Funktionen von Amazon GuardDuty

GuardDuty bietet Ihnen eine genaue Bedrohungserkennung von kompromittierten Konten, die schwer schnell zu erkennen sein kann, wenn Sie Faktoren nicht kontinuierlich nahezu in Echtzeit überwachen. GuardDuty kann Anzeichen eines angegriffenen Kontos erkennen. Ein Beispiel hierfür ist der Zugriff auf AWS-Ressourcen von einem ungewöhnlichen geografischen Standpunkt aus, der zu einer unüblichen Tageszeit erfolgt. Bei programmgesteuerten AWS-Konten prüft GuardDuty, ob ungewöhnliche API-Aufrufe ausgegeben werden; dies können beispielsweise Versuche sein, die Kontoaktivität zu verschleiern, indem die CloudTrail-Protokollierung deaktiviert wird. Auch das Erstellen von Snapshots einer Datenbank von einer schädlichen IP-Adresse aus ist ein typisches Beispiel.

GuardDuty überwacht und analysiert fortlaufend die in CloudTrail, VPC Flow Logs und DNS-Protokollen gefundenen Ereignisdaten zu Ihren AWS-Konten und Workloads. Für den grundlegenden Schutz in GuardDuty muss keine zusätzliche Sicherheitssoftware oder Infrastruktur bereitgestellt und gewartet werden. Durch die Verknüpfung Ihrer AWS-Konten können Sie die Bedrohungserkennung zusammenführen und müssen nicht mehr kontenspezifisch agieren. Außerdem erübrigen sich die Sammlung, Analyse und Korrelierung hoher AWS-Datenmengen aus mehreren Konten. Konzentrieren Sie sich darauf, wie Sie schnell reagieren und Ihr Unternehmen dauerhaft schützen können. Sie können sich auch weiterhin ganz der Skalierung und Entwicklung von Innovationen in AWS zuwenden.

Mit GuardDuty erhalten Sie Zugang zu integrierten Erkennungsverfahren, die für die Cloud entwickelt und optimiert wurden. AWS Security wartet und verbessert diese Erkennungsalgorithmen kontinuierlich. Zu den wichtigsten Erkennungskategorien zählen folgende:

• Reconnaissance: Aktivitäten, die auf Aufklärungsversuche („Reconnaissance“) durch einen Angreifer hindeuten. Dies kann beispielsweise ungewöhnliche API-Aktivität, verdächtige Anmeldeversuche bei Datenbanken, ein Port-Scanning zwischen VPCs, ungewöhnliche Muster fehlgeschlagener Anmeldeanforderungen oder nicht geblockte Port-Spionage durch eine bekanntermaßen böswillige IP umfassen.
• Kompromittierung einer Instance: Aktivitäten, die auf eine Instancekompromittierung hinweisen, wie z. B. Cryptocurrency-Timing, Backdoor-Command-and-Control-Aktivitäten (C&C), Laufzeitaktivität für Amazon EC2, Malware, die Domänen-Generierungsalgorithmen (DGA) verwendet, ausgehende Denial-of-Service-Aktivitäten, ungewöhnlich hohes Netzwerkverkehrsvolumen, ungewöhnliche Netzwerkprotokolle, ausgehende Kommunikationskanälen mit einer bekannten bösartigen IP, temporäre Amazon EC2-Anmeldeinformationen, die von einer externen IP-Adresse verwendet werden, und Datenexfiltration über DNS.
• Kompromittierung von Konten: Zu den häufigen Mustern, die auf eine Kontokompromittierung hindeuten, gehören API-Aufrufe von einem ungewöhnlichen geografischen Standort oder einem anonymisierenden Proxy, Versuche, die AWS CloudTrail-Protokollierung zu deaktivieren, Änderungen, die die Kontopasswortrichtlinie schwächen, ungewöhnliche Instance- oder Infrastrukturstarts, Infrastrukturbereitstellungen in einer ungewöhnlichen Region, Diebstahl von Anmeldeinformationen, verdächtige Datenbankanmeldeaktivitäten und API-Aufrufe von bekannten bösartigen IP-Adressen.
• Kompromittierung von Buckets: Aktivitäten, die auf eine Kompromittierung des Buckets hindeuten, wie z. B. verdächtige Datenzugriffsmuster, die auf einen Missbrauch von Anmeldeinformationen hindeuten, ungewöhnliche Amazon S3-API-Aktivitäten von einem Remote-Host, nicht autorisierter S3-Zugriff von bekannten bösartigen IP-Adressen und API-Aufrufe zum Abrufen von Daten in S3-Buckets von einem Benutzer, der zuvor noch nie auf den Bucket zugegriffen hat oder von einem ungewöhnlichen Standort aus aufgerufen wurde. Amazon GuardDuty überwacht und analysiert kontinuierlich AWS CloudTrail S3-Datenereignisse (z. B. GetObject, ListObjects, DeleteObject), um verdächtige Aktivitäten in allen Ihren Amazon-S3-Buckets zu erkennen.
• Malware: GuardDuty kann das Vorhandensein von Malware – etwa Trojaner, Würmer, Krypto-Miner, Rootkits oder Bots – erkennen, die verwendet werden können, um Ihre Amazon-EC2-Instance oder Container-Workloads zu gefährden oder die in Ihre Amazon-S3-Buckets hochgeladen wird.
• Container-Kompromittierung: Aktivitäten, die ein mögliches bösartiges oder verdächtiges Verhalten in Container-Workloads erkennen lassen, werden durch die kontinuierliche Überwachung und Profilierung von Amazon-EKS-Clustern durch die Analyse der EKS-Audit-Protokolle und Container-Laufzeitaktivität in Amazon EKS oder Amazon ECS erkannt.

Hier ist eine vollständige Liste der GuardDuty-Suchtypen zu erhalten.

GuardDuty gibt vier Schweregrade an („Niedrig“, „Mittel“, „Hoch“ und „Kritisch“), damit Kunden ihre Reaktion auf mögliche Bedrohungen entsprechend priorisieren können. Der Schweregrad „Niedrig“ weist auf verdächtige oder böswillige Aktivität hin, die vor einem erfolgreichen Angriff auf Ihre Ressource abgeblockt werden konnte. Der Schweregrad „Mittel“ weist auf verdächtige Aktivitäten hin, die einer weiteren Untersuchung bedürfen. Ein Beispiel wäre eine hohe Menge an Datenverkehr, die an einen fernen Host übermittelt wird, der sich hinter dem Tor-Netzwerk verbirgt, oder eine Aktivität, die vom üblichen Verhalten abweicht. Der Schweregrad „Hoch“ weist darauf hin, dass die fragliche Ressource (z. B. eine EC2-Instance oder eine Gruppe von IAM-Benutzeranmeldeinformationen) erfolgreich angegriffen wurde und aktiv für unbefugte Zwecke verwendet wird. Der Schweregrad „Kritisch“ weist auf eine Bedrohung mit hohem Empfindlichkeitsgrad hin, die sofortige Aufmerksamkeit erfordert. Wir empfehlen, eine Benachrichtigung für solche Ergebnisse einzurichten, damit schnell reagiert werden kann und die Geschäfsauswirkungen minimiert werden.

GuardDuty bietet HTTPS-APIs und Befehlszeilenschnittstellentools (CLI) sowie die Integration mit Amazon EventBridge zur Unterstützung automatisierter Sicherheitsreaktionen auf Sicherheitsfeststellungen. Sie können beispielsweise den Reaktionsworkflow automatisieren, indem Sie EventBridge als Ereignisquelle verwenden, um eine Lambda-Funktion aufzurufen.

GuardDuty wurde für eine automatische Verwaltung der Ressourcennutzung konzipiert, die auf dem Gesamtaktivitätsgrad bei Ihren AWS-Konten, Workloads und Daten basiert. GuardDuty fügt die Erkennungskapazität nur dann hinzu, wenn sie tatsächlich benötigt wird, während die Nutzung verringert wird, wenn die Kapazität nicht mehr erforderlich ist. Ab sofort verfügen Sie über eine preiswerte Architektur, die bei minimalen Kosten dafür sorgt, dass Ihnen die benötigte Verarbeitungsleistung für Ihre Sicherheit zur Verfügung steht. Sie zahlen nur für die Detektionskapazität, die Sie nutzen, wenn Sie sie nutzen. Mit GuardDuty erhalten Sie unabhängig von Ihrer Größe die richtig dimensionierte Sicherheit.

Mit nur einer Aktion in der AWS-Managementkonsole oder einem einzelnen API-Aufruf können Sie GuardDuty für ein Einzelkonto aktivieren. Zur Aktivierung von GuardDuty für mehrere Konten sind nur einige weitere Schritte in der Konsole erforderlich. GuardDuty unterstützt mehrere Konten durch die AWS Organizations-Integration und auch nativ in GuardDuty. Nach dem Einschalten beginnt GuardDuty sofort mit der Analyse kontinuierlicher Konten- und Netzwerkaktivitäten nahezu in Echtzeit und in großem Umfang. Sie müssen keine zusätzlichen Sicherheitssoftwareprodukte, Sensoren oder Netzwerk-Appliances bereitstellen oder verwalten. Die Bedrohungsinformationen sind bereits im Service integriert und werden kontinuierlich aktualisiert und gepflegt.

GuardDuty bietet umfassenden Schutz für Container-Workloads in Ihrer gesamten AWS-Rechenumgebung, der sonst nur schwer und mit großem Aufwand zu erreichen wäre. Unabhängig davon, ob Sie Workloads mit Kontrolle auf Serverebene auf Amazon EC2 oder moderne Serverless-Anwendungs-Workloads auf Amazon ECS mit AWS Fargate ausführen, erkennt GuardDuty potenziell bösartige und verdächtige Aktivitäten, bietet Ihnen Kontext auf Containerebene mit Laufzeitüberwachung und hilft Ihnen, Sicherheitslücken in Ihren Container-Workloads in Ihrer AWS-Umgebung zu identifizieren.

GuardDuty verwendet künstliche Intelligenz (KI) und maschinelles Lernen (ML), um komplexe, mehrstufige Angriffssequenzen, die auf Ihre AWS-Konten, Workloads und Daten abzielen, schnell zu identifizieren. Die generierten Ergebnisse der Angriffssequenz tragen dazu bei, den Zeit- und Arbeitsaufwand für die Triage von Sicherheitsereignissen zu reduzieren. Durch die automatische Korrelation unterschiedlicher Signale und die Bereitstellung zuverlässiger Einblicke in potenziell gefährdete Ressourcen liefern die generierten Erkenntnisse der Angriffssequenz auch MITRE-ATT&CK® -Zuordnungen und präskriptive Abhilfeempfehlungen, die auf Best Practices von AWS basieren. Mit diesen Verbesserungen ermöglicht GuardDuty den Sicherheitsteams, sich auf die kritischsten Bedrohungen zu konzentrieren und ihre Reaktion auf aktive Ereignisse zu optimieren.