Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Comprendere i GuardDuty risultati di Amazon
Un GuardDuty risultato rappresenta un potenziale problema di sicurezza rilevato all'interno della rete. GuardDutygenera un risultato ogni volta che rileva attività impreviste e potenzialmente dannose nell' AWS ambiente in uso.
È possibile visualizzare e gestire i GuardDuty risultati nella pagina Findings della GuardDuty console o utilizzando le operazioni AWS CLI o l'API. Per una panoramica dei modi in cui puoi gestire gli esiti, consulta Gestione dei GuardDuty risultati di Amazon.
Argomenti:
- Dettagli degli esiti
-
Scopri i dettagli associati ai GuardDuty risultati che vengono generati nel tuo account.
- Formato degli esiti di GuardDuty
-
Comprendi il formato dei tipi di GuardDuty ricerca e i diversi scopi delle minacce monitorati GuardDuty.
- Risultati di esempio
-
Prova a generare risultati di esempio per testare e comprendere GuardDuty i risultati e i dettagli associati. Questi risultati sono contrassegnati con il prefisso [SAMPLE].
- GuardDuty Risultati dei test in account dedicati
-
Eseguite uno
guardduty-testerscript in un ambiente non di produzione dedicato Account AWS per generare GuardDuty risultati selezionati nel vostro AWS ambiente. - Tipi di esiti
-
Visualizza e cerca tutti i GuardDuty risultati disponibili per tipo. Ogni voce del tipo di esito include una spiegazione di tale esito, nonché consigli e suggerimenti per la correzione.
Livelli di gravità dei GuardDuty risultati
A ogni GuardDuty rilevazione è assegnato un livello di gravità e un valore che riflettono il rischio potenziale che la scoperta potrebbe comportare per la rete, secondo quanto stabilito dai nostri tecnici di sicurezza. Il valore della gravità può rientrare ovunque nell'intervallo da 1,0 a 8,9, con valori più alti che indicano un rischio maggiore per la sicurezza. Per aiutarti a determinare una risposta a un potenziale problema di sicurezza evidenziato da un risultato GuardDuty , suddividi questo intervallo in livelli di gravità alto, medio e basso.
Nota
I valori 0 e quelli compresi tra 9,0 e 10,0 sono riservati per l'utilizzo futuro.
Di seguito sono riportati i livelli e i valori di gravità attualmente definiti per i GuardDuty risultati, nonché le raccomandazioni generali per ciascuno di essi:
| Livello di gravità | Intervallo di valori |
|---|---|
Elevate |
7,0 - 8,9 |
Il livello "alto" indica che una risorsa (ad es. un'istanza EC2 o un set di credenziali di accesso di un utente IAM) è compromessa e che è attivamente utilizzata per scopi non autorizzati. Si consiglia di considerare prioritario qualsiasi problema di sicurezza di individuazione di gravità elevata e di adottare misure immediate per prevenire un ulteriore utilizzo non autorizzato delle risorse. Ad esempio, ripulire la tua istanza EC2 o terminarla oppure ruotare le credenziali IAM. Per ulteriori dettagli, vedere Procedure di correzione . |
|
Medio |
4,0 - 6,9 |
Un livello di gravità medio indica un'attività sospetta che si discosta dal comportamento normalmente osservato e, a seconda del caso d'uso, può essere indicativa di una compromissione delle risorse. Ti consigliamo di esaminare le risorse coinvolte appena possibile. I passaggi di correzione variano in base alla risorsa e alla famiglia Ricerca, ma in generale, dovresti verificare che l'attività sia autorizzata e coerente con il tuo caso d'uso. Se non è possibile identificare la causa o confermare che l'attività è stata autorizzata, è necessario considerare la risorsa compromessa e seguire le Procedure di correzione per proteggere la risorsa. Ecco alcune cose da considerare quando si esamina una ricerca di livello medio:
|
|
Bassa |
1,0 - 3,9 |
Un livello di gravità basso indica un tentativo di attività sospetta che non ha compromesso la rete, ad esempio una scansione della porta o un tentativo di intrusione non riuscito. Non vi è alcuna operazione consigliata immediata, ma vale la pena prendere nota di queste informazioni in quanto ciò potrebbe indicare che qualcuno sta cercando punti deboli nella rete. |
|
GuardDuty ricerca dell'aggregazione
Tutti i risultati sono dinamici, il che significa che, se GuardDuty rileva una nuova attività correlata allo stesso problema di sicurezza, aggiornerà il risultato originale con le nuove informazioni, invece di generare un nuovo risultato. Questo comportamento consente di identificare i problemi in corso senza dover esaminare più report simili e riduce il rumore complessivo causato da problemi di sicurezza di cui sei già a conoscenza.
Ad esempio, per un esito UnauthorizedAccess:EC2/SSHBruteForce, più tentativi di accesso contro l'istanza verranno aggregati allo stesso ID esito, aumentando il numero di conteggio nei dettagli dell'esito. Questo perché il rilevamento rappresenta un singolo problema di sicurezza con l'istanza che indica che la porta SSH sull'istanza non è adeguatamente protetta contro questo tipo di attività. Tuttavia, se GuardDuty rileva un'attività di accesso SSH rivolta a una nuova istanza nell'ambiente, creerà una nuova scoperta con un ID di ricerca univoco per avvisare l'utente del fatto che esiste un problema di sicurezza associato alla nuova risorsa.
Quando un esito viene aggregato, viene aggiornato con le informazioni relative all'ultima occorrenza di tale attività, il che significa che nell'esempio precedente se la tua istanza è la destinazione di un tentativo di forza bruta da un nuovo attore, i dettagli dell'esito verranno aggiornati per riflettere l'IP remoto dell'origine più recente e le precedenti informazioni saranno sostituite. Le informazioni complete sui singoli tentativi di attività saranno ancora disponibili nei tuoi log di flusso CloudTrail o in VPC.
I criteri che avvisano GuardDuty di generare un nuovo risultato invece di aggregarne uno esistente dipendono dal tipo di risultato. I criteri di aggregazione per ogni tipo di ricerca sono determinati dai nostri tecnici di sicurezza per offrirti la migliore panoramica dei problemi di sicurezza distinti all'interno del tuo account.
Individuazione e analisi dei risultati GuardDuty
Utilizza la procedura seguente per visualizzare e analizzare i GuardDuty risultati.
-
Aprire la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/
. -
Scegliere Risultati e quindi scegliere un risultato specifico per visualizzarne i dettagli.
I dettagli per ogni esito variano a seconda del tipo di esito, delle risorse coinvolte e della natura dell'attività. Per ulteriori informazioni sui campi di ricerca disponibili, vedere Dettagli degli esiti.
-
(Facoltativo) Se desideri archiviare un esito, selezionalo dall'elenco degli esiti e seleziona il menu Operazioni. Quindi scegli Archivia.
Gli esiti archiviati possono essere visualizzati scegliendo Archiviati dall'elenco a discesa Attuali.
Attualmente GuardDuty gli utenti che accedono agli account dei GuardDuty membri non possono archiviare i risultati.
Importante
Se si archivia una ricerca manualmente utilizzando la procedura qui sopra, tutte le successive occorrenze di questo risultato (generato dopo l'archiviazione) vengono aggiunte all'elenco dei risultati disponibili. Per non visualizzare mai questo risultato nell'elenco corrente, è possibile archiviarlo automaticamente. Per ulteriori informazioni, consulta Regole di eliminazione.
-
Per archiviare o scaricare un risultato, selezionarlo dall'elenco dei risultati, quindi scegliere il menu Operazioni. Quindi scegliere Esporta. Quando si esporta una ricerca, è possibile visualizzare l'intero documento in formato JSON.
Nota
In alcuni casi, GuardDuty si rende conto che alcuni risultati sono falsi positivi dopo che sono stati generati. GuardDuty fornisce un campo Confidence nel codice JSON del risultato e ne imposta il valore su zero. In questo modo GuardDuty saprai che puoi tranquillamente ignorare tali risultati.
