Voraussetzungen Erstellen Sie in Athena eine Tabelle für Ergebnisse GuardDuty Beispielabfragen Tipps für die Abfrage von Ergebnissen GuardDuty

GuardDuty Amazon-Ergebnisse abfragen

Amazon GuardDuty ist ein Sicherheitsüberwachungsservice, der Ihnen hilft, unerwartete und potenziell nicht autorisierte oder böswillige Aktivitäten in Ihrer AWS Umgebung zu identifizieren. Wenn es unerwartete und potenziell bösartige Aktivitäten erkennt, GuardDuty generiert es Sicherheitsergebnisse, die Sie zur Speicherung und Analyse nach Amazon S3 exportieren können. Nachdem Sie Ihre Ergebnisse in Amazon S3 exportiert haben, können Sie diese mit Athena abfragen. Dieser Artikel zeigt, wie Sie in Athena eine Tabelle für Ihre GuardDuty Ergebnisse erstellen und diese abfragen.

Weitere Informationen zu Amazon GuardDuty finden Sie im GuardDuty Amazon-Benutzerhandbuch.

Voraussetzungen

Aktivieren Sie die GuardDuty Funktion zum Exportieren von Ergebnissen nach Amazon S3. Eine Anleitung dazu finden Sie unter Ergebnisse exportieren im GuardDuty Amazon-Benutzerhandbuch.

Erstellen Sie in Athena eine Tabelle für Ergebnisse GuardDuty

Um Ihre GuardDuty Ergebnisse von Athena abzufragen, müssen Sie eine Tabelle für sie erstellen.

Um in Athena eine Tabelle für GuardDuty Ergebnisse zu erstellen

Öffnen Sie die Athena-Konsole unter https://console.aws.amazon.com/athena/.
Fügen Sie die folgende DDL-Anweisung in die Athena-Konsole ein. Ändern Sie die Werte soLOCATION 's3://amzn-s3-demo-bucket/AWSLogs/account-id/GuardDuty/', dass sie auf Ihre GuardDuty Ergebnisse in Amazon S3 verweisen.
```
CREATE EXTERNAL TABLE `gd_logs` (
  `schemaversion` string,
  `accountid` string,
  `region` string,
  `partition` string,
  `id` string,
  `arn` string,
  `type` string,
  `resource` string,
  `service` string,
  `severity` string,
  `createdat` string,
  `updatedat` string,
  `title` string,
  `description` string)
ROW FORMAT SERDE 'org.openx.data.jsonserde.JsonSerDe'
 LOCATION 's3://amzn-s3-demo-bucket/AWSLogs/account-id/GuardDuty/'
 TBLPROPERTIES ('has_encrypted_data'='true')
```
Anmerkung
Das SerDe erwartet, dass sich jedes JSON-Dokument in einer einzigen Textzeile ohne Zeilenabschlusszeichen befindet, die die Felder im Datensatz trennen. Wenn der JSON-Text ein hübsches Druckformat hat, erhalten Sie möglicherweise eine Fehlermeldung wie HIVE_CURSOR_ERROR: Row is not a valid JSON Object oder HIVE_CURSOR_ERROR:: Unerwartet JsonParseException end-of-input: erwarteter Schließpunkt für OBJECT, wenn Sie versuchen, die Tabelle nach ihrer Erstellung abzufragen. Weitere Informationen finden Sie unter JSON-Datendateien in der SerDe OpenX-Dokumentation unter GitHub.
Führen Sie die Abfrage in der Athena-Konsole aus, um die gd_logs-Tabelle zu registrieren. Wenn die Abfrage abgeschlossen ist, können Sie die Ergebnisse aus Athena abfragen.

Beispielabfragen

Die folgenden Beispiele zeigen, wie GuardDuty Ergebnisse von Athena abgefragt werden.

Beispiel– DNS-Datenexfiltration

Die folgende Abfrage gibt Informationen über EC2 Amazon-Instances zurück, die möglicherweise Daten über DNS-Abfragen exfiltrieren.


SELECT
    title,
    severity,
    type,
    id AS FindingID,
    accountid,
    region,
    createdat,
    updatedat,
    json_extract_scalar(service, '$.count') AS Count,
    json_extract_scalar(resource, '$.instancedetails.instanceid') AS InstanceID,
    json_extract_scalar(service, '$.action.actiontype') AS DNS_ActionType,
    json_extract_scalar(service, '$.action.dnsrequestaction.domain') AS DomainName,
    json_extract_scalar(service, '$.action.dnsrequestaction.protocol') AS protocol,
    json_extract_scalar(service, '$.action.dnsrequestaction.blocked') AS blocked
FROM gd_logs
WHERE type = 'Trojan:EC2/DNSDataExfiltration'
ORDER BY severity DESC

Beispiel– Unberechtigter IAM-Benutzerzugriff

Die folgende Abfrage gibt alle UnauthorizedAccess:IAMUser-Suchtypen für einen IAM-Prinzipal aus allen Regionen zurück.


SELECT title,
         severity,
         type,
         id,
         accountid,
         region,
         createdat,
         updatedat,
         json_extract_scalar(service, '$.count') AS Count, 
         json_extract_scalar(resource, '$.accesskeydetails.username') AS IAMPrincipal, 
         json_extract_scalar(service,'$.action.awsapicallaction.api') AS APIActionCalled
FROM gd_logs
WHERE type LIKE '%UnauthorizedAccess:IAMUser%' 
ORDER BY severity desc;

Tipps für die Abfrage von Ergebnissen GuardDuty

Beachten Sie beim Erstellen der Abfrage die folgenden Punkte.

Um Daten aus verschachtelten JSON-Feldern zu extrahieren, verwenden Sie die json_extract- oder json_extract_scalar-Funktionen von Presto. Weitere Informationen finden Sie unter Extrahieren Sie JSON-Daten aus Zeichenfolgen.
Stellen Sie sicher, dass alle Zeichen in den JSON-Feldern Kleinbuchstaben sind.
Hinweise zum Herunterladen von Abfrageergebnissen finden Sie unter Herunterladen von Abfrageergebnisdateien mithilfe der Athena-Konsole.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Global Accelerator

Network Firewall