GuardDuty trovare l'aggregazione

Tutti i risultati sono dinamici, il che significa che, se GuardDuty rileva una nuova attività correlata allo stesso problema di sicurezza, aggiornerà il risultato originale con le nuove informazioni, invece di generare un nuovo risultato. Questo comportamento consente di identificare i problemi in corso senza dover esaminare più report simili e riduce il rumore complessivo causato da problemi di sicurezza di cui sei già a conoscenza.

Ad esempio, per un esito UnauthorizedAccess:EC2/SSHBruteForce, più tentativi di accesso contro l'istanza verranno aggregati allo stesso ID esito, aumentando il numero di conteggio nei dettagli dell'esito. Questo perché tale risultato rappresenta un unico problema di sicurezza: l'istanza indica che la SSH porta sull'istanza non è adeguatamente protetta contro questo tipo di attività. Tuttavia, se GuardDuty rileva un'attività di SSH accesso rivolta a una nuova istanza nell'ambiente in uso, creerà una nuova scoperta con un ID di ricerca univoco per avvisare l'utente del fatto che esiste un problema di sicurezza associato alla nuova risorsa.

Quando un esito viene aggregato, viene aggiornato con le informazioni relative all'ultima occorrenza di tale attività, il che significa che nell'esempio precedente se la tua istanza è la destinazione di un tentativo di forza bruta da un nuovo attore, i dettagli dell'esito verranno aggiornati per riflettere l'IP remoto dell'origine più recente e le precedenti informazioni saranno sostituite. Le informazioni complete sui singoli tentativi di attività saranno ancora disponibili nei tuoi log CloudTrail o in VPC Flow.

I criteri che avvisano GuardDuty di generare un nuovo risultato invece di aggregarne uno esistente dipendono dal tipo di risultato. I criteri di aggregazione per ogni tipo di ricerca sono determinati dai nostri tecnici di sicurezza per offrirti la migliore panoramica dei problemi di sicurezza distinti all'interno del tuo account.