

Schritt 2: Beispiel-Erkenntnisse generieren und die grundlegenden Abläufe erkunden

Wenn ein Sicherheitsproblem GuardDuty entdeckt wird, wird ein Befund generiert. Ein GuardDuty Befund ist ein Datensatz, der Details zu diesem speziellen Sicherheitsproblem enthält. Die Einzelheiten der Erkenntnis können Ihnen bei der Untersuchung des Problems helfen.

GuardDuty unterstützt die Generierung von Stichprobenergebnissen mit Platzhalterwerten, anhand derer Sie die GuardDuty Funktionalität testen und sich mit den Ergebnissen vertraut machen können, bevor Sie auf ein echtes Sicherheitsproblem reagieren müssen, das von entdeckt wurde. GuardDuty Folgen Sie der nachstehenden Anleitung, um Beispielergebnisse für jeden Befundtyp zu generieren GuardDuty, der unter verfügbar ist. Weitere Möglichkeiten zur Generierung von Stichprobenergebnissen, einschließlich der Generierung eines simulierten Sicherheitsereignisses in Ihrem Konto, finden Sie unter. Beispielergebnisse

So erstellen und untersuchen Sie Beispiel-Erkenntnisse

  1. Wählen Sie im Navigationsbereich Settings (Einstellungen).

  2. Klicken Sie auf der Seite Settings unter Sample findings auf Generate sample findings.

  3. Wählen Sie im Navigationsbereich Zusammenfassung aus, um die in Ihrer AWS Umgebung generierten Erkenntnisse zu den Ergebnissen anzuzeigen. Weitere Informationen zu den Komponenten des Übersichts-Dashboards finden Sie unter Übersichts-Dashboard.

  4. Wählen Sie im Navigationsbereich Findings aus. Die Beispiel-Erkenntnisse werden auf der Seite Aktuelle Erkenntnisse mit dem Präfix [SAMPLE] angezeigt.

  5. Wählen Sie eine Erkenntnis aus der Liste aus, um Details zur Erkenntnis anzuzeigen.

    1. Sie können die verschiedenen Informationsfelder überprüfen, die im Bereich mit den Erkenntnisdetails verfügbar sind. Verschiedene Arten von Erkenntnissen können unterschiedliche Felder haben. Weitere Informationen zu den verfügbaren Feldern für alle Erkenntnistypen finden Sie unter Erkenntnisdetails. In der Detailansicht können Sie die folgenden Aktionen durchführen:

      • Wählen Sie oben im Bereich die Erkenntnis-ID aus, um die vollständigen JSON-Details für die Erkenntnis zu öffnen. Die vollständige JSON-Datei kann auch von dieser Ansicht heruntergeladen werden. Das JSON enthält einige zusätzliche Informationen, die nicht in der Konsolenansicht enthalten sind. Es ist das Format, das von anderen Tools und Services aufgenommen werden kann.

      • Sehen Sie sich den Abschnitt Betroffene Ressource an. Bei einem echten Ergebnis helfen Ihnen die Informationen hier dabei, eine Ressource in Ihrem Konto zu identifizieren, die untersucht werden sollte, und sie enthalten Links zu den entsprechenden AWS Management Console Ressourcen, die umsetzbar sind.

      • Wählen Sie das + oder - beim Lupensymbol, um einen inklusiven oder exklusiven Filter für dieses Detail zu erstellen. Weitere Informationen zu Filtern finden Sie unter Filtern von Ergebnissen.

  6. Archivieren Sie all Ihre Beispiel-Erkenntnisse

    1. Wählen Sie alle Erkenntnisse aus, indem Sie das Kontrollkästchen oben in der Liste aktivieren.

    2. Deaktivieren Sie alle Erkenntnisse, die Sie behalten möchten.

    3. Wählen Sie das Menü Aktionen und dann Archivieren, um die Beispiel-Erkenntnisse auszublenden.

      Anmerkung

      Um die archivierten Erkenntnisse anzuzeigen, wählen Sie Aktuell und dann Archiviert, um zur Erkenntnisansicht zu wechseln.

Schritt 3: Konfigurieren Sie den Export von GuardDuty Ergebnissen in einen Amazon S3 S3-Bucket

GuardDuty empfiehlt, Einstellungen für den Export von Ergebnissen zu konfigurieren, da Sie so Ihre Ergebnisse in einen S3-Bucket exportieren können, um sie nach Ablauf der Aufbewahrungsfrist von GuardDuty 90 Tagen auf unbestimmte Zeit zu speichern. Auf diese Weise können Sie Aufzeichnungen über die Ergebnisse führen oder Probleme in Ihrer AWS Umgebung im Laufe der Zeit verfolgen. Der hier beschriebene Prozess führt Sie durch die Einrichtung eines neuen S3-Buckets und die Erstellung eines neuen KMS-Schlüssels zur Verschlüsselung der Erkenntnisse von der Konsole aus. Weitere Informationen dazu, wie Sie Ihren eigenen vorhandenen Bucket oder einen Bucket in einem anderen Konto verwenden können, finden Sie unter Exportieren von Erkenntnissen.

So konfigurieren Sie die Option zum Export von Erkenntnissen an S3

  1. Um die Ergebnisse zu verschlüsseln, benötigen Sie einen KMS-Schlüssel mit einer Richtlinie, die die Verwendung dieses Schlüssels für die Verschlüsselung ermöglicht GuardDuty . Die folgenden Schritte helfen Ihnen beim Erstellen eines neuen KMS-Schlüssels. Wenn Sie einen KMS-Schlüssel von einem anderen Konto verwenden, müssen Sie die Schlüsselrichtlinie anwenden, indem Sie sich bei dem Konto anmelden AWS-Konto , dem der Schlüssel gehört. Die Region Ihres KMS-Schlüssels und Ihres S3-Buckets muss dieselbe sein. Sie können jedoch dasselbe Bucket und Schlüsselpaar für jede Region verwenden, aus der Sie Erkenntnisse exportieren möchten.

    1. Öffnen Sie die AWS KMS Konsole unter https://console.aws.amazon.com/kms.

    2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

    3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

    4. Klicken Sie auf Create key.

    5. Wählen Sie unter Schlüsseltyp die Option Symmetrisch und dann Weiter.

      Anmerkung

      Informationen zum Erstellen Ihres KMS-Schlüssels finden Sie unter Erstellen von Schlüsseln im Entwicklerhandbuch für AWS Key Management Service .

    6. Geben Sie einen Alias für Ihren Schlüssel ein und wählen Sie dann Weiter aus.

    7. Wählen Sie Weiter und dann erneut Weiter, um die standardmäßigen Verwaltungs- und Nutzungsberechtigungen zu akzeptieren.

    8. Nachdem Sie die Konfiguration überprüft haben, wählen Sie Fertigstellen, um den Schlüssel zu erstellen.

    9. Wählen Sie auf der Seite Vom Kunden verwaltete Schlüssel Ihren Schlüsselalias aus.

    10. Wählen Sie im Abschnitt Schlüsselrichtlinie die Option Zur Richtlinienansicht wechseln aus.

    11. Wählen Sie Bearbeiten und fügen Sie Ihrem KMS-Schlüssel die folgende Schlüsselrichtlinie hinzu, um GuardDuty Zugriff auf Ihren Schlüssel zu gewähren. Mit dieser Anweisung können GuardDuty Sie nur den Schlüssel verwenden, zu dem Sie diese Richtlinie hinzufügen. Stellen Sie beim Bearbeiten der Schlüsselrichtlinie sicher, dass die JSON-Syntax gültig ist. Wenn Sie die Anweisung vor der finalen Anweisung hinzufügen, müssen Sie nach der schließenden Klammer ein Komma hinzufügen.

      {    
    "Sid": "AllowGuardDutyKey",
    "Effect": "Allow",
    "Principal": {
        "Service": "guardduty.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "arn:aws:kms:Region1:444455556666:key/KMSKeyId",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "111122223333",
            "aws:SourceArn": "arn:aws:guardduty:Region2:111122223333:detector/SourceDetectorID"	
        }
    }
}

      Ersetzen Sie Region1 durch die Region Ihres KMS-Schlüssels. Ersetzen Sie 444455556666 durch den, dem der AWS-Konto KMS-Schlüssel gehört. Ersetzen Sie KMS KeyId durch die Schlüssel-ID des KMS-Schlüssels, den Sie für die Verschlüsselung ausgewählt haben. Um all diese Werte — Region, und Schlüssel-ID — zu identifizieren AWS-Konto, sehen Sie sich den ARN Ihres KMS-Schlüssels an. Informationen, um die ARN des Schlüssels zu finden, finden Sie unter Schlüssel-ID und ARN suchen.

      Ersetzen Sie auf ähnliche Weise 111122223333 durch das des AWS-Konto Kontos. GuardDuty Ersetzen Sie Region2 durch die Region des Kontos. GuardDuty Ersetzen Sie SourceDetectorID durch die Melder-ID des GuardDuty Kontos für Region2.

      Um die detectorId für Ihr Konto und Ihre aktuelle Region geltenden Daten zu finden, gehen Sie auf die Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/ -Konsole oder führen Sie die ListDetectorsAPI aus

    12. Wählen Sie Speichern.

  2. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  3. Wählen Sie im Navigationsbereich Settings (Einstellungen).

  4. Wählen Sie unter Exportoptionen für Erkenntnisse die Option Jetzt konfigurieren.

  5. Wählen Sie Neuer Bucket. Geben Sie einen eindeutigen Namen für Ihren S3-Bucket ein.

  6. (Optional) Sie können Ihre neuen Exporteinstellungen testen, indem Sie Beispiel-Erkenntnisse generieren. Wählen Sie im Navigationsbereich Settings (Einstellungen).

  7. Wählen Sie unter dem Abschnitt Beispiel-Erkenntnisse die Option Beispiel-Erkenntnisse erstellen. Die neuen Ergebnisse der Stichprobe werden als Einträge im S3-Bucket angezeigt, der GuardDuty in bis zu fünf Minuten erstellt wurde.

Schritt 4: Richten Sie GuardDuty Suchwarnungen über SNS ein

GuardDuty integriert sich in Amazon EventBridge, wodurch Ergebnisdaten zur Verarbeitung an andere Anwendungen und Dienste gesendet werden können. Mit EventBridge Hilfe von GuardDuty Ergebnissen können Sie automatische Antworten auf Ihre Ergebnisse einleiten, indem Sie Findereignisse mit Zielen wie AWS Lambda Funktionen, Amazon EC2 Systems Manager Manager-Automatisierung, Amazon Simple Notification Service (SNS) und mehr verknüpfen.

In diesem Beispiel erstellen Sie ein SNS-Thema, das das Ziel einer EventBridge Regel sein soll. Anschließend erstellen Sie EventBridge eine Regel, die Ergebnisdaten erfasst. GuardDuty Die resultierende Regel leitet die Erkenntnisdetails an eine E-Mail-Adresse weiter. Weitere Informationen dazu, wie Sie Erkenntnisse an Slack oder Amazon Chime senden und auch die Arten der Benachrichtigungen zu Erkenntnissen ändern können, finden Sie unter Einrichten eines Amazon-SNS-Themas und eines Endpunkts.

So erstellen Sie ein SNS-Thema für Ihre Benachrichtigungen zu Erkenntnissen

  1. Öffnen Sie die Amazon SNS-Konsole unter https://console.aws.amazon.com/sns/v3/home.

  2. Wählen Sie im Navigationsbereich Themen aus.

  3. Wählen Sie Create Topic (Thema erstellen) aus.

  4. Wählen Sie für Typ die Option Standard.

  5. Geben Sie unter Name GuardDuty ein.

  6. Wählen Sie Create Topic (Thema erstellen) aus. Die Themendetails für Ihr neues Thema werden geöffnet.

  7. Wählen Sie im Abschnitt Subscriptions (Abonnements) die Option Create subscription (Abonnement erstellen) aus.

  8. Wählen Sie unter Protocol (Protokoll) die Option Email (E-Mail) aus.

  9. Geben Sie als Endpunkt die E-Mail-Adresse ein, an die Benachrichtigungen gesendet werden sollen.

  10. Wählen Sie Create subscription (Abonnement erstellen) aus.

    Sie müssen Ihre E-Mail-Adresse bestätigen, nachdem Sie das Abonnement erstellt haben.

  11. Um nach einer Abonnementnachricht zu suchen, gehen Sie zu Ihrem E-Mail-Posteingang und wählen Sie in der Abonnementnachricht die Option Abonnement bestätigen.

    Anmerkung

    Um den Status der E-Mail-Bestätigung zu überprüfen, rufen Sie die SNS-Konsole auf und wählen Sie Abonnements.

Um eine EventBridge Regel zu erstellen, um GuardDuty Ergebnisse zu erfassen und zu formatieren

  1. Öffnen Sie die EventBridge Konsole unter https://console.aws.amazon.com/events/.

  2. Wählen Sie im Navigationsbereich Rules aus.

  3. Wählen Sie Regel erstellen aus.

  4. Geben Sie einen Namen und eine Beschreibung für die Regel ein.

    Eine Regel darf nicht denselben Namen wie eine andere Regel in derselben Region und auf demselben Event Bus haben.

  5. Bei Event bus (Ereignisbus) wählen Sie default (Standard) aus.

  6. Bei Rule type (Regeltyp) wählen Sie Rule with an event pattern (Regel mit einem Ereignismuster) aus.

  7. Wählen Sie Weiter aus.

  8. Wählen Sie unter Event source (Ereignisquelle) AWS events (Ereignisse) aus.

  9. Wählen Sie für Ereignismuster die Option Ereignismusterformular.

  10. Als Event source (Ereignisquelle) wählen Sie AWS -Services aus.

  11. Wählen Sie unter AWS -Service die Option GuardDuty aus.

  12. Wählen Sie als Ereignistyp die Option GuardDutyFinding aus.

  13. Wählen Sie Weiter aus.

  14. Bei Target types (Zieltypen) wählen Sie AWS -Service aus.

  15. Wählen Sie für Ziel auswählen das SNS-Thema und für Thema den Namen des SNS-Themas, das Sie zuvor erstellt haben.

  16. Wählen Sie im Abschnitt Zusätzliche Einstellungen unter Zieleingabe konfigurieren die Option Eingabe-Transformer.

    Durch das Hinzufügen eines Eingangstransformators werden die gesendeten JSON-Suchdaten GuardDuty in eine für Menschen lesbare Nachricht formatiert.

  17. Wählen Sie Configure input transformer (Eingabetransformator konfigurieren).

  18. Fügen Sie im Abschnitt Ziel-Eingabe-Transformer für Eingabepfad den folgenden Code ein:

    
{
  "severity": "$.detail.severity",
  "Finding_ID": "$.detail.id",
  "Finding_Type": "$.detail.type",
  "region": "$.region",
  "Finding_description": "$.detail.description"
}

  19. Um die E-Mail zu formatieren, fügen Sie für Template den folgenden Code ein und achten Sie darauf, den roten Text durch die Werte zu ersetzen, die Ihrer Region entsprechen:

    
"You have a severity severity GuardDuty finding type Finding_Type in the Region_Name Region."
"Finding Description:"
"Finding_Description."
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=region#/findings?search=id%3DFinding_ID"

  20. Wählen Sie Bestätigen aus.

  21. Wählen Sie Weiter aus.

  22. (Optional) Geben Sie ein oder mehrere Tags für die Regel ein. Weitere Informationen finden Sie unter EventBridge Amazon-Tags im EventBridge Amazon-Benutzerhandbuch.

  23. Wählen Sie Weiter aus.

  24. Überprüfen Sie die Details der Regel und wählen Sie dann Create rule (Regel erstellen) aus.

  25. (Optional) Testen Sie Ihre neue Regel, indem Sie anhand des in Schritt 2 beschriebenen Prozesses Beispiel-Erkenntnisse generieren. Sie erhalten für jede generierte Beispiel-Erkenntnis eine E-Mail.

Nächste Schritte

Wenn Sie die Nutzung fortsetzen GuardDuty, werden Sie verstehen, welche Arten von Ergebnissen für Ihre Umgebung relevant sind. Wenn Sie eine neue Erkenntnis erhalten, können Sie Informationen, einschließlich Empfehlungen zur Problembehebung, zu dieser Erkenntnis finden, indem Sie in der Beschreibung der Erkenntnis im Bereich mit den Erkenntnisdetails die Option Weitere Informationen auswählen oder indem Sie unter nach dem Namen der Erkenntnis in Erkenntnistypen suchen.

Die folgenden Funktionen helfen Ihnen bei der Feinabstimmung, GuardDuty sodass die relevantesten Ergebnisse für Ihre AWS Umgebung bereitgestellt werden können:

  • Um Ergebnisse auf einfache Weise nach bestimmten Kriterien wie Instanz-ID, Konto-ID, S3-Bucket-Name und mehr zu sortieren, können Sie darin Filter erstellen und speichern GuardDuty. Weitere Informationen finden Sie unter Filtern von Ergebnissen.

  • Wenn Sie Erkenntnisse zu erwartetem Verhalten in Ihrer Umgebung erhalten, können Sie die Erkenntnisse anhand der Kriterien, die Sie mit Unterdrückungsregeln definieren, automatisch archivieren.

  • Um zu verhindern, dass Ergebnisse anhand einer Teilmenge vertrauenswürdiger IPs generiert werden, oder um GuardDuty Monitor-IPs außerhalb des normalen Überwachungsbereichs zu platzieren, können Sie Listen vertrauenswürdiger IP-Adressen und Bedrohungen einrichten.