View a markdown version of this page

GuardDuty Untersuchung (Vorschau) - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

GuardDuty Untersuchung (Vorschau)

GuardDuty Die Untersuchung bietet eine AI-powered Sicherheitsanalyse Ihrer GuardDuty Ergebnisse und Konten. Wenn Sie eine Untersuchung erstellen, GuardDuty werden anhand von Wissensdiagrammen der Kontext der Ergebnisse, zugehörige Aktivitäten der letzten 90 Tage, betroffene Ressourcen, Bedrohungsinformationen und Bedrohungsindikatoren untersucht. Jede Untersuchung bietet eine Bewertung der Bedrohungslage mit Vertrauensbewertung, Klassifizierung der MITRE ATT&CK® -Technik, unterstützenden Nachweisen und umsetzbaren Empfehlungen.

Jede Untersuchung liefert die folgenden Erkenntnisse:

  • Risikostufe — Eine Bewertung des Gesamtrisikos: Info, Niedrig, Mittel, Hoch oder Kritisch.

  • Konfidenz — Das Konfidenzniveau der Bewertung: Unbekannt, Niedrig, Mittel oder Hoch.

  • Zusammenfassung — Eine Beschreibung der Untersuchungsergebnisse und der wichtigsten Beobachtungen.

  • Einzelheiten der Untersuchung — Zusätzliche Informationen und Kontext im Zusammenhang mit der Untersuchung.

  • Empfohlene Maßnahmen — Detaillierte Maßnahmen, einschließlich der CLI-Befehle, können Sie ergreifen, um die identifizierten Probleme zu beheben.

Anmerkung

GuardDuty Investigation ist nur in den folgenden 10 AWS Handelsregionen verfügbar: USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon), Kanada (Zentral), Europa (Frankfurt), Europa (Irland), Europa (London), Europa (Paris), Europa (Stockholm) und Asien-Pazifik (Tokio).

Arten der Analyse

GuardDuty Die Untersuchung unterstützt die folgenden drei Analysearten:

  • Ergebnisanalyse — Analysiert spezifische GuardDuty Ergebnisse, wenn Sie die Ergebnis-ID (32 Zeichen hexadezimal) angeben. Als Vorschauversion unterstützt GuardDuty Investigation alle Ergebnisse von Extended Threat Detection (XTD) sowie ausgewählte Ergebnisse aus den Plänen „Fundament“, „S3“ und „Runtime“.

  • Kontoanalyse — Analysiert die Bedrohungslage eines AWS Kontos, wenn Sie die 12-stellige AWS Konto-ID angeben.

  • Organisationsanalyse — Analysiert die Bedrohungslage Ihres Unternehmens. Als Vorschau werden bis zu 100 Konten analysiert.

Cross-Region Folgerung

GuardDuty Investigation nutzt Cross-Region Inference Service (CRIS), der automatisch das Optimum AWS-Region innerhalb Ihrer Region auswählt, um die Untersuchungsanalyse zu verarbeiten und den Untersuchungsbericht zu erstellen. Dies maximiert die verfügbaren Rechenressourcen und die Modellverfügbarkeit und sorgt für ein optimales Kundenerlebnis.

Ihre Daten bleiben nur in der Region gespeichert, aus der die Ermittlungsanfrage stammt. Ermittlungsdaten und zusammenfassende Ergebnisse können jedoch außerhalb dieser Region verarbeitet werden. Alle Daten werden verschlüsselt über das sichere Netzwerk von Amazon übertragen.

GuardDuty Investigation leitet Ihre Inferenzanfragen sicher an verfügbare Rechenressourcen in dem geografischen Gebiet weiter, aus dem die Anfrage stammt, wie in der folgenden Tabelle dargestellt.

Cross-Region Weiterleitung von Inferenzen
Unterstützte -Regionen GuardDuty Region Inferenzregionen
Vereinigte Staaten USA Ost (Nord-Virginia) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon)
Vereinigte Staaten USA Ost (Ohio) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon)
Vereinigte Staaten USA West (Oregon) USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon)
Vereinigte Staaten Kanada (Zentral) Kanada (Zentral), USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon)
Europa Europa (Frankfurt) Europa (Frankfurt), Europa (Stockholm), Europa (Mailand), Europa (Spanien), Europa (Irland), Europa (Paris)
Europa Europa (Irland) Europa (Frankfurt), Europa (Stockholm), Europa (Mailand), Europa (Spanien), Europa (Irland), Europa (Paris)
Europa Europa (London) Europa (Frankfurt), Europa (Stockholm), Europa (Mailand), Europa (Spanien), Europa (Irland), Europa (London), Europa (Paris)
Europa Europa (Paris) Europa (Frankfurt), Europa (Stockholm), Europa (Mailand), Europa (Spanien), Europa (Irland), Europa (Paris)
Europa Europa (Stockholm) Europa (Frankfurt), Europa (Stockholm), Europa (Mailand), Europa (Spanien), Europa (Irland), Europa (Paris)
Japan Asien-Pazifik (Tokio) Asien-Pazifik (Tokio), Asien-Pazifik (Osaka)

Voraussetzungen

Bevor Sie GuardDuty Investigation verwenden können, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • In dem Bereich, in AWS-Region dem Sie Untersuchungen durchführen möchten, muss ein aktiver GuardDuty Detektor vorhanden sein. Weitere Hinweise zur Aktivierung finden GuardDuty Sie unterErste Schritte mit GuardDuty.

  • Sie müssen die GuardDuty Ermittlungsfunktion auf Ihrem Detektor aktivieren.

    Console
    1. Öffnen Sie die GuardDuty Konsole.

    2. Wählen Sie im Navigationsbereich Settings (Einstellungen).

    3. Wählen Sie unter KI-gestützte Untersuchungen — Vorschau die Option Aktivieren aus.

    API/CLI

    Rufen Sie die UpdateDetectorAPI auf und aktivieren Sie die AI_ANALYST Funktion auf Ihrem Detektor.

    aws guardduty update-detector \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --features '[{"Name": "AI_ANALYST", "Status": "ENABLED"}]'
  • Ihre IAM-Identität muss über die erforderlichen Berechtigungen verfügen, um Ermittlungsaktionen durchführen zu können. Die folgenden IAM-Aktionen sind erforderlich:

    • guardduty:CreateInvestigation— Erforderlich, um eine neue Untersuchung zu erstellen.

    • guardduty:GetInvestigation— Erforderlich, um Untersuchungsergebnisse abzurufen.

    • guardduty:ListInvestigations— Erforderlich, um Untersuchungen für einen Detektor aufzulisten.

Das folgende Beispiel für eine IAM-Richtlinie gewährt die Erlaubnis, alle GuardDuty Ermittlungsaktionen zu verwenden:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:CreateInvestigation", "guardduty:GetInvestigation", "guardduty:ListInvestigations" ], "Resource": "arn:aws:guardduty:us-west-2:123456789012:detector/2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7" } ] }

Zugriffsmodell für Administrator- und Mitgliedskonten

Je nachdem, ob Sie ein Administratorkonto oder ein Mitgliedskonto verwenden, gelten für GuardDuty Investigation die folgenden Zugriffsregeln:

  • Administratorkonten — Sie können Untersuchungen für sich selbst und ihre Mitgliedskonten erstellen, abrufen und auflisten.

  • Mitgliedskonten — Sie können nur Untersuchungen für ihr eigenes Konto abrufen und auflisten. Mitgliedskonten können keine Untersuchungen durchführen und nicht auf Untersuchungen zugreifen, die zu anderen Konten oder dem Administratorkonto gehören.

Eine Untersuchung erstellen

Sie können eine Untersuchung erstellen, um GuardDuty Ergebnisse und Konten in Ihrer AWS Umgebung zu analysieren. Die Untersuchung wird asynchron im Hintergrund ausgeführt. Nachdem Sie eine Untersuchung erstellt haben, verwenden Sie die Untersuchungs-ID, um deren Status zu überprüfen und Ergebnisse abzurufen.

Wichtig

Während der Vorschauphase können Sie bis zu 10 Untersuchungen pro Konto und Tag einleiten, mit einem Gesamtlimit von 100 Untersuchungen pro Konto. Fehlgeschlagene Untersuchungen werden nicht auf diese Kontingente angerechnet. Wenn Sie den verwenden API/CLI, kann die Trigger-Eingabeaufforderung bis zu 2.048 Zeichen lang sein.

Wählen Sie Ihre bevorzugte Zugriffsmethode, um eine Untersuchung zu erstellen.

Console
  1. Öffnen Sie die GuardDuty Konsole und navigieren Sie im linken Navigationsbereich zu Investigations.

  2. Wählen Sie Untersuchung einleiten aus.

  3. Wählen Sie einen Untersuchungsbereich aus:

    • Ein bestimmtes Ergebnis — Geben Sie die Ergebnis-ID ein, die Sie analysieren möchten.

    • Mein Konto (nur eigenständig) — Keine zusätzlichen Eingaben erforderlich. GuardDuty wird Ihr Konto analysieren.

    • Ein bestimmtes Konto (nur Administrator) — Geben Sie die 12-stellige AWS Konto-ID ein.

    • Alle Konten in der Organisation (nur Administrator) — Keine zusätzlichen Eingaben erforderlich.

  4. Wählen Sie Untersuchung einleiten, um die Analyse zu starten.

API/CLI

Führen Sie den CreateInvestigation API-Vorgang aus, um eine neue Untersuchung zu starten. Sie müssen die Melder-ID und eine Auslöseraufforderung angeben, die beschreibt, was untersucht werden soll.

Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/Konsole oder führen Sie die ListDetectorsAPI aus.

aws guardduty create-investigation \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --trigger-prompt "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012"

Ersetzen Sie im vorherigen Befehl das detector-id durch Ihre eigene Melder-ID und trigger-prompt durch eine Beschreibung dessen, was Sie untersuchen möchten.

Sie können optional einen --client-token Parameter für Idempotenz angeben. Wenn Sie die Anfrage mit demselben Client-Token erneut versuchen, wird die bestehende Untersuchung GuardDuty zurückgegeben, anstatt ein Duplikat zu erstellen.

Beispielausgabe:

{ "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890" }

Anforderungen an die Trigger-Aufforderung

In der Auslöseraufforderung muss beschrieben werden, was untersucht werden soll. GuardDuty bestimmt den Analysetyp anhand des Inhalts Ihrer Eingabeaufforderung:

  • Ergebnisanalyse — Geben Sie genau eine Ergebnis-ID (32-stellige hexadezimale Zeichenfolge) in die Eingabeaufforderung ein. Das Ergebnis muss vorhanden sein und zum Konto des Anrufers oder zu einem Mitgliedskonto gehören. Sie können nicht mehrere Such-IDs in einer einzigen Aufforderung angeben.

  • Kontoanalyse — Geben Sie genau eine 12-stellige AWS Konto-ID in die Aufforderung ein. Der Anrufer muss der Administrator dieses Kontos sein. Sie können nicht mehrere Konto-IDs in einer einzigen Aufforderung angeben.

  • Unternehmensanalyse — Beschreiben Sie in Ihrer Aufforderung ein unternehmensweites Sicherheitsproblem. Die Untersuchung analysiert Signale im gesamten Unternehmen (bis zu 100 Konten).

GuardDuty verwendet KI, um Ihre formlose Aufforderung zu interpretieren und den geeigneten Analyseumfang zu bestimmen. Wenn Sie eine Befund-ID angeben, wird eine Ergebnisanalyse durchgeführt. Wenn Sie eine Konto-ID angeben, wird eine Kontoanalyse durchgeführt. Wenn Ihre Aufforderung ein unternehmensweites Problem beschreibt, wird eine Organisationsanalyse durchgeführt. Wenn die Aufforderung keinem bestimmten Analysetyp entspricht, analysiert die Untersuchung standardmäßig das eigene Konto des Anrufers.

Im Folgenden finden Sie Beispiele für Trigger-Eingabeaufforderungen für jeden Analysetyp:

  • Analyse finden"Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012"

  • Kontoanalyse"Analyze findings in account with id 123456789012"

  • Organisationsanalyse"Analyze findings in my organization"

Erstellung einer Untersuchung für ein Mitgliedskonto

Wenn Sie ein Administratorkonto haben, können Sie eine Untersuchung für ein Mitgliedskonto erstellen, indem Sie die Mitgliedskonto-ID in der Auslöseraufforderung angeben. Verwenden Sie die Detektor-ID des Administratorkontos im Befehl. Die Ergebnisse der Untersuchung werden Ergebnisse aus dem angegebenen Mitgliedskonto enthalten.

aws guardduty create-investigation \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --trigger-prompt "Analyze findings in account with id 111122223333"

Ersetzen Sie im vorherigen Befehl das detector-id durch die Melder-ID Ihres Administratorkontos. Die 12-stellige Konto-ID in der Trigger-Eingabeaufforderung identifiziert das Mitgliedskonto, das untersucht werden soll.

Untersuchungsergebnisse anzeigen

Nachdem Sie eine Untersuchung erstellt haben, können Sie die Ergebnisse einschließlich der Zusammenfassung, der Untersuchungsdetails, des Vertrauensniveaus und der Empfehlung abrufen. Eine Untersuchung kann einen der folgenden Status haben:

  • LÄUFT — Die Untersuchung ist noch im Gange.

  • ABGESCHLOSSEN — Die Untersuchung wurde erfolgreich abgeschlossen und die Ergebnisse sind verfügbar.

  • FEHLGESCHLAGEN — Bei der Untersuchung ist ein Fehler aufgetreten. Einzelheiten finden Sie im Fehlerfeld.

Wählen Sie Ihre bevorzugte Zugriffsmethode, um die Untersuchungsergebnisse einzusehen.

AI-generated Analysen und Empfehlungen können Fehler oder unvollständige Bewertungen enthalten. Eine Überprüfung durch einen Menschen wird empfohlen.

Console
  1. Öffnen Sie die GuardDuty Konsole und navigieren Sie im linken Navigationsbereich zu Investigations.

  2. Suchen Sie in der Tabelle mit den Untersuchungen nach der abgeschlossenen Untersuchung, die Sie überprüfen möchten.

  3. Wählen Sie den Link zum Titel der Untersuchung, um die Detailseite zu öffnen.

Anmerkung

Die Titel der Untersuchung können nur angeklickt werden, wenn der Status Abgeschlossen lautet.

API/CLI

Führen Sie den GetInvestigation API-Vorgang aus, um alle Details einer abgeschlossenen Untersuchung abzurufen.

Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/Konsole oder führen Sie die ListDetectorsAPI aus.

aws guardduty get-investigation \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --investigation-id a1b2c3d4-5678-90ab-cdef-ef1234567890

Beispielausgabe für eine abgeschlossene Untersuchung:

{ "Investigation": { "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890", "Status": "COMPLETED", "TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012", "TriggeredBy": "123456789012", "RiskLevel": "Critical", "Risk": "Detection logic is valid but no live resources are compromised.", "Confidence": "High", "Summary": "{\"keyObservations\":{\"title\":\"...\",\"narrative\":\"...\",\"observations\":[...]},\"countermeasures\":[...],\"threatAssessment\":{...}}", "Cloud": { "Provider": "AWS", "Region": "us-east-1", "Account": "123456789012" }, "Metadata": { "Product": { "Name": "Amazon GuardDuty AI Analyst", "Feature": "Investigation" }, "Version": "1.0.0" }, "StartTime": 1705319400.0, "EndTime": 1705319700.0 } }

Das Summary Feld enthält eine JSON-Zeichenfolge mit den vollständigen Untersuchungsergebnissen, einschließlich der wichtigsten Beobachtungen, Gegenmaßnahmen mit CLI-Befehlen und einer MITRE ATT&CK® -Bedrohungsbeurteilung.

Interpretation der Untersuchungsergebnisse

In der folgenden Tabelle werden die Risikoniveaus beschrieben, die sich aus einer Untersuchung ergeben können:

Risikoniveaus einer Untersuchung
Risikoniveau Description
Info Informatives Ergebnis ohne unmittelbares Risiko für die Umwelt.
Niedrig Geringes Risiko, das wahrscheinlich keine sofortigen Maßnahmen erfordert.
Mittel Moderates Risiko, das Sie überprüfen müssen und das möglicherweise behoben werden muss.
Hoch Erhebliches Risiko, das umgehend untersucht und behoben werden muss.
Kritisch Schwerwiegendes Risiko, das sofortige Maßnahmen erfordert, um weitere Kompromisse zu verhindern.

In der folgenden Tabelle werden die Konfidenzniveaus beschrieben:

Konfidenzniveaus für Untersuchungen
Konfidenzniveau Description
Unbekannt Unzureichende Daten, um das Vertrauen in die Bewertung zu beurteilen.
Niedrig Begrenzte Belege stützen die Bewertung.
Mittel Die Bewertung wird durch mäßige Belege gestützt.
Hoch Die Bewertung wird durch stichhaltige Belege gestützt.

Ermittlungen auflisten

Sie können alle Untersuchungen für einen Detektor auflisten, optional mit Sortierung und Seitennummerierung. Auf diese Weise können Sie den Status mehrerer Untersuchungen überprüfen und verfolgen.

Wählen Sie Ihre bevorzugte Zugriffsmethode, um Untersuchungen aufzulisten.

Console
  1. Öffnen Sie die GuardDuty Konsole und navigieren Sie im linken Navigationsbereich zu Investigations.

  2. In der Tabelle mit den Untersuchungen werden alle Untersuchungen für den aktuellen Detektor mit ihrem Status, ihrer Risikostufe und ihren Zeitstempeln angezeigt.

API/CLI

Führen Sie den ListInvestigations API-Vorgang aus, um die Zusammenfassungen der Untersuchungen für einen Detektor aufzulisten.

Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/Konsole oder führen Sie die ListDetectorsAPI aus.

aws guardduty list-investigations \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --max-results 10

Sie können die Ergebnisse sortieren, indem Sie einen --sort-criteria Parameter angeben. Im folgenden Beispiel sind die Untersuchungen in absteigender Reihenfolge nach Startzeit sortiert:

aws guardduty list-investigations \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --sort-criteria '{"attributeName": "START_TIME", "orderBy": "DESC"}' \ --max-results 10

Die verfügbaren Sortierattribute sindSTART_TIME,END_TIME, STATUSRISK_LEVEL, undCONFIDENCE. Sie können in ASC (aufsteigender) oder DESC (absteigender) Reihenfolge sortieren.

Beispielausgabe:

{ "Investigations": [ { "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890", "Status": "COMPLETED", "TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012", "RiskLevel": "Critical", "Confidence": "High", "StartTime": 1705319400.0, "EndTime": 1705319700.0, "AccountId": "123456789012" }, { "InvestigationId": "b2c3d4e5-6789-01bc-def0-ef2345678901", "Status": "COMPLETED", "TriggerPrompt": "Analyze findings in account with id 123456789012", "RiskLevel": "High", "Confidence": "High", "StartTime": 1705315800.0, "EndTime": 1705316100.0, "AccountId": "123456789012" }, { "InvestigationId": "c3d4e5f6-7890-12cd-ef01-ef3456789012", "Status": "COMPLETED", "TriggerPrompt": "Analyze findings in my organization", "RiskLevel": "Medium", "Confidence": "Medium", "StartTime": 1705312200.0, "EndTime": 1705312500.0, "AccountId": "123456789012" } ] }

Wenn die Antwort einen NextToken Wert enthält, übergeben Sie ihn in einer nachfolgenden Anfrage, um die nächste Ergebnisseite abzurufen. Sie können bis zu 50 Ergebnisse pro Seite abrufen.