Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
GuardDuty Untersuchung (Vorschau)
GuardDuty Die Untersuchung bietet eine AI-powered Sicherheitsanalyse Ihrer GuardDuty Ergebnisse und Konten. Wenn Sie eine Untersuchung erstellen, GuardDuty werden anhand von Wissensdiagrammen der Kontext der Ergebnisse, zugehörige Aktivitäten der letzten 90 Tage, betroffene Ressourcen, Bedrohungsinformationen und Bedrohungsindikatoren untersucht. Jede Untersuchung bietet eine Bewertung der Bedrohungslage mit Vertrauensbewertung, Klassifizierung der MITRE ATT&CK® -Technik, unterstützenden Nachweisen und umsetzbaren Empfehlungen.
Jede Untersuchung liefert die folgenden Erkenntnisse:
-
Risikostufe — Eine Bewertung des Gesamtrisikos: Info, Niedrig, Mittel, Hoch oder Kritisch.
-
Konfidenz — Das Konfidenzniveau der Bewertung: Unbekannt, Niedrig, Mittel oder Hoch.
-
Zusammenfassung — Eine Beschreibung der Untersuchungsergebnisse und der wichtigsten Beobachtungen.
-
Einzelheiten der Untersuchung — Zusätzliche Informationen und Kontext im Zusammenhang mit der Untersuchung.
-
Empfohlene Maßnahmen — Detaillierte Maßnahmen, einschließlich der CLI-Befehle, können Sie ergreifen, um die identifizierten Probleme zu beheben.
Anmerkung
GuardDuty Investigation ist nur in den folgenden 10 AWS Handelsregionen verfügbar: USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon), Kanada (Zentral), Europa (Frankfurt), Europa (Irland), Europa (London), Europa (Paris), Europa (Stockholm) und Asien-Pazifik (Tokio).
Arten der Analyse
GuardDuty Die Untersuchung unterstützt die folgenden drei Analysearten:
-
Ergebnisanalyse — Analysiert spezifische GuardDuty Ergebnisse, wenn Sie die Ergebnis-ID (32 Zeichen hexadezimal) angeben. Als Vorschauversion unterstützt GuardDuty Investigation alle Ergebnisse von Extended Threat Detection (XTD) sowie ausgewählte Ergebnisse aus den Plänen „Fundament“, „S3“ und „Runtime“.
-
Kontoanalyse — Analysiert die Bedrohungslage eines AWS Kontos, wenn Sie die 12-stellige AWS Konto-ID angeben.
-
Organisationsanalyse — Analysiert die Bedrohungslage Ihres Unternehmens. Als Vorschau werden bis zu 100 Konten analysiert.
Cross-Region Folgerung
GuardDuty Investigation nutzt Cross-Region Inference Service (CRIS), der automatisch das Optimum AWS-Region innerhalb Ihrer Region auswählt, um die Untersuchungsanalyse zu verarbeiten und den Untersuchungsbericht zu erstellen. Dies maximiert die verfügbaren Rechenressourcen und die Modellverfügbarkeit und sorgt für ein optimales Kundenerlebnis.
Ihre Daten bleiben nur in der Region gespeichert, aus der die Ermittlungsanfrage stammt. Ermittlungsdaten und zusammenfassende Ergebnisse können jedoch außerhalb dieser Region verarbeitet werden. Alle Daten werden verschlüsselt über das sichere Netzwerk von Amazon übertragen.
GuardDuty Investigation leitet Ihre Inferenzanfragen sicher an verfügbare Rechenressourcen in dem geografischen Gebiet weiter, aus dem die Anfrage stammt, wie in der folgenden Tabelle dargestellt.
| Unterstützte -Regionen | GuardDuty Region | Inferenzregionen |
|---|---|---|
| Vereinigte Staaten | USA Ost (Nord-Virginia) | USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon) |
| Vereinigte Staaten | USA Ost (Ohio) | USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon) |
| Vereinigte Staaten | USA West (Oregon) | USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon) |
| Vereinigte Staaten | Kanada (Zentral) | Kanada (Zentral), USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon) |
| Europa | Europa (Frankfurt) | Europa (Frankfurt), Europa (Stockholm), Europa (Mailand), Europa (Spanien), Europa (Irland), Europa (Paris) |
| Europa | Europa (Irland) | Europa (Frankfurt), Europa (Stockholm), Europa (Mailand), Europa (Spanien), Europa (Irland), Europa (Paris) |
| Europa | Europa (London) | Europa (Frankfurt), Europa (Stockholm), Europa (Mailand), Europa (Spanien), Europa (Irland), Europa (London), Europa (Paris) |
| Europa | Europa (Paris) | Europa (Frankfurt), Europa (Stockholm), Europa (Mailand), Europa (Spanien), Europa (Irland), Europa (Paris) |
| Europa | Europa (Stockholm) | Europa (Frankfurt), Europa (Stockholm), Europa (Mailand), Europa (Spanien), Europa (Irland), Europa (Paris) |
| Japan | Asien-Pazifik (Tokio) | Asien-Pazifik (Tokio), Asien-Pazifik (Osaka) |
Voraussetzungen
Bevor Sie GuardDuty Investigation verwenden können, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:
-
In dem Bereich, in AWS-Region dem Sie Untersuchungen durchführen möchten, muss ein aktiver GuardDuty Detektor vorhanden sein. Weitere Hinweise zur Aktivierung finden GuardDuty Sie unterErste Schritte mit GuardDuty.
-
Sie müssen die GuardDuty Ermittlungsfunktion auf Ihrem Detektor aktivieren.
-
Ihre IAM-Identität muss über die erforderlichen Berechtigungen verfügen, um Ermittlungsaktionen durchführen zu können. Die folgenden IAM-Aktionen sind erforderlich:
-
guardduty:CreateInvestigation— Erforderlich, um eine neue Untersuchung zu erstellen. -
guardduty:GetInvestigation— Erforderlich, um Untersuchungsergebnisse abzurufen. -
guardduty:ListInvestigations— Erforderlich, um Untersuchungen für einen Detektor aufzulisten.
-
Das folgende Beispiel für eine IAM-Richtlinie gewährt die Erlaubnis, alle GuardDuty Ermittlungsaktionen zu verwenden:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:CreateInvestigation", "guardduty:GetInvestigation", "guardduty:ListInvestigations" ], "Resource": "arn:aws:guardduty:us-west-2:123456789012:detector/2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7" } ] }
Zugriffsmodell für Administrator- und Mitgliedskonten
Je nachdem, ob Sie ein Administratorkonto oder ein Mitgliedskonto verwenden, gelten für GuardDuty Investigation die folgenden Zugriffsregeln:
-
Administratorkonten — Sie können Untersuchungen für sich selbst und ihre Mitgliedskonten erstellen, abrufen und auflisten.
-
Mitgliedskonten — Sie können nur Untersuchungen für ihr eigenes Konto abrufen und auflisten. Mitgliedskonten können keine Untersuchungen durchführen und nicht auf Untersuchungen zugreifen, die zu anderen Konten oder dem Administratorkonto gehören.
Eine Untersuchung erstellen
Sie können eine Untersuchung erstellen, um GuardDuty Ergebnisse und Konten in Ihrer AWS Umgebung zu analysieren. Die Untersuchung wird asynchron im Hintergrund ausgeführt. Nachdem Sie eine Untersuchung erstellt haben, verwenden Sie die Untersuchungs-ID, um deren Status zu überprüfen und Ergebnisse abzurufen.
Wichtig
Während der Vorschauphase können Sie bis zu 10 Untersuchungen pro Konto und Tag einleiten, mit einem Gesamtlimit von 100 Untersuchungen pro Konto. Fehlgeschlagene Untersuchungen werden nicht auf diese Kontingente angerechnet. Wenn Sie den verwenden API/CLI, kann die Trigger-Eingabeaufforderung bis zu 2.048 Zeichen lang sein.
Wählen Sie Ihre bevorzugte Zugriffsmethode, um eine Untersuchung zu erstellen.
Untersuchungsergebnisse anzeigen
Nachdem Sie eine Untersuchung erstellt haben, können Sie die Ergebnisse einschließlich der Zusammenfassung, der Untersuchungsdetails, des Vertrauensniveaus und der Empfehlung abrufen. Eine Untersuchung kann einen der folgenden Status haben:
-
LÄUFT — Die Untersuchung ist noch im Gange.
-
ABGESCHLOSSEN — Die Untersuchung wurde erfolgreich abgeschlossen und die Ergebnisse sind verfügbar.
-
FEHLGESCHLAGEN — Bei der Untersuchung ist ein Fehler aufgetreten. Einzelheiten finden Sie im Fehlerfeld.
Wählen Sie Ihre bevorzugte Zugriffsmethode, um die Untersuchungsergebnisse einzusehen.
AI-generated Analysen und Empfehlungen können Fehler oder unvollständige Bewertungen enthalten. Eine Überprüfung durch einen Menschen wird empfohlen.
Interpretation der Untersuchungsergebnisse
In der folgenden Tabelle werden die Risikoniveaus beschrieben, die sich aus einer Untersuchung ergeben können:
| Risikoniveau | Description |
|---|---|
| Info | Informatives Ergebnis ohne unmittelbares Risiko für die Umwelt. |
| Niedrig | Geringes Risiko, das wahrscheinlich keine sofortigen Maßnahmen erfordert. |
| Mittel | Moderates Risiko, das Sie überprüfen müssen und das möglicherweise behoben werden muss. |
| Hoch | Erhebliches Risiko, das umgehend untersucht und behoben werden muss. |
| Kritisch | Schwerwiegendes Risiko, das sofortige Maßnahmen erfordert, um weitere Kompromisse zu verhindern. |
In der folgenden Tabelle werden die Konfidenzniveaus beschrieben:
| Konfidenzniveau | Description |
|---|---|
| Unbekannt | Unzureichende Daten, um das Vertrauen in die Bewertung zu beurteilen. |
| Niedrig | Begrenzte Belege stützen die Bewertung. |
| Mittel | Die Bewertung wird durch mäßige Belege gestützt. |
| Hoch | Die Bewertung wird durch stichhaltige Belege gestützt. |
Ermittlungen auflisten
Sie können alle Untersuchungen für einen Detektor auflisten, optional mit Sortierung und Seitennummerierung. Auf diese Weise können Sie den Status mehrerer Untersuchungen überprüfen und verfolgen.
Wählen Sie Ihre bevorzugte Zugriffsmethode, um Untersuchungen aufzulisten.