Memahami GuardDuty temuan Amazon

GuardDuty Temuan mewakili masalah keamanan potensial yang terdeteksi dalam jaringan Anda. GuardDutymenghasilkan temuan setiap kali mendeteksi aktivitas tak terduga dan berpotensi berbahaya di AWS lingkungan Anda.

Anda dapat melihat dan mengelola GuardDuty temuan Anda di halaman Temuan di GuardDuty konsol atau dengan menggunakan operasi AWS CLI atau API. Untuk gambaran umum tentang cara mengelola temuan, lihat Mengelola GuardDuty temuan Amazon.

Topik:

Detail temuan

Pelajari detail yang terkait dengan GuardDuty temuan yang dihasilkan di akun Anda.

GuardDuty format temuan

Memahami format GuardDuty menemukan jenis dan tujuan ancaman yang berbeda dilacak oleh GuardDuty.

Sampel temuan

Cobalah menghasilkan temuan sampel untuk menguji dan memahami GuardDuty temuan dan detail terkait. Temuan ini ditandai dengan awalan [SAMPEL].

GuardDuty Temuan uji di akun khusus

Jalankan guardduty-tester skrip dalam non-produksi khusus Akun AWS untuk menghasilkan GuardDuty temuan yang dipilih di AWS lingkungan Anda.

Tipe temuan

Lihat dan cari semua GuardDuty temuan yang tersedia berdasarkan jenis. Setiap entri tipe temuan mencakup penjelasan tentang temuan tersebut serta tips dan saran perbaikan.

Tingkat keparahan untuk GuardDuty temuan

Setiap GuardDuty temuan memiliki tingkat keparahan dan nilai yang ditetapkan yang mencerminkan potensi risiko temuan tersebut terhadap jaringan Anda sebagaimana ditentukan oleh teknisi keamanan kami. Nilai tingkat keparahan dapat jatuh di mana saja dalam kisaran 1,0 hingga 8,9, dengan nilai yang lebih tinggi menunjukkan risiko keamanan yang lebih besar. Untuk membantu Anda menentukan respons terhadap masalah keamanan potensial yang disorot oleh temuan, GuardDuty uraikan rentang ini menjadi tingkat keparahan Tinggi, Sedang, dan Rendah.

catatan

Nilai 0 dan antara 9.0 dan 10.0 dicadangkan untuk penggunaan masa depan.

Berikut ini adalah tingkat keparahan dan nilai yang ditentukan saat ini untuk GuardDuty temuan serta rekomendasi umum untuk masing-masing:

Tingkat kepelikan	Rentang nilai
Tinggi	7.0 - 8.9
Tingkat keparahan yang tinggi menunjukkan bahwa sumber daya yang dimaksud (instans EC2 atau sekumpulan kredensyal masuk pengguna IAM) dikompromikan dan secara aktif digunakan untuk tujuan yang tidak sah. Kami merekomendasikan agar Anda memprioritaskan masalah keamanan temuan dengan tingkat kepelikan Tinggi dan segara mengambil langkah-langkah perbaikan untuk mencegah penggunaan yang tidak sah lainnya atas sumber daya Anda. Misalnya, bersihkan instans EC2 Anda atau mengakhirinya, atau memutar kredensial IAM. Lihat Langkah-langkah Perbaikan untuk detail selengkapnya.
Sedang	4.0 - 6,9
Tingkat kepelikan Sedang menunjukkan aktivitas mencurigakan yang menyimpang dari perilaku normal yang diamati dan, tergantung kasus penggunaan Anda, mungkin mengindikasikan penyusupan sumber daya. Kami merekomendasikan agar Anda segera menyelidiki sumber daya yang bersangkutan. Langkah-langkah perbaikan akan bervariasi menurut keluarga sumber daya dan temuan, tetapi secara umum, Anda harus mengonfirmasi bahwa aktivitas tersebut sah dan konsisten dengan kasus penggunaan Anda. Jika Anda tidak dapat mengidentifikasi penyebabnya, atau mengonfirmasi aktivitas tersebut sebagai aktivitas yang sah, Anda harus mempertimbangkan bahwa sumber daya mungkin telah disusupi dan melakukan Langkah-langkah Perbaikan untuk mengamankan sumber daya. Berikut adalah beberapa hal yang perlu dipertimbangkan ketika meninjau temuan tingkat Sedang: Periksa apakah pengguna yang berwenang telah menginstal perangkat lunak baru yang mengubah perilaku sumber daya (misalnya, mengizinkan lalu lintas yang lebih tinggi dari biasanya, atau mengaktifkan komunikasi pada port baru). Periksa apakah pengguna yang berwenang mengubah pengaturan panel kontrol, misalnya, mengubah pengaturan grup keamanan. Jalankan pemindaian anti-virus pada sumber daya yang bersangkutan untuk mendeteksi perangkat lunak yang tidak sah. Verifikasi izin yang terlampir pada IAM role, pengguna, grup, atau set kredensial yang bersangkutan. Ini mungkin harus diubah atau diputar.
Rendah	1.0 - 3.9
Tingkat kepelikan rendah menunjukkan upaya aktivitas mencurigakan yang tidak membahayakan jaringan Anda, misalnya, pemindaian port atau upaya penyusupan yang gagal. Tidak ada tindakan yang disarankan segera dilakukan, tetapi ada baiknya untuk mencatat informasi ini karena mungkin mengindikasikan bahwa seseorang sedang mencari titik lemah di jaringan Anda.

GuardDuty menemukan agregasi

Semua temuan bersifat dinamis, artinya, jika GuardDuty mendeteksi aktivitas baru yang terkait dengan masalah keamanan yang sama, itu akan memperbarui temuan asli dengan informasi baru, alih-alih menghasilkan temuan baru. Perilaku ini memungkinkan Anda mengidentifikasi masalah yang sedang berlangsung, tanpa perlu melihat-lihat beberapa laporan serupa, dan mengurangi kebisingan keseluruhan dari masalah keamanan yang sudah Anda ketahui.

Misalnya, untuk UnauthorizedAccess:EC2/SSHBruteForce menemukan, beberapa upaya akses terhadap instans Anda akan digabungkan ke ID temuan yang sama, meningkatkan jumlah Hitungan dalam detail temuan. Ini karena temuan tersebut mewakili satu masalah keamanan dengan instans yang menunjukkan bahwa port SSH pada instans tidak diamankan dengan benar terhadap tipe aktivitas ini. Namun, jika GuardDuty mendeteksi aktivitas akses SSH yang menargetkan instance baru di lingkungan Anda, itu akan membuat temuan baru dengan ID temuan unik untuk mengingatkan Anda tentang fakta bahwa ada masalah keamanan yang terkait dengan sumber daya baru.

Ketika sebuah temuan dikumpulkan, temuan tersebut diperbarui dengan informasi dari kejadian terbaru dari aktivitas tersebut. Ini berarti bahwa dalam contoh di atas, jika instans Anda adalah target upaya brute force dari aktor baru, detail temuan akan diperbarui untuk mencerminkan IP jarak jauh dari sumber terbaru dan informasi lama akan diganti. Informasi lengkap tentang upaya aktivitas individu akan tetap tersedia di Log Aliran VPC CloudTrail atau VPC Anda.

Kriteria yang mengingatkan GuardDuty untuk menghasilkan temuan baru alih-alih menggabungkan yang sudah ada tergantung pada jenis temuan. Kriteria agregasi untuk setiap tipe temuan ditentukan oleh teknisi keamanan kami untuk memberikan gambaran terbaik tentang masalah keamanan yang berbeda dalam akun Anda.

Menemukan dan menganalisis temuan GuardDuty

Gunakan prosedur berikut untuk melihat dan menganalisis GuardDuty temuan Anda.

1. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

2. Pilih Temuan lalu pilih temuan tertentu untuk melihat detailnya.

   Detail untuk setiap temuan akan berbeda tergantung tipe temuan, sumber daya yang bersangkutan, dan sifat dari aktivitas tersebut. Untuk informasi selengkapnya tentang bidang temuan yang tersedia, lihat Detail temuan.

3. (Opsional) Jika Anda ingin mengarsipkan temuan, pilih dari daftar temuan Anda, lalu pilih menu Tindakan. Kemudian pilih Arsip.

   Temuan yang diarsipkan dapat dilihat dengan memilih Diarsipkan dari menu tarik-turun Saat ini.

   Saat ini GuardDuty pengguna dari akun GuardDuty anggota tidak dapat mengarsipkan temuan.

   penting

   Jika Anda mengarsipkan temuan secara manual melalui prosedur di atas, semua kejadian berikutnya dari temuan ini (dihasilkan setelah pengarsipan selesai) akan ditambahkan ke daftar temuan Anda saat ini. Untuk tidak pernah melihat temuan ini dalam daftar saat ini, Anda dapat mengarsipkannya secara otomatis. Untuk informasi selengkapnya, lihat Aturan penekanan.

4. (Opsional) Untuk mengunduh temuan, pilih dari daftar temuan Anda, lalu pilih menu Tindakan. Kemudian pilih Ekspor. Saat Anda Ekspor temuan, Anda dapat melihat dokumen JSON yang lengkap.

   catatan

   Dalam beberapa kasus GuardDuty , menyadari bahwa temuan tertentu adalah positif palsu setelah dihasilkan. GuardDuty menyediakan bidang Keyakinan di JSON temuan, dan menetapkan nilainya ke nol. Dengan cara ini GuardDuty memungkinkan Anda tahu bahwa Anda dapat dengan aman mengabaikan temuan tersebut.