Integrieren mit AWS Security Hub - Amazon GuardDuty
So GuardDuty sendet Amazon Ergebnisse an AWS Security Hub GuardDuty Ergebnisse anzeigen in AWS Security HubAktivieren und Konfigurieren der Integration GuardDuty Steuerelemente in Security Hub verwendenEinstellung der Veröffentlichung von Erkenntnissen in Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Integrieren mit AWS Security Hub

AWS Security Hub liefert einen umfassenden Überblick über den Sicherheitsstatus in AWS und hilft Ihnen dabei, Ihre Umgebung anhand von Sicherheitsstandards und bewährten Methoden der Branche zu überprüfen. Security Hub sammelt Sicherheitsdaten von AWS Konten, Diensten und unterstützten Partnerprodukten von Drittanbietern und hilft Ihnen dabei, Ihre Sicherheitstrends zu analysieren und die Sicherheitsprobleme mit der höchsten Priorität zu identifizieren.

Die GuardDuty Amazon-Integration mit Security Hub ermöglicht es Ihnen, Ergebnisse von an Security Hub GuardDuty zu senden. Der Security Hub kann diese Erkenntnisse dann in die Analyse Ihres Sicherheitsniveaus einbeziehen.

So GuardDuty sendet Amazon Ergebnisse an AWS Security Hub

AWS Security Hub In werden Sicherheitsprobleme als Ergebnisse erfasst. Einige Ergebnisse stammen aus Problemen, die von anderen AWS Diensten oder von Drittanbietern entdeckt wurden. Security Hub verwendet ebenfalls verschiedene Regeln, um Sicherheitsprobleme zu erkennen und Ergebnisse zu generieren.

Security Hub bietet Tools zur Verwaltung von Erkenntnissen aus all diesen Quellen. Sie können Listen mit Erkenntnissen anzeigen und filtern und Details zu einer Erkenntnis anzeigen. Weitere Informationen finden Sie unter Anzeigen der Erkenntnisse im AWS Security Hub -Benutzerhandbuch. Sie können auch den Status einer Untersuchung zu einer Erkenntnis nachverfolgen. Weitere Informationen finden Sie unter Ergreifen von Maßnahmen zu Erkenntnissen im AWS Security Hub -Benutzerhandbuch.

Alle Ergebnisse in Security Hub verwenden ein JSON Standardformat namens AWS Security Finding Format (ASFF). Das ASFF beinhaltet Details zur Ursache des Problems, zu den betroffenen Ressourcen und zum aktuellen Stand der Ergebnisse. Weitere Informationen finden Sie im AWS Security Hub Benutzerhandbuch unter Format für AWS Sicherheitsbefunde (ASFF).

Amazon GuardDuty ist einer der AWS Dienste, der Ergebnisse an Security Hub sendet.

Arten von Ergebnissen, die GuardDuty an Security Hub gesendet werden

Sobald Sie Security Hub in demselben Konto innerhalb desselben aktiviert GuardDuty haben AWS-Region, GuardDuty werden alle generierten Ergebnisse an Security Hub gesendet. Diese Ergebnisse werden mit dem Security Finding Format (ASFF) an AWS Security Hub gesendet. In gibt ASFF das Types Feld den Befundtyp an.

Latenz beim Senden neuer Ergebnisse

Wenn ein neues Ergebnis GuardDuty erstellt wird, wird es normalerweise innerhalb von fünf Minuten an Security Hub gesendet.

Wiederholen, wenn der Security Hub nicht verfügbar ist

Wenn Security Hub nicht verfügbar ist, wird GuardDuty erneut versucht, die Ergebnisse zu senden, bis sie empfangen werden.

Aktualisieren von vorhandenen Erkenntnissen in Security Hub

Nachdem es ein Ergebnis an Security Hub gesendet hat, GuardDuty sendet es Updates, um zusätzliche Beobachtungen der Findungsaktivität widerzuspiegeln, an Security Hub. Die neuen Beobachtungen dieser Ergebnisse werden basierend auf den Schritt 5 — Häufigkeit für den Export von Ergebnissen Einstellungen in Ihrem an Security Hub gesendet AWS-Konto.

Wenn Sie einen Befund archivieren oder die Archivierung aufheben, GuardDuty wird dieser Befund nicht an Security Hub gesendet. Manuell dearchivierte Ergebnisse, die später aktiv werden, werden nicht an Security Hub gesendet. GuardDuty

GuardDuty Ergebnisse anzeigen in AWS Security Hub

Melden Sie sich bei an AWS Management Console und öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

Sie können jetzt eine der folgenden Methoden verwenden, um die GuardDuty Ergebnisse in der Security Hub Hub-Konsole anzuzeigen:

Option 1: Integrationen in Security Hub verwenden

  1. Wählen Sie im linken Navigationsbereich Integrationen aus.

  2. Überprüfen Sie auf der Seite Integrationen den Status für Amazon: GuardDuty.

    • Wenn der Status „Ergebnisse werden akzeptiert lautet, wählen Sie neben „Ergebnisse akzeptieren“ die Option Ergebnisse anzeigen aus.

    • Falls nicht, finden Sie weitere Informationen zur Funktionsweise von Integrationen unter Security Hub Hub-Integrationen im AWS Security Hub Benutzerhandbuch.

Option 2: Ergebnisse in Security Hub verwenden

  1. Wählen Sie im linken Navigationsbereich Findings aus.

  2. Fügen Sie auf der Seite Ergebnisse den Filter Produktname hinzu und geben Sie einGuardDuty, um nur GuardDuty Ergebnisse anzuzeigen.

Interpretieren von GuardDuty Fundnamen in AWS Security Hub

GuardDuty sendet die Ergebnisse mithilfe des Security Finding Formats (ASFF) an AWS Security Hub. In gibt ASFF das Types Feld den Befundtyp an. ASFFTypen verwenden ein anderes Benennungsschema als GuardDuty Typen. In der folgenden Tabelle sind alle GuardDuty Findetypen mit ihren ASFF Gegenstücken aufgeführt, so wie sie in Security Hub erscheinen.

Anmerkung

Für einige GuardDuty Ergebnisarten weist Security Hub unterschiedliche Ergebnisnamen ASFF zu, je nachdem, ob die Ressourcenrolle des Ergebnisdetails ACTORoder TARGETwar. Weitere Informationen finden Sie unter Erkenntnisdetails.

GuardDuty Findetyp

ASFFTyp finden

AttackSequence:IAM/CompromisedCredentials

TTPs/AttackSequence:IAM/CompromisedCredentials

AttackSequence:S3/CompromisedData

TTPs/AttackSequence:S3/CompromisedData

Backdoor:EC2/C&CActivity.B

TTPs/Command and Control/Backdoor:EC2-C&CActivity.B

Backdoor:EC2/C&CActivity.B!DNS

TTPs/Command and Control/Backdoor:EC2-C&CActivity.B!DNS

Backdoor:EC2/DenialOfService.Dns

TTPs/Command and Control/Backdoor:EC2-DenialOfService.Dns

Backdoor:EC2/DenialOfService.Tcp

TTPs/Command and Control/Backdoor:EC2-DenialOfService.Tcp

Backdoor:EC2/DenialOfService.Udp

TTPs/Command and Control/Backdoor:EC2-DenialOfService.Udp

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

TTPs/Command and Control/Backdoor:EC2-DenialOfService.UdpOnTcpPorts

Backdoor:EC2/DenialOfService.UnusualProtocol

TTPs/Command and Control/Backdoor:EC2-DenialOfService.UnusualProtocol

Backdoor:EC2/Spambot

TTPs/Command and Control/Backdoor:EC2-Spambot

Behavior:EC2/NetworkPortUnusual

Unusual Behaviors/VM/Behavior:EC2-NetworkPortUnusual

Behavior:EC2/TrafficVolumeUnusual

Unusual Behaviors/VM/Behavior:EC2-TrafficVolumeUnusual

Backdoor:Lambda/C&CActivity.B

TTPs/Command and Control/Backdoor:Lambda-C&CActivity.B

Backdoor:Runtime/C&CActivity.B

TTPs/Command and Control/Backdoor:Runtime-C&CActivity.B

Backdoor:Runtime/C&CActivity.B!DNS

TTPs/Command and Control/Backdoor:Runtime-C&CActivity.B!DNS

CredentialAccess:IAMUser/AnomalousBehavior

TTPs/Credential Access/IAMUser-AnomalousBehavior

CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed

TTPs/AnomalousBehavior/CredentialAccess:Kubernetes-SecretsAccessed
CredentialAccess:Kubernetes/MaliciousIPCaller

TTPs/CredentialAccess/CredentialAccess:Kubernetes-MaliciousIPCaller
CredentialAccess:Kubernetes/MaliciousIPCaller.Custom

TTPs/CredentialAccess/CredentialAccess:Kubernetes-MaliciousIPCaller.Custom
CredentialAccess:Kubernetes/SuccessfulAnonymousAccess

TTPs/CredentialAccess/CredentialAccess:Kubernetes-SuccessfulAnonymousAccess
CredentialAccess:Kubernetes/TorIPCaller

TTPs/CredentialAccess/CredentialAccess:Kubernetes-TorIPCaller

CredentialAccess:RDS/AnomalousBehavior.FailedLogin

TTPs/Credential Access/CredentialAccess:RDS-AnomalousBehavior.FailedLogin

CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce

TTPs/Credential Access/RDS-AnomalousBehavior.SuccessfulBruteForce

CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin

TTPs/Credential Access/RDS-AnomalousBehavior.SuccessfulLogin

CredentialAccess:RDS/MaliciousIPCaller.FailedLogin

TTPs/Credential Access/RDS-MaliciousIPCaller.FailedLogin

CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin

TTPs/Credential Access/RDS-MaliciousIPCaller.SuccessfulLogin

CredentialAccess:RDS/TorIPCaller.FailedLogin

TTPs/Credential Access/RDS-TorIPCaller.FailedLogin

CredentialAccess:RDS/TorIPCaller.SuccessfulLogin

TTPs/Credential Access/RDS-TorIPCaller.SuccessfulLogin

CryptoCurrency:EC2/BitcoinTool.B

TTPs/Command and Control/CryptoCurrency:EC2-BitcoinTool.B

CryptoCurrency:EC2/BitcoinTool.B!DNS

TTPs/Command and Control/CryptoCurrency:EC2-BitcoinTool.B!DNS

CryptoCurrency:Lambda/BitcoinTool.B

TTPs/Command and Control/CryptoCurrency:Lambda-BitcoinTool.B

Effects/Resource Consumption/CryptoCurrency:Lambda-BitcoinTool.B

CryptoCurrency:Runtime/BitcoinTool.B

TTPs/Command and Control/CryptoCurrency:Runtime-BitcoinTool.B

CryptoCurrency:Runtime/BitcoinTool.B!DNS

TTPs/Command and Control/CryptoCurrency:Runtime-BitcoinTool.B!DNS

DefenseEvasion:EC2/UnusualDNSResolver

TTPs/DefenseEvasion/EC2:Unusual-DNS-Resolver

DefenseEvasion:EC2/UnusualDoHActivity

TTPs/DefenseEvasion/EC2:Unusual-DoH-Activity

DefenseEvasion:EC2/UnusualDoTActivity

TTPs/DefenseEvasion/EC2:Unusual-DoT-Activity

DefenseEvasion:IAMUser/AnomalousBehavior

TTPs/Defense Evasion/IAMUser-AnomalousBehavior

DefenseEvasion:Kubernetes/MaliciousIPCaller

TTPs/DefenseEvasion/DefenseEvasion:Kubernetes-MaliciousIPCaller

DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom

TTPs/DefenseEvasion/DefenseEvasion:Kubernetes-MaliciousIPCaller.Custom

DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess

TTPs/DefenseEvasion/DefenseEvasion:Kubernetes-SuccessfulAnonymousAccess

DefenseEvasion:Kubernetes/TorIPCaller

TTPs/DefenseEvasion/DefenseEvasion:Kubernetes-TorIPCaller

DefenseEvasion:Runtime/FilelessExecution

TTPs/Defense Evasion/DefenseEvasion:Runtime-FilelessExecution

DefenseEvasion:Runtime/ProcessInjection.Proc

TTPs/Defense Evasion/DefenseEvasion:Runtime-ProcessInjection.Proc

DefenseEvasion:Runtime/ProcessInjection.Ptrace

TTPs/Defense Evasion/DefenseEvasion:Runtime-ProcessInjection.Ptrace

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

TTPs/Defense Evasion/DefenseEvasion:Runtime-ProcessInjection.VirtualMemoryWrite

DefenseEvasion:Runtime/PtraceAntiDebugging

TTPs/DefenseEvasion/DefenseEvasion:Runtime-PtraceAntiDebugging

DefenseEvasion:Runtime/SuspiciousCommand

TTPs/DefenseEvasion/DefenseEvasion:Runtime-SuspiciousCommand

Entdeckung:IAMUser/AnomalousBehavior

TTPs/Discovery/IAMUser-AnomalousBehavior

Discovery:Kubernetes/AnomalousBehavior.PermissionChecked

TTPs/AnomalousBehavior/Discovery:Kubernetes-PermissionChecked

Discovery:Kubernetes/MaliciousIPCaller

TTPs/Discovery/Discovery:Kubernetes-MaliciousIPCaller

Discovery:Kubernetes/MaliciousIPCaller.Custom

TTPs/Discovery/Discovery:Kubernetes-MaliciousIPCaller.Custom

Discovery:Kubernetes/SuccessfulAnonymousAccess

TTPs/Discovery/Discovery:Kubernetes-SuccessfulAnonymousAccess

Discovery:Kubernetes/TorIPCaller

TTPs/Discovery/Discovery:Kubernetes-TorIPCaller

Discovery:RDS/MaliciousIPCaller

TTPs/Discovery/RDS-MaliciousIPCaller

Discovery:RDS/TorIPCaller

TTPs/Discovery/RDS-TorIPCaller

Discovery:Runtime/SuspiciousCommand

TTPs/Discovery/Discovery:Runtime-SuspiciousCommand

Discovery:S3/AnomalousBehavior

TTPs/Discovery:S3-AnomalousBehavior

Discovery:S3/BucketEnumeration.Unusual

TTPs/Discovery:S3-BucketEnumeration.Unusual

Discovery:S3/MaliciousIPCaller.Custom

TTPs/Discovery:S3-MaliciousIPCaller.Custom

Discovery:S3/TorIPCaller

TTPs/Discovery:S3-TorIPCaller

Discovery:S3/MaliciousIPCaller

TTPs/Discovery:S3-MaliciousIPCaller
Exfiltration:IAMUser/AnomalousBehavior

TTPs/Exfiltration/IAMUser-AnomalousBehavior
Execution:Kubernetes/ExecInKubeSystemPod

TTPs/Execution/Execution:Kubernetes-ExecInKubeSystemPod

Execution:Kubernetes/AnomalousBehavior.ExecInPod

TTPs/AnomalousBehavior/Execution:Kubernetes-ExecInPod

Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed

TTPs/AnomalousBehavior/Execution:Kubernetes-WorkloadDeployed

Impact:Kubernetes/MaliciousIPCaller

TTPs/Impact/Impact:Kubernetes-MaliciousIPCaller

Impact:Kubernetes/MaliciousIPCaller.Custom

TTPs/Impact/Impact:Kubernetes-MaliciousIPCaller.Custom

Impact:Kubernetes/SuccessfulAnonymousAccess

TTPs/Impact/Impact:Kubernetes-SuccessfulAnonymousAccess

Impact:Kubernetes/TorIPCaller

TTPs/Impact/Impact:Kubernetes-TorIPCaller

Persistence:Kubernetes/ContainerWithSensitiveMount

TTPs/Persistence/Persistence:Kubernetes-ContainerWithSensitiveMount

Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount

TTPs/AnomalousBehavior/Persistence:Kubernetes-WorkloadDeployed!ContainerWithSensitiveMount

PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer

TTPs/AnomalousBehavior/PrivilegeEscalation:Kubernetes-WorkloadDeployed!PrivilegedContainer

Persistence:Kubernetes/MaliciousIPCaller

TTPs/Persistence/Persistence:Kubernetes-MaliciousIPCaller

Persistence:Kubernetes/MaliciousIPCaller.Custom

TTPs/Persistence/Persistence:Kubernetes-MaliciousIPCaller.Custom

Persistence:Kubernetes/SuccessfulAnonymousAccess

TTPs/Persistence/Persistence:Kubernetes-SuccessfulAnonymousAccess

Persistence:Kubernetes/TorIPCaller

TTPs/Persistence/Persistence:Kubernetes-TorIPCaller

Execution:EC2/MaliciousFile

TTPs/Execution/Execution:EC2-MaliciousFile

Execution:ECS/MaliciousFile

TTPs/Execution/Execution:ECS-MaliciousFile

Execution:Kubernetes/MaliciousFile

TTPs/Execution/Execution:Kubernetes-MaliciousFile

Execution:Container/MaliciousFile

TTPs/Execution/Execution:Container-MaliciousFile

Execution:EC2/SuspiciousFile

TTPs/Execution/Execution:EC2-SuspiciousFile

Execution:ECS/SuspiciousFile

TTPs/Execution/Execution:ECS-SuspiciousFile

Execution:Kubernetes/SuspiciousFile

TTPs/Execution/Execution:Kubernetes-SuspiciousFile

Execution:Container/SuspiciousFile

TTPs/Execution/Execution:Container-SuspiciousFile

Execution:Runtime/MaliciousFileExecuted

TTPs/Execution/Execution:Runtime-MaliciousFileExecuted

Execution:Runtime/NewBinaryExecuted

TTPs/Execution/Execution:Runtime-NewBinaryExecuted

Execution:Runtime/NewLibraryLoaded

TTPs/Execution/Execution:Runtime-NewLibraryLoaded

Execution:Runtime/ReverseShell

TTPs/Execution/Execution:Runtime-ReverseShell

Execution:Runtime/SuspiciousCommand

TTPs/Execution/Execution:Runtime-SuspiciousCommand

Execution:Runtime/SuspiciousShellCreated

TTPs/Execution/Execution:Runtime-SuspiciousShellCreated

Execution:Runtime/SuspiciousTool

TTPs/Execution/Execution:Runtime-SuspiciousTool

Exfiltration:S3/AnomalousBehavior

TTPs/Exfiltration:S3-AnomalousBehavior

Exfiltration:S3/ObjectRead.Unusual

TTPs/Exfiltration:S3-ObjectRead.Unusual

Exfiltration:S3/MaliciousIPCaller

TTPs/Exfiltration:S3-MaliciousIPCaller

Impact:EC2/AbusedDomainRequest.Reputation

TTPs/Impact:EC2-AbusedDomainRequest.Reputation

Impact:EC2/BitcoinDomainRequest.Reputation

TTPs/Impact:EC2-BitcoinDomainRequest.Reputation

Impact:EC2/MaliciousDomainRequest.Reputation

TTPs/Impact:EC2-MaliciousDomainRequest.Reputation

Impact:EC2/PortSweep

TTPs/Impact/Impact:EC2-PortSweep

Impact:EC2/SuspiciousDomainRequest.Reputation

TTPs/Impact:EC2-SuspiciousDomainRequest.Reputation

Impact:EC2/WinRMBruteForce

TTPs/Impact/Impact:EC2-WinRMBruteForce

Wirkung:IAMUser/AnomalousBehavior

TTPs/Impact/IAMUser-AnomalousBehavior

Impact:Runtime/AbusedDomainRequest.Reputation

TTPs/Impact/Impact:Runtime-AbusedDomainRequest.Reputation

Impact:Runtime/BitcoinDomainRequest.Reputation

TTPs/Impact/Impact:Runtime-BitcoinDomainRequest.Reputation

Impact:Runtime/CryptoMinerExecuted

TTPs/Impact/Impact:Runtime-CryptoMinerExecuted

Impact:Runtime/MaliciousDomainRequest.Reputation

TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation

Impact:Runtime/SuspiciousDomainRequest.Reputation

TTPs/Impact/Impact:Runtime-SuspiciousDomainRequest.Reputatio

Impact:S3/AnomalousBehavior.Delete

TTPs/Impact:S3-AnomalousBehavior.Delete

Impact:S3/AnomalousBehavior.Permission

TTPs/Impact:S3-AnomalousBehavior.Permission

Impact:S3/AnomalousBehavior.Write

TTPs/Impact:S3-AnomalousBehavior.Write

Impact:S3/ObjectDelete.Unusual

TTPs/Impact:S3-ObjectDelete.Unusual

Impact:S3/PermissionsModification.Unusual

TTPs/Impact:S3-PermissionsModification.Unusual

Impact:S3/MaliciousIPCaller

TTPs/Impact:S3-MaliciousIPCaller

InitialAccess:IAMUser/AnomalousBehavior

TTPs/Initial Access/IAMUser-AnomalousBehavior

Object:S3/MaliciousFile

TTPs/Object/Object:S3-MaliciousFile

PenTest:IAMUser/KaliLinux

TTPs/PenTest:IAMUser/KaliLinux

PenTest:IAMUser/ParrotLinux

TTPs/PenTest:IAMUser/ParrotLinux

PenTest:IAMUser/PentooLinux

TTPs/PenTest:IAMUser/PentooLinux

PenTest:S3/KaliLinux

TTPs/PenTest:S3-KaliLinux

PenTest:S3/ParrotLinux

TTPs/PenTest:S3-ParrotLinux

PenTest:S3/PentooLinux

TTPs/PenTest:S3-PentooLinux

Beharrlichkeit:/IAMUserAnomalousBehavior

TTPs/Persistence/IAMUser-AnomalousBehavior

Persistence:IAMUser/NetworkPermissions

TTPs/Persistence/Persistence:IAMUser-NetworkPermissions

Persistence:IAMUser/ResourcePermissions

TTPs/Persistence/Persistence:IAMUser-ResourcePermissions

Persistence:IAMUser/UserPermissions

TTPs/Persistence/Persistence:IAMUser-UserPermissions

Persistence:Runtime/SuspiciousCommand

TTPs/Persistence/Persistence:Runtime-SuspiciousCommand

Policy:IAMUser/RootCredentialUsage

TTPs/Policy:IAMUser-RootCredentialUsage

Policy:IAMUser/ShortTermRootCredentialUsage

TTPs/Policy:IAMUser-ShortTermRootCredentialUsage

Policy:Kubernetes/AdminAccessToDefaultServiceAccount

Software and Configuration Checks/AWS Security Best Practices/Policy:Kubernetes-AdminAccessToDefaultServiceAccount

Policy:Kubernetes/AnonymousAccessGranted

Software and Configuration Checks/AWS Security Best Practices/Policy:Kubernetes-AnonymousAccessGranted

Policy:Kubernetes/ExposedDashboard

Software and Configuration Checks/AWS Security Best Practices/Policy:Kubernetes-ExposedDashboard

Policy:Kubernetes/KubeflowDashboardExposed

Software and Configuration Checks/AWS Security Best Practices/Policy:Kubernetes-KubeflowDashboardExposed

Policy:S3/AccountBlockPublicAccessDisabled

TTPs/Policy:S3-AccountBlockPublicAccessDisabled

Policy:S3/BucketAnonymousAccessGranted

TTPs/Policy:S3-BucketAnonymousAccessGranted

Policy:S3/BucketBlockPublicAccessDisabled

Effects/Data Exposure/Policy:S3-BucketBlockPublicAccessDisabled

Policy:S3/BucketPublicAccessGranted

TTPs/Policy:S3-BucketPublicAccessGranted

PrivilegeEscalation:IAMUser/AnomalousBehavior

TTPs/Privilege Escalation/IAMUser-AnomalousBehavior

PrivilegeEscalation:IAMUser/AdministrativePermissions

TTPs/Privilege Escalation/PrivilegeEscalation:IAMUser-AdministrativePermissions

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated

TTPs/AnomalousBehavior/PrivilegeEscalation:Kubernetes-RoleBindingCreated

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated

TTPs/AnomalousBehavior/PrivilegeEscalation:Kubernetes-RoleCreated

PrivilegeEscalation:Kubernetes/PrivilegedContainer

TTPs/PrivilegeEscalation/PrivilegeEscalation:Kubernetes-PrivilegedContainer

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-ContainerMountsHostDirectory

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-CGroupsReleaseAgentModified

PrivilegeEscalation:Runtime/DockerSocketAccessed

TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-DockerSocketAccessed

PrivilegeEscalation:Runtime/ElevationToRoot

TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-ElevationToRoot

PrivilegeEscalation:Runtime/RuncContainerEscape

TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-RuncContainerEscape

PrivilegeEscalation:Runtime/SuspiciousCommand

Software and Configuration Checks/PrivilegeEscalation:Runtime-SuspiciousCommand

PrivilegeEscalation:Runtime/UserfaultfdUsage

TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-UserfaultfdUsage

Recon:EC2/PortProbeEMRUnprotectedPort

TTPs/Discovery/Recon:EC2-PortProbeEMRUnprotectedPort

Recon:EC2/PortProbeUnprotectedPort

TTPs/Discovery/Recon:EC2-PortProbeUnprotectedPort

Recon:EC2/Portscan

TTPs/Discovery/Recon:EC2-Portscan

Recon:IAMUser/MaliciousIPCaller

TTPs/Discovery/Recon:IAMUser-MaliciousIPCaller

Recon:IAMUser/MaliciousIPCaller.Custom

TTPs/Discovery/Recon:IAMUser-MaliciousIPCaller.Custom

Recon:IAMUser/NetworkPermissions

TTPs/Discovery/Recon:IAMUser-NetworkPermissions

Recon:IAMUser/ResourcePermissions

TTPs/Discovery/Recon:IAMUser-ResourcePermissions

Recon:IAMUser/TorIPCaller

TTPs/Discovery/Recon:IAMUser-TorIPCaller

Recon:IAMUser/UserPermissions

TTPs/Discovery/Recon:IAMUser-UserPermissions

ResourceConsumption:IAMUser/ComputeResources

Unusual Behaviors/User/ResourceConsumption:IAMUser-ComputeResources

Stealth:IAMUser/CloudTrailLoggingDisabled

TTPs/Defense Evasion/Stealth:IAMUser-CloudTrailLoggingDisabled

Stealth:IAMUser/LoggingConfigurationModified

TTPs/Defense Evasion/Stealth:IAMUser-LoggingConfigurationModified

Stealth:IAMUser/PasswordPolicyChange

TTPs/Defense Evasion/Stealth:IAMUser-PasswordPolicyChange

Stealth:S3/ServerAccessLoggingDisabled

TTPs/Defense Evasion/Stealth:S3-ServerAccessLoggingDisabled

Trojan:EC2/BlackholeTraffic

TTPs/Command and Control/Trojan:EC2-BlackholeTraffic

Trojan:EC2/BlackholeTraffic!DNS

TTPs/Command and Control/Trojan:EC2-BlackholeTraffic!DNS

Trojan:EC2/DGADomainRequest.B

TTPs/Command and Control/Trojan:EC2-DGADomainRequest.B

Trojan:EC2/DGADomainRequest.C!DNS

TTPs/Command and Control/Trojan:EC2-DGADomainRequest.C!DNS

Trojan:EC2/DNSDataExfiltration

TTPs/Command and Control/Trojan:EC2-DNSDataExfiltration

Trojan:EC2/DriveBySourceTraffic!DNS

TTPs/Initial Access/Trojan:EC2-DriveBySourceTraffic!DNS

Trojan:EC2/DropPoint

Effects/Data Exfiltration/Trojan:EC2-DropPoint

Trojan:EC2/DropPoint!DNS

Effects/Data Exfiltration/Trojan:EC2-DropPoint!DNS

Trojan:EC2/PhishingDomainRequest!DNS

TTPs/Command and Control/Trojan:EC2-PhishingDomainRequest!DNS

Trojan:Lambda/BlackholeTraffic

TTPs/Command and Control/Trojan:Lambda-BlackholeTraffic

Trojan:Lambda/DropPoint

Effects/Data Exfiltration/Trojan:Lambda-DropPoint

Trojan:Runtime/BlackholeTraffic

TTPs/Command and Control/Trojan:Runtime-BlackholeTraffic

Trojan:Runtime/BlackholeTraffic!DNS

TTPs/Command and Control/Trojan:Runtime-BlackholeTraffic!DNS

Trojan:Runtime/DGADomainRequest.C!DNS

TTPs/Command and Control/Trojan:Runtime-DGADomainRequest.C!DNS

Trojan:Runtime/DriveBySourceTraffic!DNS

TTPs/Initial Access/Trojan:Runtime-DriveBySourceTraffic!DNS

Trojan:Runtime/DropPoint

Effects/Data Exfiltration/Trojan:Runtime-DropPoint

Trojan:Runtime/DropPoint!DNS

Effects/Data Exfiltration/Trojan:Runtime-DropPoint!DNS

Trojan:Runtime/PhishingDomainRequest!DNS

TTPs/Command and Control/Trojan:Runtime-PhishingDomainRequest!DNS

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

TTPs/Command and Control/UnauthorizedAccess:EC2-MaliciousIPCaller.Custom

UnauthorizedAccess:EC2/MetadataDNSRebind

TTPs/UnauthorizedAccess:EC2-MetadataDNSRebind

UnauthorizedAccess:EC2/RDPBruteForce

TTPs/Initial Access/UnauthorizedAccess:EC2-RDPBruteForce

UnauthorizedAccess:EC2/SSHBruteForce

TTPs/Initial Access/UnauthorizedAccess:EC2-SSHBruteForce

UnauthorizedAccess:EC2/TorClient

Effects/Resource Consumption/UnauthorizedAccess:EC2-TorClient

UnauthorizedAccess:EC2/TorRelay

Effects/Resource Consumption/UnauthorizedAccess:EC2-TorRelay

UnauthorizedAccess:IAMUser/ConsoleLogin

Unusual Behaviors/User/UnauthorizedAccess:IAMUser-ConsoleLogin

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

TTPs/UnauthorizedAccess:IAMUser-ConsoleLoginSuccess.B

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

Effects/Data Exfiltration/UnauthorizedAccess:IAMUser-InstanceCredentialExfiltration.InsideAWS

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

Effects/Data Exfiltration/UnauthorizedAccess:IAMUser-InstanceCredentialExfiltration.OutsideAWS

UnauthorizedAccess:IAMUser/MaliciousIPCaller

TTPs/UnauthorizedAccess:IAMUser-MaliciousIPCaller

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

TTPs/UnauthorizedAccess:IAMUser-MaliciousIPCaller.Custom

UnauthorizedAccess:IAMUser/TorIPCaller

TTPs/Command and Control/UnauthorizedAccess:IAMUser-TorIPCaller

UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom

TTPs/Command and Control/UnauthorizedAccess:Lambda-MaliciousIPCaller.Custom

UnauthorizedAccess:Lambda/TorClient

Effects/Resource Consumption/UnauthorizedAccess:Lambda-TorClient

UnauthorizedAccess:Lambda/TorRelay

Effects/Resource Consumption/UnauthorizedAccess:Lambda-TorRelay

UnauthorizedAccess:Runtime/MetadataDNSRebind

TTPs/UnauthorizedAccess:Runtime-MetadataDNSRebind

UnauthorizedAccess:Runtime/TorRelay

Effects/Resource Consumption/UnauthorizedAccess:Runtime-TorRelay

UnauthorizedAccess:Runtime/TorClient

Effects/Resource Consumption/UnauthorizedAccess:Runtime-TorClient

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

TTPs/UnauthorizedAccess:S3-MaliciousIPCaller.Custom

UnauthorizedAccess:S3/TorIPCaller

TTPs/UnauthorizedAccess:S3-TorIPCaller

Typische Erkenntnis von GuardDuty

GuardDuty sendet Ergebnisse mithilfe des Security Finding Formats (ASFF) an AWS Security Hub.

Hier ist ein Beispiel für ein typisches Ergebnis von GuardDuty.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64/finding/46ba0ac2845071e23ccdeb2ae03bfdea",
  "ProductArn": "arn:aws:securityhub:us-east-1:product/aws/guardduty",
  "GeneratorId": "arn:aws:guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64",
  "AwsAccountId": "193043430472",
  "Types": [
    "TTPs/Initial Access/UnauthorizedAccess:EC2-SSHBruteForce"
  ],
  "FirstObservedAt": "2020-08-22T09:15:57Z",
  "LastObservedAt": "2020-09-30T11:56:49Z",
  "CreatedAt": "2020-08-22T09:34:34.146Z",
  "UpdatedAt": "2020-09-30T12:14:00.206Z",
  "Severity": {
    "Product": 2,
    "Label": "MEDIUM",
    "Normalized": 40
  },
  "Title": "199.241.229.197 is performing SSH brute force attacks against i-0c10c2c7863d1a356.",
  "Description": "199.241.229.197 is performing SSH brute force attacks against i-0c10c2c7863d1a356. Brute force attacks are used to gain unauthorized access to your instance by guessing the SSH password.",
  "SourceUrl": "https://us-east-1.console.aws.amazon.com/guardduty/home?region=us-east-1#/findings?macros=current&fId=46ba0ac2845071e23ccdeb2ae03bfdea",
  "ProductFields": {
    "aws/guardduty/service/action/networkConnectionAction/remotePortDetails/portName": "Unknown",
    "aws/guardduty/service/archived": "false",
    "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/asnOrg": "CENTURYLINK-US-LEGACY-QWEST",
    "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/geoLocation/lat": "42.5122",
    "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/ipAddressV4": "199.241.229.197",
    "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/geoLocation/lon": "-90.7384",
    "aws/guardduty/service/action/networkConnectionAction/blocked": "false",
    "aws/guardduty/service/action/networkConnectionAction/remotePortDetails/port": "46717",
    "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/country/countryName": "United States",
    "aws/guardduty/service/serviceName": "guardduty",
    "aws/guardduty/service/evidence": "",
    "aws/guardduty/service/action/networkConnectionAction/localIpDetails/ipAddressV4": "172.31.43.6",
    "aws/guardduty/service/detectorId": "d4b040365221be2b54a6264dc9a4bc64",
    "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/org": "CenturyLink",
    "aws/guardduty/service/action/networkConnectionAction/connectionDirection": "INBOUND",
    "aws/guardduty/service/eventFirstSeen": "2020-08-22T09:15:57Z",
    "aws/guardduty/service/eventLastSeen": "2020-09-30T11:56:49Z",
    "aws/guardduty/service/action/networkConnectionAction/localPortDetails/portName": "SSH",
    "aws/guardduty/service/action/actionType": "NETWORK_CONNECTION",
    "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/city/cityName": "Dubuque",
    "aws/guardduty/service/additionalInfo": "",
    "aws/guardduty/service/resourceRole": "TARGET",
    "aws/guardduty/service/action/networkConnectionAction/localPortDetails/port": "22",
    "aws/guardduty/service/action/networkConnectionAction/protocol": "TCP",
    "aws/guardduty/service/count": "74",
    "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/asn": "209",
    "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/isp": "CenturyLink",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/guardduty/arn:aws:guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64/finding/46ba0ac2845071e23ccdeb2ae03bfdea",
    "aws/securityhub/ProductName": "GuardDuty",
    "aws/securityhub/CompanyName": "Amazon"
  },
  "Resources": [
    {
      "Type": "AwsEc2Instance",
      "Id": "arn:aws:ec2:us-east-1:193043430472:instance/i-0c10c2c7863d1a356",
      "Partition": "aws",
      "Region": "us-east-1",
      "Tags": {
        "Name": "kubectl"
      },
      "Details": {
        "AwsEc2Instance": {
          "Type": "t2.micro",
          "ImageId": "ami-02354e95b39ca8dec",
          "IpV4Addresses": [
            "18.234.130.16",
            "172.31.43.6"
          ],
          "VpcId": "vpc-a0c2d7c7",
          "SubnetId": "subnet-4975b475",
          "LaunchedAt": "2020-08-03T23:21:57Z"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE"
}

Aktivieren und Konfigurieren der Integration

Um die Integration mit verwenden zu können AWS Security Hub, müssen Sie Security Hub aktivieren. Informationen zur Aktivierung von Security Hub finden Sie unter Einrichten von Security Hub im AWS Security Hub -Leitfaden.

Wenn Sie GuardDuty sowohl als auch Security Hub aktivieren, wird die Integration automatisch aktiviert. GuardDutybeginnt sofort, Ergebnisse an Security Hub zu senden.

GuardDuty Steuerelemente in Security Hub verwenden

AWS Security Hub nutzt Sicherheitskontrollen, um Ihre AWS Ressourcen zu bewerten und Ihre Einhaltung der Sicherheitsstandards und bewährten Verfahren zu überprüfen. Sie können die Kontrollen verwenden, die sich auf GuardDuty Ressourcen und ausgewählte Schutzpläne beziehen. Weitere Informationen finden Sie unter Amazon GuardDuty Controls im AWS Security Hub Benutzerhandbuch.

Eine Liste aller Kontrollen für AWS Dienste und Ressourcen finden Sie im AWS Security Hub Benutzerhandbuch unter Security Hub-Steuerungsreferenz.

Einstellung der Veröffentlichung von Erkenntnissen in Security Hub

Um das Senden von Ergebnissen an Security Hub zu beenden, können Sie entweder die Security Hub Hub-Konsole oder die verwendenAPI.

Weitere Informationen finden Sie im AWS Security Hub Benutzerhandbuch unter Den Fluss von Ergebnissen aus einer Integration deaktivieren und aktivieren (Konsole) oder Den Fluss von Ergebnissen aus einer Integration deaktivieren (Security Hub API AWS CLI).