Häufig gestellte Fragen zu Amazon GuardDuty

GuardDuty ist ein intelligenter Service zur Bedrohungserkennung, der Ihre AWS-Konten, Workloads, Laufzeitaktivitäten und Daten kontinuierlich auf bösartige Aktivitäten überwacht. Wenn potenziell bösartige Aktivitäten wie anomales Verhalten, die Exfiltration von Anmeldeinformationen oder die Kommunikation mit der Command-and-Control-Infrastruktur (C2) erkannt werden, generiert GuardDuty detaillierte Sicherheitserkenntnisse, die für die Sicherheitstransparenz und zur Unterstützung bei der Behebung von Problemen genutzt werden können.

GuardDuty macht es leichter, Ihre AWS-Konten, Workloads und Laufzeitaktivitäten kontinuierlich zu überwachen. GuardDuty ist so konzipiert, dass es völlig unabhängig von Ihren Ressourcen funktioniert und keine Auswirkungen auf die Leistung oder Verfügbarkeit Ihrer Workloads hat. Der Service ist vollständig verwaltet und bietet integrierte Bedrohungsinformationen, Machine Learning (ML)-Anomalieerkennung und Malware-Scanning. GuardDuty stellt detaillierte und umsetzbare Warnungen zur Verfügung, die so konzipiert sind, dass sie in bestehende Ereignisverwaltungs- und Workflowsysteme integriert werden können. Es fallen keine Vorabkosten an und Sie bezahlen nur für die analysierten Ereignisse, ohne dass zusätzliche Softwarebereitstellungen oder Abonnements von Feeds mit Bedrohungsinformationen erforderlich sind.

GuardDuty ist ein nutzungsabhängiger Service, und Sie zahlen nur für die Nutzung, die Ihnen entsteht. Die Preise für GuardDuty basieren auf dem Volumen der analysierten Serviceprotokolle, virtuellen CPUs (vCPUs) oder Aurora Serverless v2 Instance Aurora-Kapazitätseinheiten (ACUs) für die Amazon-RDS-Ereignisanalyse, der Anzahl und Größe der Workloads von Amazon Elastic Kubernetes Service (Amazon EKS) oder Amazon Elastic Container Service (Amazon ECS), die zur Laufzeit überwacht werden, und dem Volumen der auf Malware gescannten Daten.

Die analysierten Serviceprotokolle werden zur Kostenoptimierung gefiltert und direkt in GuardDuty integriert, sodass Sie sie nicht separat aktivieren oder bezahlen müssen. Wenn EKS Runtime Monitoring für Ihr Konto aktiviert ist, werden Ihnen keine Kosten für die Analyse von VPC-Flow-Protokollen aus Instances berechnet, in denen der GuardDuty-Agent bereitgestellt und aktiv ist. Der Laufzeit-Sicherheitsagent liefert uns ähnliche (und mehr kontextuelle) Netzwerk-Telemetriedaten. Um doppelte Gebühren für Kunden zu vermeiden, berechnen wir daher keine Gebühren für VPC-Flow-Protokolle von Amazon Elastic Compute Cloud (Amazon EC2)-Instances, auf denen der Agent installiert ist.

Zusätzliche Informationen und Preisbeispiele finden Sie unter Preise für Amazon GuardDuty.

Die geschätzten Kosten stellen die Kosten für das individuelle Zahlerkonto dar, und Sie sehen die abgerechnete Nutzung und die durchschnittlichen täglichen Kosten für jedes Mitgliedskonto im GuardDuty-Administratorkonto. Sie müssen zum individuellen Konto gehen, wenn Sie die detaillierten Nutzungsinformationen sehen möchten.

Ja. Jedes neue Konto von GuardDuty kann den Service 30 Tage lang kostenlos testen. Während der kostenlosen Testphase erhalten sie Zugriff auf sämtliche Features und Erkennungen. Während des Testzeitraums können Sie auf der Nutzungsseite der GuardDuty-Konsole die Kostenschätzung anzeigen, die nach dem Testzeitraum zu erwarten ist. Wenn Sie ein GuardDuty-Administrator sind, sehen Sie die geschätzten Kosten für Ihre Mitgliedskonten. Nach 30 Tagen können Sie die tatsächlichen Kosten dieses Features in der AWS-Fakturierungskonsole anzeigen.

Neue und vorhandene GuardDuty-Kontobesitzer, die ein GuardDuty-Feature noch nicht aktiviert haben, können dies 30 Tage lang kostenlos im Rahmen des kostenlosen AWS-Kontingents testen (für das Feature Malware Protection ist die kostenlose Testversion für von GuardDuty initiierte Malware-Scans nur für Amazon-EBS-Daten-Volumes verfügbar. Es gibt keine kostenlose Testversion für Malware Protection für Amazon S3). Während der kostenlosen Testphase und danach können Sie Ihre geschätzten monatlichen Ausgaben jederzeit auf der Nutzungsseite der GuardDuty-Konsole nach Datenquellen aufgeschlüsselt verfolgen.

GuardDuty bietet eine umfassende Sicherheitsüberwachung Ihrer AWS-Konten, Workloads und Daten, um Bedrohungen zu erkennen, wie z. B. die Aufklärung durch Angreifer, die Kompromittierung von Instances, Konten, Buckets oder Amazon-EKS-Clustern, sowie Malware. Macie ist ein vollständig verwalteter Service zum Auffinden sensibler Daten, der ML und Mustervergleiche verwendet, um Ihre sensiblen Daten in Amazon Simple Storage Service (Amazon S3) zu finden.

Bei GuardDuty handelt es sich um einen regionalen Service. Selbst wenn mehrere Konten aktiviert sind und mehrere AWS-Regionen verwendet werden, verbleiben die Sicherheitserkenntnisse von GuardDuty in den Regionen, in denen die zugrunde liegenden Daten generiert wurden. Dadurch ist sichergestellt, dass sich alle analysierten Daten nur in ihren Regionen befinden und die regionalen AWS-Grenzen nicht überschreiten. Sie haben jedoch die Möglichkeit, die von GuardDuty erzeugten Sicherheitserkenntnisse mit Hilfe von Amazon EventBridge regionsübergreifend zu aggregieren oder die Ergebnisse in Ihren Datenspeicher (z. B. Amazon S3) zu übertragen und dann nach Belieben zu aggregieren. Sie können GuardDuty-Erkenntnisse auch an AWS Security Hub senden und dessen regionsübergreifende Aggregationsfunktion nutzen.

Die regionale Verfügbarkeit von GuardDuty ist in der Liste regionaler AWS-Services aufgeführt. Eine vollständige Liste der Regionen, in denen GuardDuty-Features verfügbar sind, finden Sie unter Regionale Verfügbarkeit von Features.

Zahlreiche Technologiepartner haben GuardDuty bereits integriert und setzen auf dieses Produkt. Auch Anbieter von Beratungsdiensten sowie Service-Provider für Systemintegration und verwaltete Sicherheit besitzen Erfahrung mit GuardDuty. Weitere Informationen finden Sie auf der Seite Amazon-GuardDuty-Partner.

Foregenix veröffentlichte ein Whitepaper, das eine detaillierte Bewertung der Wirksamkeit von GuardDuty bei der Erfüllung von Anforderungen wie PCI DSS 11.4 enthält, die Techniken zur Erkennung von Eindringlingen an kritischen Punkten im Netzwerk erfordert.

Sie können GuardDuty in wenigen Schritten in der AWS-Managementkonsole einrichten und bereitstellen. GuardDuty beginnt direkt nach seiner Aktivierung mit der Analyse fortlaufender Aktivitätsströme bei Konten und Netzwerken nahezu in Echtzeit und in großem Umfang. Sie müssen keine zusätzlichen Sicherheitssoftwareprodukte, Sensoren oder Netzwerk-Appliances bereitstellen oder verwalten. Die Bedrohungsinformationen sind bereits im Service integriert und werden kontinuierlich aktualisiert und gepflegt.

Ja, GuardDuty verfügt über ein Feature zur Verwaltung mehrerer Konten, mit dem Sie mehrere AWS-Konten über ein einziges Administratorkonto zuordnen und verwalten können. Wird dieses Feature genutzt, werden sämtliche Sicherheitserkenntnisse zur Überprüfung und Behebung im Administratorkonto aggregiert. EventBridge-Ereignisse werden bei dieser Konfiguration auch im GuardDuty-Administratorkonto aggregiert. Außerdem ist GuardDuty in AWS Organizations integriert, so dass Sie für Ihre Organisation ein Administratorkonto für GuardDuty delegieren können. Dieses Delegierte Administrator (DA)-Konto ist ein zentrales Konto, dass alle Erkenntnisse zusammenfasst und alle Mitgliedskonten konfigurieren kann.

Zu den grundlegenden Datenquellen, die GuardDuty analysiert, gehören: AWS-CloudTrail-Verwaltungsereignisprotokolle, CloudTrail-Verwaltungsereignisse sowie Amazon-EC2-VPC-Flow-Protokolle und DNS-Abfrageprotokolle. GuardDuty-Schutzpläne überwachen andere Ressourcentypen, darunter CloudTrail-S3-Datenereignisse (S3 Protection), Amazon-EKS-Prüfungsprotokolle und Laufzeitaktivitäten für Amazon EKS (EKS Protection), Amazon-ECS-Laufzeitaktivitäten (ECS Runtime Monitoring), Amazon-EC2-Laufzeitaktivitäten (EC2 Runtime Monitoring), Amazon-EBS-Volumendaten (Malware Protection), Amazon-Aurora-Anmeldeereignisse (RDS Protection) und Netzwerkaktivitätsprotokolle (Lambda Protection). Der Service wurde für große Datenmengen optimiert, sodass eine Verarbeitung von sicherheitsrelevanten Erkennungen nahezu in Echtzeit möglich ist. Mit GuardDuty erhalten Sie Zugang zu integrierten Erkennungsverfahren, die für die Cloud entwickelt und optimiert wurden. Diese Verfahren werden von GuardDuty-Entwicklern verwaltet und fortlaufend verbessert.

GuardDuty beginnt nach seiner Aktivierung mit der Analyse, um schädliche oder unbefugte Aktivität aufzuspüren. Wann genau Sie die ersten Erkenntnisse erhalten, hängt von dem Ausmaß der Aktivität bei Ihrem Konto ab. GuardDuty prüft nur Aktivitäten, die nach seiner Aktivierung stattfinden. Historische Daten werden nicht berücksichtigt. Falls GuardDuty mögliche Bedrohungen findet, erhalten Sie in der GuardDuty-Konsole ein entsprechendes Erkenntnis.

Nein. GuardDuty extrahiert unabhängige Datenströme direkt aus CloudTrail, VPC-Flow-Protokollen, DNS-Abfrageprotokollen und Amazon EKS. Sie müssen die Amazon-S3-Bucket-Richtlinien oder die Art und Weise, wie Sie Protokolle erfassen und speichern, nicht verwalten. GuardDuty-Berechtigungen werden als serviceverknüpfte Rollen verwaltet. Sie können GuardDuty jederzeit deaktivieren, wodurch alle GuardDuty-Berechtigungen entfernt werden. Dies erleichtert Ihnen die Aktivierung des Services, da eine komplexe Konfiguration vermieden wird. Die mit dem Service verknüpften Rollen verhindern auch, dass eine Fehlkonfiguration der AWS Identity and Access Management (IAM)-Berechtigung oder eine Änderung der S3-Bucket-Richtlinie den Servicebetrieb beeinträchtigt. Und schließlich machen die serviceverknüpften Rollen GuardDuty extrem effizient bei der Verarbeitung großer Datenmengen in nahezu Echtzeit mit minimalen bis gar keinen Auswirkungen auf die Leistung und Verfügbarkeit Ihres Kontos oder Ihrer Workloads.

Wenn Sie GuardDuty zum ersten Mal aktivieren, funktioniert es völlig unabhängig von Ihren AWS-Ressourcen. Wenn Sie GuardDuty Runtime Monitoring so konfigurieren, dass der GuardDuty-Sicherheitsagent automatisch bereitgestellt wird, kann dies zu einer zusätzlichen Ressourcenauslastung führen und erzeugt außerdem VPC-Endpunkte in VPCs, die zur Ausführung von überwachten Workloads verwendet werden.

Nein, Ihre Protokolle werden von GuardDuty weder verwaltet noch beibehalten. Sämtliche Daten, die von GuardDuty verbraucht werden, werden danach nahezu in Echtzeit analysiert und gelöscht. Dadurch kann GuardDuty äußerst effizient und kostengünstig agieren. Zudem wird das Risiko einer Datenremanenz verringert. Für die Bereitstellung und Beibehaltung von Protokollen sollten Sie die AWS-Services für Protokollierung und Überwachung direkt verwenden. Diese bieten Bereitstellungs- und Aufbewahrungsoptionen mit umfangreichen Features.

Sie können jederzeit verhindern, dass GuardDuty Ihre Datenquellen analysiert, indem Sie den Service in den allgemeinen Einstellungen aussetzen. Daraufhin beendet der Service umgehend die Datenanalyse, Ihre bestehenden Erkenntnisse oder Konfigurationen bleiben jedoch erhalten. Sie können den Service auch in den allgemeinen Einstellungen deaktivieren. Dadurch werden alle verbleibenden Daten, einschließlich Ihrer vorhandenen Erkenntnisse und Konfigurationen, gelöscht, bevor die Berechtigungen des Services aufgegeben und der Service zurückgesetzt wird. Sie können auch Funktionen wie GuardDuty S3 Protection oder GuardDuty EKS Protection über die Managementkonsole oder über die AWS CLI selektiv deaktivieren.

Mit GuardDuty erhalten Sie Zugang zu integrierten Erkennungsverfahren, die für die Cloud entwickelt und optimiert wurden. Die Erkennungsalgorithmen werden von GuardDuty-Entwicklern verwaltet und fortlaufend verbessert. Zu den wichtigsten Erkennungskategorien zählen folgende:

• Aufklärung: Aktivitäten, die auf Aufklärungsversuche durch einen Angreifer hindeuten. Dies kann beispielsweise ungewöhnliche API-Aktivität, ein Port-Scanning zwischen VPCs, ungewöhnliche Muster fehlgeschlagener Anmeldeanforderungen oder nicht blockierte Port-Spionage durch eine bekanntermaßen bösartigen IP umfassen.
• Kompromittierung von Instances: Aktivitäten, die auf die Kompromittierung einer Instance hindeuten, beispielsweise das Mining von Kryptowährungen, Malware mit Domain-Generations-Algorithmen (DGAs), ausgehende Denial-of-Service-Aktivität, ein ungewöhnlich hohes Aufkommen an Netzwerkdatenverkehr, ungewöhnliche Netzwerkprotokolle, ausgehende Instance-Kommunikation mit einer bekanntermaßen bösartigen IP, von einer externen IP-Adresse verwendete temporäre Amazon-EC2-Anmeldeinformationen und Datenexfiltration unter Verwendung von DNS.
• Kompromittierung von Konten: Häufige Muster, die auf eine Kontokompromittierung hindeuten, einschließlich API-Aufrufe von einem ungewöhnlichen geografischen Standort oder einem anonymisierenden Proxy, Versuche, die CloudTrail-Protokollierung zu deaktivieren, ungewöhnliche Instance- oder Infrastrukturstarts, Infrastrukturbereitstellungen in einer ungewöhnlichen Region, die Exfiltration von Anmeldeinformationen, verdächtige Datenbankanmeldeaktivitäten und API-Aufrufe von bekannten bösartigen IP-Adressen.
• Kompromittierung von Buckets: Aktivitäten, die auf eine Bucket-Kompromittierung hindeuten, wie z. B. verdächtige Datenzugriffsmuster, die auf den Missbrauch von Anmeldeinformationen hinweisen, ungewöhnliche Amazon-S3-API-Aktivität von einem Remote-Host, nicht autorisierter Amazon-S3-Zugriff von bekannten bösartigen IP-Adressen und API-Aufrufe zum Abrufen von Daten in Amazon-S3-Buckets von einem Benutzer, der noch nie zuvor auf den Bucket zugegriffen oder ihn von einem ungewöhnlichen Ort aus aufgerufen hat. GuardDuty überwacht und analysiert kontinuierlich CloudTrail-S3-Datenereignisse (wie z. B. GetObject, ListObjects, DeleteObject), um verdächtige Aktivitäten in allen Ihren Amazon-S3-Buckets zu erkennen.
• Malware: GuardDuty kann das Vorhandensein von Malware – etwa Trojaner, Würmer, Krypto-Miner, Rootkits oder Bots – erkennen, die verwendet werden können, um Ihre Amazon-EC2-Instance oder Container-Workloads zu gefährden oder die in Ihre Amazon-S3-Buckets hochgeladen wird.
• Container-Kompromittierung: Aktivitäten, die mögliches bösartiges oder verdächtiges Verhalten in Container-Workloads identifizieren, werden durch kontinuierliche Überwachung und Profilierung von Amazon-EKS-Clustern durch Analyse ihrer Amazon-EKS-Überwachungsprotokolle und der Container-Laufzeitaktivität in Amazon EKS oder Amazon ECS erkannt. 

Hier finden Sie eine vollständige Liste der GuardDuty-Erkenntnistypen.

Die GuardDuty-Bedrohungsinformationen bestehen aus IP-Adressen und Domains, die bekanntermaßen von Angreifern verwendet werden. GuardDuty Threat Intelligence wird bereitgestellt von AWS und Drittanbietern wie Proofpoint und CrowdStrike. Diese Feeds mit Bedrohungsinformationen sind bereits in GuardDuty integriert und werden kostenlos laufend aktualisiert.

Ja, GuardDuty ermöglicht es Ihnen, Ihre eigene Liste mit Bedrohungsinformationen oder vertrauenswürdigen IP-Adressen hochzuladen. Wenn dieses Feature verwendet wird, werden die betreffenden Listen nur für Ihr Konto übernommen und nicht an andere Kunden weitergegeben.

Wenn GuardDuty eine mögliche Bedrohung erkennt, wird eine ausführliche Sicherheitserkenntnis in der GuardDuty-Konsole und in EventBridge bereitgestellt. Dadurch sind die Maßnahmen besser umsetzbar und lassen sich leichter in bestehende Ereignisverwaltungs- oder Workflow-Systeme integrieren. Die Erkenntnisse beinhalten die Kategorie, betroffene Ressourcen und der Ressource zugeordnete Metadaten, z. B. den Schweregrad.

Die GuardDuty-Erkenntnisse haben ein gängiges JSON-Format, das auch von Amazon Macie und Amazon Inspector verwendet wird. Dadurch können Kunden und Partner die Sicherheitserkenntnisse von allen drei Services leichter nutzen und diese in ein breiteres Spektrum an Ereignisverwaltungs-, Workflow- oder Sicherheitslösungen einbinden.

Die Sicherheitserkenntnisse werden 90 Tage lang beibehalten und über die GuardDuty-Konsole und -APIs zur Verfügung gestellt. Nach 90 Tagen werden die Erkenntnisse gelöscht. Falls Erkenntnisse länger als 90 Tage beibehalten werden sollen, können Sie EventBridge für die automatische Übertragung der Erkenntnisse in einen Amazon-S3-Bucket in Ihrem Konto oder einen sonstigen Datenspeicher zur Langzeitspeicherung aktivieren.

Ja, Sie haben die Möglichkeit, die von GuardDuty erzeugten Sicherheitserkenntnisse mithilfe von EventBridge regionsübergreifend zu aggregieren oder die Erkenntnisse in Ihren Datenspeicher (z. B. Amazon S3) zu übertragen und dann nach Belieben zu aggregieren. Sie können GuardDuty-Erkenntnisse auch an Security Hub senden und dessen regionsübergreifende Aggregationsfunktion nutzen.

Mit GuardDuty, EventBridge und AWS Lambda bleiben Sie flexibel und können auf der Grundlage einer Sicherheitserkenntnis automatisierte Abhilfemaßnahmen einrichten. Sie können beispielsweise eine Lambda-Funktion erstellen, mit der Ihre AWS-Sicherheitsgruppenregeln auf der Grundlage von Sicherheitserkenntnissen geändert werden. Wenn Sie eine GuardDuty-Erkenntnis erhalten, die vermuten lässt, dass eine Ihrer Amazon-EC2-Instances von einer bekanntermaßen bösartigen IP ausspioniert wird, können Sie diesem Umstand mit einer EventBridge-Regel begegnen, die eine Lambda-Funktion zur automatischen Änderung Ihrer Sicherheitsgruppenregeln und Einschränkung des Zugriffs an diesem Port initiiert.

GuardDuty verfügt über ein eigenes Team, das sich voll und ganz auf die Entwicklung, Verwaltung und Iteration von Erkennungen konzentriert. Dies führt zu einem ständigen Fluss neuer Erkennungen im Service und einer kontinuierlichen Iteration bei bestehenden Erkennungen. Der Service enthält verschiedene Feedback-Mechanismen, mit denen beispielsweise jede Sicherheitserkenntnis in der GuardDuty-Benutzeroberfläche (UI) positiv oder negativ bewertet werden kann. So können Sie Feedback bereitstellen, das in künftige Iterationen von GuardDuty-Erkennungen einfließen kann.

Nein, mit GuardDuty gehören die aufwändigen Verfahren und komplexen Vorgänge für die Entwicklung und Pflege von eigenen benutzerdefinierten Regelsätzen der Vergangenheit an. Neue Erkennungen werden kontiniuerlich auf der Basis von Kundenfeedback und Forschungsergebnissen der AWS-Sicherheitsfachleute und des GuardDuty-Entwicklerteams hinzugefügt. Kunden können jedoch Anpassungen konfigurieren, indem sie u. a. eigene Bedrohungslisten und eine Liste vertrauenswürdiger IP-Adressen hinzufügen.

Für aktuelle GuardDuty-Konten kann S3 Protection in der Konsole auf der Seite S3 Protection oder über die API aktiviert werden. Damit starten Sie eine 30-tägige kostenlose Testversion des GuardDuty-Features S3 Protection.

Ja, es gibt eine 30-tägige kostenlose Testversion. Jedes Konto in jeder Region erhält eine kostenlose 30-Tage-Testversion von GuardDuty, die die S3-Protection-Funktion umfasst. Konten, für die GuardDuty bereits aktiviert ist, erhalten bei der ersten Aktivierung des Features S3 Protection auch eine 30-tägige kostenlose Testversion.

Ja. Bei allen neuen Konten, die GuardDuty über die Konsole oder API aktivieren, ist S3 Protection ebenfalls standardmäßig aktiviert. Bei neuen GuardDuty-Konten, die mit dem AWS-Organizations-Feature zur automatischen Aktivierung erstellt werden, ist S3 Protection nicht aktiviert, es sei denn die Option automatische Aktivierung für S3 ist aktiviert.

Nein, der GuardDuty-Service muss aktiviert werden, um S3 Protection zu nutzen. Aktuelle GuardDuty-Konten haben die Möglichkeit, S3 Protection zu aktivieren, und neue GuardDuty-Konten verfügen standardmäßig über dieses Feature, sobald der GuardDuty-Service aktiviert ist.

Ja, S3 Protection überwacht standardmäßig alle Amazon-S3-Buckets in Ihrer Umgebung.

Nein, GuardDuty hat direkten Zugriff auf die Datenereignisprotokolle von CloudTrail S3. Sie sind nicht verpflichtet, die Protokollierung von S3-Datenereignissen in CloudTrail zu aktivieren, so dass Ihnen die damit verbundenen Kosten nicht entstehen. Beachten Sie, dass GuardDuty die Protokolle nicht speichert und sie nur für die Analyse verwendet.

GuardDuty EKS Protection ist ein GuardDuty-Feature, das die Aktivitäten in Amazon-EKS-Clustern auf der Steuerebene überwacht, indem es die Amazon-EKS-Prüfungsprotokolle analysiert. GuardDuty ist in Amazon EKS integriert und hat damit direkten Zugriff auf Amazon-EKS-Prüfungsprotokolle, ohne dass Sie diese Protokolle einschalten oder speichern müssen. Diese Prüfungsprotokolle sind sicherheitsrelevante, chronologische Aufzeichnungen zur Dokumentierung der Aktions-Sequenzen, die auf der Amazon-EKS-Steuerebene ausgeführt werden. Diese Amazon-EKS-Prüfungsprotokolle verleihen GuardDuty die notwendige Sichtbarkeit zur kontinuierlichen Überwachung von Amazon-EKS-API-Aktivitäten und nutzen bewährtes Wissen über Bedrohungen und Anomalieerkennung, um bösartige Aktivitäten oder Konfigurationsänderungen zu erkennen, die Ihre Amazon-EKS-Cluster einem unautorisiertem Zugriff aussetzten könnten. Wenn Bedrohungen erkannt werden, generiert GuardDuty Sicherheitserkenntnisse, die den Bedrohungstyp und den Schweregrad sowie Details auf der Container-Ebene (wie die Pod-ID, Container-Image-ID und zugeordnete Tags) umfassen.

GuardDuty EKS Protection kann Bedrohungen im Zusammenhang mit Benutzer- und Anwendungsaktivitäten erkennen, die in Amazon-EKS-Prüfungsprotokollen erfasst werden. Zu den Amazon-EKS-Bedrohungserkennungen gehören Amazon-EKS-Cluster, auf die von bekannten böswilligen Akteuren oder von Tor-Knoten aus zugegriffen wird, API-Vorgänge, die von anonymen Benutzern durchgeführt werden und auf eine Fehlkonfiguration hindeuten könnten, sowie Fehlkonfigurationen, die zu einem nicht autorisierten Zugriff auf Amazon-EKS-Cluster führen können. Mithilfe von ML-Modellen kann GuardDuty außerdem Muster erkennen, die mit Techniken zur Berechtigungserweiterung übereinstimmen, z. B. den verdächtigen Start eines Containers mit Root-Zugriff auf den zugrunde liegenden Amazon-EC2-Host. Eine vollständige Liste aller neuen Erkennungen finden Sie unter Amazon-GuardDuty-Erkenntnistypen.

Nein, GuardDuty hat direkten Zugriff auf Amazon-EKS-Prüfungsprotokolle. Beachten Sie, dass GuardDuty diese Protokolle nur zur Analyse verwendet; es speichert sie nicht und Sie müssen nichts aktivieren und auch nichts dafür bezahlen, dass Amazon-EKS-Prüfungsprotokolle an GuardDuty freigegeben werden. Zur Preisoptimierung wendet GuardDuty intelligente Filter an, damit nur eine Teilmenge der Prüfungsprotokolle verbraucht werden, die für die Erkennung von Sicherheitsbedrohungen relevant sind.

Ja, es gibt eine 30-tägige kostenlose Testversion. Jedes neue GuardDuty-Konto in jeder Region erhält eine 30-tägige kostenlose Testversion von GuardDuty, einschließlich GuardDuty-EKS-Protection-Funktion. Bestehende GuardDuty-Konten erhalten eine 30-tägige Testversion von GuardDuty EKS Protection ohne zusätzliche Kosten. Während des Testzeitraums können Sie auf der Nutzungsseite der GuardDuty-Konsole die Kostenschätzung anzeigen, die nach dem Testzeitraum zu erwarten ist. Wenn Sie ein GuardDuty-Administrator sind, sehen Sie die geschätzten Kosten für Ihre Mitgliedskonten. Nach 30 Tagen können Sie die tatsächlichen Kosten dieses Features in der AWS-Fakturierungskonsole anzeigen.

GuardDuty EKS Protection muss für jedes individuelle Konto aktiviert werden. Sie können die Funktion für Ihre Konten mit einer einzigen Aktion in der GuardDuty-Konsole auf der Seite GuardDuty EKS-Schutz-Konsole aktivieren. Wenn Sie in einer GuardDuty-Multi-Account-Konfiguration arbeiten, können Sie den GuardDuty EKS-Schutz für Ihr gesamtes Unternehmen über das GuardDuty Administratorkonto auf der GuardDuty EKS-Schutz-Seite aktivieren. Dadurch wird die kontinuierliche Überwachung für Amazon EKS in allen individuellen Mitgliedskonten aktiviert. Für GuardDuty-Konten, die mit der Funktion zur automatischen Aktivierung von AWS-Organisationen erstellt wurden, müssen Sie explizit die automatische Aktivierung für Amazon EKS aktivieren. Nach der Aktivierung für ein Konto werden alle bestehenden und zukünftigen Amazon-EKS-Cluster im Konto auf Bedrohungen überwacht, ohne dass eine Konfiguration in Ihren Amazon EKS-Clustern erforderlich ist.

Ja, bei allen neuen Konten, die GuardDuty über die Konsole oder API aktivieren, ist GuardDuty EKS Protection ebenfalls standardmäßig aktiviert. Für neue GuardDuty-Konten, die mithilfe des AWS-Organizations-Features zur automatischen Aktivierung erstellt wurden, müssen Sie explizit die Option zur automatischen Aktivierung für EKS Protection aktivieren. 

Sie können das Feature in der Konsole oder über die API deaktivieren. In der GuardDuty-Konsole können Sie GuardDuty EKS Protection für Ihre Konten auf der Konsolenseite GuardDuty EKS Protection deaktivieren. Wenn Sie ein GuardDuty-Administratorkonto haben, können Sie dieses Feature auch für Ihre Mitgliedskonten deaktivieren.

Wenn Sie GuardDuty EKS Protection zuvor deaktiviert haben, können Sie das Feature in der Konsole oder über die API wieder aktivieren. In der GuardDuty-Konsole können Sie GuardDuty EKS Protection für Ihre Konten auf der Seite der GuardDuty-EKS-Protection-Konsole aktivieren.

GuardDuty EKS Protection muss für jedes individuelle Konto aktiviert werden. Wenn Sie in eine Multi-Konto-Konfiguration für GuardDuty betreiben, können Sie mit einem einzelnen Klick auf der Konsolenseite von GuardDuty EKS Protection im GuardDuty-Administratorkonto die Bedrohungserkennung für Amazon EKS in Ihrer gesamten Organisation aktivieren. Dies wird die Bedrohungserkennung für Amazon EKS in allen individuellen Mitgliedskonten aktivieren. Sobald diese Funktion für ein Konto aktiviert ist, werden alle bestehenden und zukünftigen Amazon-EKS-Cluster im Konto auf Bedrohungen überwacht und es ist keine manuelle Konfiguration in Ihren Amazon-EKS-Clustern erforderlich.

Es fallen keine Gebühren für GuardDuty EKS Protection an, wenn Sie Amazon EKS nicht nutzen und GuardDuty EKS Protection aktiviert haben. Wenn Sie jedoch mit der Nutzung von Amazon EKS beginnen, wird GuardDuty Ihre Cluster automatisch überwachen und Erkenntnisse zu erkannten Problemen generieren. Diese Überwachung ist für Sie kostenpflichtig.

Nein, der GuardDuty-Service muss aktiviert werden, damit GuardDuty EKS Protection verfügbar ist.

Ja, GuardDuty EKS Protection überwacht Amazon-EKS-Prüfungsprotokolle sowohl aus Amazon-EKS-Clustern, die auf Amazon-EC2-Instances bereitgestellt werden, als auch von Amazon-EKS-Clustern, die in Fargate bereitgestellt werden.

Derzeit unterstützt diese Funktion nur Amazon-EKS-Bereitstellungen, die auf Amazon-EC2-Instances in Ihrem Konto oder in Fargate ausgeführt werden.

Nein. GuardDuty EKS Protection ist so konzipiert, dass es keine Auswirkungen auf die Leistung, die Verfügbarkeit oder die Kosten von Bereitstellungen von Amazon-EKS-Workloads hat.

Ja, GuardDuty ist ein regionaler Service und daher muss GuardDuty EKS Protection in jeder AWS Region separat aktiviert werden.

GuardDuty Runtime Monitoring verwendet einen schlanken, vollständig verwalteten Sicherheitsagenten, der die Runtime-Aktivitäten wie Dateizugriff, Prozessausführung und Netzwerkverbindungen auf Pod- oder Instance-Ebene für Ihre abgedeckten Ressourcen transparent macht. Der Sicherheitsagent wird automatisch als Daemon-Set bereitgestellt, das Laufzeitereignisse sammelt und sie zur Verarbeitung von Sicherheitsanalysen an GuardDuty übermittelt. Auf diese Weise kann GuardDuty bestimmte Instances oder Container in Ihrer AWS-Umgebung identifizieren, die potenziell gefährdet sind, und Versuche erkennen, Rechte auf die breitere AWS-Umgebung auszudehnen. Wenn GuardDuty eine potenzielle Bedrohung erkennt, wird ein Sicherheitserkenntnis generiert, das den Metadatenkontext enthält, der Instance-, Container-, Pod- und Prozessdetails umfasst. 

Für bestehende GuardDuty-Konten kann das Feature über die GuardDuty-Konsole auf der Runtime-Monitoring-Seite oder über die API aktiviert werden. Erfahren Sie mehr über GuardDuty Runtime Monitoring.

Runtime Monitoring ist für Amazon EKS-Ressourcen verfügbar, die in Amazon EC2 ausgeführt werden, Amazon-ECS-Cluster, die in Amazon EC2 oder AWS Fargate ausgeführt werden, und Amazon-EC2-Instances. 

Die Architekturanforderungen für GuardDuty Runtime Monitoring sind im GuardDuty-Benutzerhandbuch verfügbar. 

Nein. GuardDuty Runtime Monitoring ist der einzige Schutzplan, der nicht standardmäßig aktiviert ist, wenn Sie GuardDuty zum ersten Mal einschalten. Das Feature kann über die GuardDuty-Konsole auf der Runtime-Monitoring-Seite oder über die API aktiviert werden. Für neue GuardDuty-Konten, die mit dem AWS-Organizations-Feature zur automatischen Aktivierung erstellt wurden, ist Runtime Monitoring standardmäßig nicht aktiviert, es sei denn, die Option zur automatischen Aktivierung von Runtime Monitoring ist aktiviert.

AWS veröffentlicht regelmäßig GuardDuty-Agent-Updates. Für Amazon ECS auf Amazon EC2 können Sie auf die neueste Agent-Version aktualisieren, indem Sie auf den neuesten ECS-optimierten AMI- oder ECS-Agenten aktualisieren. Für Amazon ECS auf Fargate ruft der Fargate-Agent automatisch die neueste GuardDuty-Agent-Version ab.

Wenn Sie sich für die manuelle Bereitstellung des Agents pro Cluster entscheiden, sind Sie dafür verantwortlich, den Agent zu aktualisieren, wenn GuardDuty eine neue Version herausgibt. Neue Agent-Versionen werden vor, während und nach der Veröffentlichung sorgfältig getestet und überwacht. GuardDuty verwaltet eine Untermenge früherer Agent-Versionen, so dass Sie ein Update zurücksetzen können, falls Ihre Anwendung einen eindeutigen Konflikt mit dem Agent hat. Sie finden die Agenten-Versionshistorie im GuardDuty-Benutzerhandbuch. Für CVE-Patches und andere dringende Aktualisierungen befolgen Sie die AWS-Aktualisierungsrichtlinien, die in Ihren PHD-Benachrichtigungen enthalten sind.

Nein, der GuardDuty-Service muss aktiviert sein, um GuardDuty Runtime Monitoring verwenden zu können.

Wenn Sie Amazon ECS Runtime Monitoring aktivieren, ist GuardDuty bereit, die Laufzeitereignisse einer Aufgabe zu verbrauchen. Diese Aufgaben werden innerhalb der Amazon-ECS-Cluster ausgeführt, die wiederum auf AWS-Fargate-Instances ausgeführt werden. Damit GuardDuty diese Laufzeitereignisse empfängt, müssen Sie die automatisierte Agentenkonfiguration verwenden.

Wenn Sie Runtime Monitoring für Amazon EC2 oder Amazon EKS aktivieren, haben Sie die Möglichkeit, den GuardDuty-Sicherheitsagenten entweder manuell bereitzustellen oder GuardDuty zu erlauben, ihn in Ihrem Namen mit der automatisierten Agentenkonfiguration zu verwalten.

Weitere Informationen finden Sie unter Wichtige Konzepte – Ansätze zur Verwaltung des GuardDuty-Sicherheitsagenten im GuardDuty-Benutzerhandbuch.
 

Eine vollständige Liste der Regionen, in denen Runtime Monitoring verfügbar ist, finden Sie unter Regionale Verfügbarkeit der Features.

GuardDuty Runtime Monitoring muss für jedes einzelne Konto aktiviert werden. Wenn Sie in einer GuardDuty-Konfiguration mit mehreren Konten arbeiten, können Sie diese in einem einzigen Schritt auf der Seite der GuardDuty-Runtime-Monitoring-Konsole des GuardDuty-Administratorkontos für Ihre gesamte Organisation aktivieren. Dadurch wird die Laufzeitüberwachung für gewünschte Workloads in allen individuellen Mitgliedskonten aktiviert. Nach der Aktivierung für ein Konto werden alle bestehenden und zukünftigen ausgewählten Workloads in diesem Konto auf Laufzeitbedrohungen überwacht, und es ist keine manuelle Konfiguration erforderlich.

Mit GuardDuty Runtime Monitoring können Sie selektiv konfigurieren, welche Amazon-EKS-Cluster oder Amazon-ECS-Cluster zur Bedrohungserkennung überwacht werden sollen. Mit der Konfigurierbarkeit auf Cluster-Ebene können Sie bestimmte Cluster selektiv für die Erkennung von Bedrohungen überwachen oder weiterhin die Konfigurierbarkeit auf Kontoebene nutzen, um jeweils alle EKS- oder ECS- Cluster in einem bestimmten Konto und einer bestimmten Region zu überwachen.

Es fallen keine Gebühren für GuardDuty Runtime Monitoring an, wenn Sie GuardDuty Runtime Monitoring für einen Workload aktiviert haben, den Sie nicht ausführen. Wenn Sie jedoch beginnen, Amazon EKS, Amazon ECS oder Amazon EC2 zu verwenden und GuardDuty Runtime Monitoring für diesen Workload aktiviert ist, werden Ihnen Gebühren berechnet, wenn GuardDuty Ihre Cluster, Aufgaben und Instances automatisch überwacht und Erkenntnisse für festgestellte Probleme generiert. 

Wie alle Sicherheits-, Beobachtbarkeits- und anderen Anwendungsfälle, die einen Agenten auf dem Host erfordern, führt der GuardDuty-Sicherheitsagent zu Betriebskosten bei der Ressourcennutzung. Der GuardDuty-Sicherheitsagent ist leichtgewichtig und wird von GuardDuty sorgfältig überwacht, um die Auslastung und die Kostenauswirkungen auf die abgedeckten Workloads zu minimieren. Die genauen Metriken zur Ressourcennutzung werden Anwendungs- und Sicherheitsteams zur Überwachung in Amazon CloudWatch zur Verfügung gestellt.

Wenn Sie GuardDuty Runtime Monitoring so konfigurieren, dass der GuardDuty-Sicherheitsagent automatisch bereitgestellt wird, kann dies zu einer zusätzlichen Ressourcenauslastung führen und erzeugt außerdem VPC-Endpunkte in VPCs, die für die Ausführung von AWS-Workloads verwendet werden. 

GuardDuty Runtime Monitoring kann für ein AWS-Konto oder eine Organisation auf der Runtime-Monitoring-Seite der GuardDuty-Konsole deaktiviert werden. Wenn der Sicherheitsagent automatisch von GuardDuty bereitgestellt wurde, entfernt GuardDuty den Sicherheitsagent auch, wenn das Feature deaktiviert ist.

Wenn Sie sich dafür entschieden haben, den GuardDuty-Agenten manuell bereitzustellen (gilt nur für EKS Runtime Monitoring und EC2 Runtime Monitoring), müssen Sie ihn manuell entfernen und alle VPC-Endpunkte, die erstellt wurden, müssen manuell gelöscht werden. Schritte zum manuellen Entfernen von EKS Runtime Monitoring und EC2 Runtime Monitoring sind im GuardDuty-Benutzerhandbuch detailliert beschrieben. 

Amazon-EBS-Daten-Volumes: Wenn Sie diese Datenquelle für Malware Protection aktiviert haben, startet GuardDuty einen Malware-Erkennungsscan, wenn es verdächtiges Verhalten erkennt, das auf schädliche Software in Amazon-EC2-Instances oder Container-Workloads hinweist. Dabei wird ein repliziertes EBS-Volume, das GuardDuty auf der Grundlage des Snapshots Ihres Amazon-EBS-Volumes erstellt, auf Trojaner, Würmer, Krypto-Miner, Rootkits, Bots und mehr gescannt. GuardDuty Malware Protection generiert kontextbezogene Ergebnisse, mit denen die Quelle des verdächtigen Verhaltens überprüft werden kann. Diese Erkenntnisse können auch an die zuständigen Administratoren weitergeleitet werden und automatische Abhilfemaßnahmen einleiten.

S3-Objektscan: Sobald ein Bucket für den Malware-Schutz konfiguriert ist, scannt GuardDuty automatisch neu hochgeladene Dateien und generiert bei Erkennung von Malware eine Amazon-EventBridge-Benachrichtigung mit Details zur Malware. Dies ermöglicht die Integration in vorhandene Sicherheitsereignis-Management- oder Workflow-Systeme. Sie können die automatische Quarantäne für Malware konfigurieren, indem Sie das Objekt in einen isolierten Bucket in Ihrem Konto verschieben, oder Sie können Objekt-Tags verwenden, um die Disposition des Scan-Ergebnisses hinzuzufügen. Auf diese Weise können Sie die gescannten Objekte anhand der Tags besser identifizieren und kategorisieren.

Die Erkenntnisse von GuardDuty für Amazon EC2, die einen Malware-Scan einleiten, finden Sie im GuardDuty-Benutzerhandbuch.

Malware Protection unterstützt die Erkennung bösartiger Dateien durch Scannen von Amazon EBS, das an Amazon-EC2-Instances angehängt ist. Unterstützte Dateisystemtypen finden Sie im GuardDuty-Benutzerhandbuch.

Malware Protection für S3 kann mit der Malware-Scan-Engine von GuardDuty Dateien der meisten synchronen S3-Speicherklassen scannen, wie etwa S3 Standard, S3 Intelligent-Tiering, S3 Standard-IA, S3 One Zone-IA und Amazon S3 Glacier Instant Retrieval.  Dabei werden die Dateiformate gescannt, die bekanntermaßen zur Verbreitung oder Speicherung von Malware verwendet werden, einschließlich ausführbarer Dateien, PDF-Dateien, Archiven, Binärdateien, gepackten Dateien, Skripten, Installationsprogrammen, E-Mail-Datenbanken, einfachen E-Mails, Images und verschlüsselten Objekten.

Malware Protection sucht nach Bedrohungen wie Trojanern, Würmern, Crypto-Minern, Rootkits und Bots, die dazu verwendet werden könnten, Workloads zu kompromittieren, Ressourcen für böswillige Zwecke umzuwidmen und unbefugten Zugriff auf Daten zu erlangen.

Eine umfassende Liste der Erkenntnistypen finden Sie im GuardDuty-Benutzerhandbuch.

Die Serviceprotokollierung muss nicht aktiviert sein, damit GuardDuty oder das Feature Malware Protection funktionieren. Das Feature Malware Protection ist Teil von GuardDuty, einem AWS-Service, der Informationen aus integrierten internen und externen Quellen nutzt.

Anstatt Sicherheitsagenten zu verwenden, erstellt und scannt GuardDuty Malware Protection eine Replikation, die auf dem Snapshot der EBS-Volumes basiert, die der potenziell infizierten Amazon-EC2-Instance oder Container-Workload in Ihrem Konto angehängt sind. Die Berechtigungen, die Sie GuardDuty über eine Service-verknüpfte Rolle erteilt haben, erlauben es dem Service, ein verschlüsseltes Volume-Replikat im Servicekonto von GuardDuty aus dem Snapshot zu erstellen, der in Ihrem Konto verbleibt. GuardDuty Malware Protection scannt dann das Volume-Replikat auf Malware.

Für Objekte in Amazon S3 beginnt GuardDuty mit dem Lesen, Entschlüsseln und Scannen von Objekten, die in Buckets hochgeladen wurden, die Sie für GuardDuty Malware Protection konfiguriert haben. Sie können den Umfang der zu scannenden Objekte in einem Bucket einschränken, indem Sie festlegen, dass nur Objekte mit bestimmten Präfixen gescannt werden. GuardDuty scannt hochgeladene Objekte, die mit diesen definierten Präfixen übereinstimmen, und generiert eine Sicherheitserkenntnis und eine Amazon-EventBridge-Benachrichtigung mit einem detaillierten Scan-Ergebnis: Infiziert, Sauber, Übersprungen oder Fehlgeschlagen. Die Benachrichtigung enthält auch Scan-Metriken, die sich auf die Anzahl der gescannten Objekte und Bytes beziehen. Sie können auch Aktionen nach dem Scan definieren, die GuardDuty basierend auf dem Scan-Ergebnis für das Objekt ausführt, z. B. automatische Quarantäne oder Objektkennzeichnung.

Ja, jedes neue GuardDuty-Konto in jeder Region erhält eine 30-tägige kostenlose Testversion von GuardDuty, einschließlich des Features Malware Protection (nur für das von GuardDuty initiierte Scannen von EBS-Daten-Volumes verfügbar. Es gibt keine kostenlose Testversion für GuardDuty Malware Protection für Amazon S3). Bestehende GuardDuty-Konten erhalten eine 30-tägige Testversion von Malware Protection ohne zusätzliche Kosten, wenn diese zum ersten Mal in einem Konto aktiviert wird. Während des Testzeitraums können Sie auf der Nutzungsseite der GuardDuty-Konsole die Kostenschätzung anzeigen, die nach dem Testzeitraum zu erwarten ist. Wenn Sie ein GuardDuty-Administrator sind, sehen Sie die geschätzten Kosten für Ihre Mitgliedskonten. Nach 30 Tagen können Sie die tatsächlichen Kosten dieses Features in der AWS-Fakturierungskonsole anzeigen.

Sie können Malware Protection in der GuardDuty-Konsole aktivieren, indem Sie die Malware-Protection-Seite aufrufen oder die API verwenden. Wenn Sie in einer GuardDuty-Konfiguration mit mehreren Konten arbeiten, können Sie die Funktion für Ihr gesamtes Unternehmen auf der Konsolenseite Malware Protection des GuardDuty-Administratorkontos aktivieren. Dies wird die Überwachung für Malware in allen individuellen Mitgliedskonten aktivieren. Für GuardDuty-Konten, die mithilfe des AWS-Organizations-Features zur automatischen Aktivierung erstellt wurden, müssen Sie explizit die Option zur automatischen Aktivierung für Malware Protection aktivieren.

Für Malware Protection für S3 können Sie in zwei Schritten Malware-Scans in Ihre Anwendungen integrieren. Zunächst müssen Sie als Anwendungsbesitzer die Bucket-Schutzkonfiguration für die Buckets einrichten, die Sie überwachen möchten. Sie können dies programmgesteuert in der GuardDuty-Konsole für einen vorhandenen Bucket oder beim Erstellen eines neuen Buckets einrichten. GuardDuty sendet für jeden geschützten S3-Bucket Scan-Metriken an Ihre EventBridge-Ereignisse. So können Sie Alarme einrichten und Aktionen nach dem Scan definieren, z. B. Objektkennzeichnung oder das Kopieren des schädlichen Objekts in einen Quarantäne-Bucket, den GuardDuty basierend auf dem Scan-Ergebnis ausführt. Wenn GuardDuty für Ihr Konto aktiviert ist, wird auch in GuardDuty eine Sicherheitserkenntnis generiert.

Ja, bei jedem neuen Konto, das GuardDuty über die Konsole oder API aktiviert, ist standardmäßig auch Malware Protection für GuardDuty aktiviert (zum Scannen von EBS-Volumes). Für neue GuardDuty-Konten, die mithilfe des AWS-Organizations-Features zur automatischen Aktivierung erstellt wurden, müssen Sie explizit die Option zur automatischen Aktivierung für Malware Protection aktivieren. 

Sie können das Feature in der Konsole oder über die API deaktivieren. In der GuardDuty-Konsole finden Sie auf der Konsolenseite Malware Protection eine Option zum Deaktivieren von Malware Protection für Ihre Konten. Wenn Sie ein GuardDuty-Administratorkonto haben, können Sie Malware Protection auch für Ihre Mitgliedskonten deaktivieren.

Wenn Malware Protection deaktiviert war, können Sie das Feature in der Konsole oder über die API aktivieren. Sie können Malware Protection für Ihre Konten in der GuardDuty-Konsole oder auf der Seite der Malware-Protection-Konsole aktivieren.

Nein, es fallen keine Gebühren für Malware Protection an, wenn während eines Abrechnungszeitraums keine Scans auf Malware durchgeführt werden. Sie können die Kosten dieses Features in der AWS-Fakturierungskonsole anzeigen.

Ja, GuardDuty verfügt über ein Feature zur Verwaltung mehrerer Konten, mit dem Sie mehrere AWS-Konten über ein einziges Administratorkonto zuordnen und verwalten können. GuardDuty verfügt durch die Integration mit AWS Organizations über die Verwaltung mehrere Konten. Diese Integration hilft Sicherheits- und Compliance-Teams, die vollständige Abdeckung von GuardDuty, einschließlich Malware Protection, für alle Konten in einer Organisation sicherzustellen.

Nein. Sobald das Feature aktiviert ist, wird GuardDuty Malware Protection einen Malware-Scan als Reaktion auf relevante Amazon-EC2-Erkenntnisse initiieren. Sie müssen keine Agenten einrichten, keine Protokollquellen aktivieren und keine anderen Konfigurationsänderungen vornehmen.

GuardDuty Malware Protection ist so konzipiert, dass die Leistung Ihrer Workloads nicht beeinträchtigt wird. Beispielsweise können EBS-Volume-Snapshots, die für die Malware-Analyse erstellt werden, nur einmal innerhalb von 24 Stunden erzeugt werden. GuardDuty Malware Protection behält die verschlüsselten Replikate und Snapshots nach Abschluss eines Scans noch einige Minuten lang bei. Darüber hinaus nutzt GuardDuty Malware Protection die GuardDuty-Rechenressourcen für das Scannen von Malware anstelle von Kunden-Rechenressourcen.

Ja, GuardDuty ist ein regionaler Service und Malware Protection muss in jeder AWS-Region separat aktiviert werden.

GuardDuty Malware Protection scannt ein Replikat, das auf dem Snapshot der EBS-Volumes basiert, die der potenziell infizierten Amazon-EC2-Instance oder Container-Workload in Ihrem Konto angehängt sind. Wenn Ihre EBS-Volumes mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind, haben Sie die Möglichkeit, Ihren AWS Key Management Service (KMS)-Schlüssel für GuardDuty freizugeben, und der Service verwendet denselben Schlüssel zur Verschlüsselung des replizierten Amazon-EBS-Volumes. Bei unverschlüsselten EBS-Volumes verwendet GuardDuty seinen eigenen Schlüssel, um das replizierte Amazon-EBS-Volume zu verschlüsseln.

Ja, alle Daten des replizierten Amazon-EBS-Volumes (und der Snapshot, auf dem das replizierte Volume basiert) bleiben in der gleichen Region wie das ursprüngliche Amazon-EBS-Volume.

Jedes neue GuardDuty-Konto in jeder Region erhält eine kostenlose 30-tägige Testversion von GuardDuty, einschließlich des Features Malware Protection (nur für EBS-Daten-Volume-Scans, die von GuardDuty initiiert werden. Es gibt keine kostenlose Testversion für Malware Protection für Amazon S3). Bestehende GuardDuty-Konten erhalten eine 30-tägige Testversion von Malware Protection ohne zusätzliche Kosten, wenn diese zum ersten Mal in einem Konto aktiviert wird. Während des Testzeitraums können Sie auf der Nutzungsseite der GuardDuty-Konsole die Kosten für die Zeit nach dem Testzeitraum schätzen. Wenn Sie ein GuardDuty-Administrator sind, sehen Sie die geschätzten Kosten für Ihre Mitgliedskonten. Nach 30 Tagen können Sie die tatsächlichen Kosten dieses Features in der AWS-Fakturierungskonsole anzeigen.

Die Preise für das Scannen von EBS-Volumes auf Malware basieren auf der Anzahl der GB an Daten, die in einem Volume gescannt werden. Sie können die Scan-Optionen in der Konsole anpassen, um einige Amazon-EC2-Instances mit Hilfe von Tags zu markieren, die von der Überprüfung ausgenommen werden sollen, um so die Kosten zu kontrollieren. Darüber hinaus scannt GuardDuty eine Amazon-EC2-Instance nur einmal alle 24 Stunden. Wenn GuardDuty innerhalb von 24 Stunden mehrere EC2-Erkenntnisse für eine EC2-Instance generiert, wird nur die erste relevante EC2-Erkenntnis überprüft. Wenn die EC2-Erkenntnisse für eine Instance 24 Stunden nach dem letzten Malware-Scan fortbestehen, wird ein neuer Malware-Scan für diese Instance eingeleitet.

Die Preise für Malware-Scans von Speicherobjekten in S3-Buckets basieren auf den GB der gescannten Daten sowie der Anzahl der gescannten Dateien in einem bestimmten S3-Bucket, der für Malware-Scans konfiguriert ist. GuardDuty scannt nur nach neu hochgeladenen Dateien in konfigurierten Buckets. Es werden keine vorhandenen Dateien oder Dateien in Buckets gescannt, die nicht für Malware-Scans vorgesehen sind.

Ja, es gibt eine Einstellung, mit der Sie die Speicherung von Snapshots aktivieren können, wenn der Malware-Protection-Scan Malware entdeckt. Sie können diese Einstellung in der GuardDuty-Konsole auf der Seite Einstellungen aktivieren. Standardmäßig werden Snapshots einige Minuten nach Abschluss eines Scans und nach 24 Stunden, wenn der Scan nicht abgeschlossen wurde, gelöscht.

GuardDuty Malware Protection bewahrt jedes erzeugte und gescannte EBS-Replikat-Volume bis zu 24 Stunden lang auf. Standardmäßig werden replizierte EBS-Volumen einige Minuten nach Abschluss eines Scanvorgangs von GuardDuty Malware Protection gelöscht. In einigen Fällen kann es jedoch vorkommen, dass GuardDuty Malware Protection ein repliziertes EBS-Volumen länger als 24 Stunden aufbewahren muss, wenn ein Serviceausfall oder ein Verbindungsproblem den Malware-Scan beeinträchtigt. In diesem Fall hält GuardDuty Malware Protection das replizierte EBS-Volume bis zu sieben Tage lang zurück, um dem Service Zeit zu geben, den Ausfall oder das Verbindungsproblem zu beheben. GuardDuty Malware Protection löscht das replizierte Amazon-EBS-Volume, nachdem der Ausfall oder die Störung behoben wurde oder sobald die verlängerte Beibehaltungsfrist abgelaufen ist.

Nein, GuardDuty scannt nur einmal alle 24 Stunden ein Replikat, das auf dem Snapshot der Amazon-EBS-Volumes basiert, die der potenziell infizierten Amazon-EC2-Instance oder dem Container-Workload angehängt sind. Selbst wenn GuardDuty mehrere Erkenntnisse generiert, die für einen Malware-Scan in Frage kommen, werden keine weiteren Scans initiiert, wenn seit einem früheren Scan weniger als 24 Stunden vergangen sind. Wenn GuardDuty innerhalb von 24 Stunden nach dem letzten Malware-Scan eine qualifizierte Erkenntnis generiert, wird GuardDuty Malware Protection einen neuen Malware-Scan für diesen Workload initiieren.

Nein, wenn Sie den GuardDuty-Dienst deaktivieren, wird auch die Funktion zum Schutz vor Malware deaktiviert.

Nein, GuardDuty S3 Malware Protection bietet Ihnen Flexibilität und ermöglicht es Anwendungsbesitzern, Malware Protection für ihre S3-Buckets einzurichten, auch wenn das grundlegende GuardDuty für das Konto nicht aktiviert ist. Das grundlegende GuardDuty beinhaltet die Standardüberwachung grundlegender Quellen wie AWS-CloudTrail-Verwaltungsereignisse, VPC-Flow-Protokolle und DNS-Abfrageprotokolle.

GuardDuty Malware Protection für AWS Backup ermöglicht es Ihnen, Malware in Amazon EC2-, Amazon EBS- und Amazon-S3-Backups zu erkennen, ohne zusätzliche Sicherheitssoftware oder Agenten bereitstellen zu müssen. Diese vollständig verwaltete Funktion ermöglicht es Ihnen, Backups nach der Erstellung automatisch zu scannen, On-Demand-Scans vergangener Backups durchzuführen und die Backup-Integrität vor der Wiederherstellung zu überprüfen. Das Feature verwendet kostengünstiges inkrementelles Scannen, bei dem zwischen aufeinanderfolgenden Backups nur neue Daten analysiert werden. So erhalten Sie flexiblen, kontinuierlichen Schutz und reduzieren gleichzeitig die Kosten für Scans im Vergleich zu vollständigen erneuten Backup-Scans.

GuardDuty RDS Protection kann mit einer einzigen Aktion in der GuardDuty-Konsole aktiviert werden, ohne dass Agenten manuell bereitgestellt, Datenquellen aktiviert oder Berechtigungen konfiguriert werden müssen. Unter Verwendung maßgeschneiderter ML-Modelle beginnt die GuardDuty Malware Protection mit der Analyse und Profilerstellung von Anmeldeversuchen bei bestehenden und neuen Amazon Aurora-Datenbanken. Wenn verdächtige Verhaltensweisen oder Versuche von bekannten böswilligen Akteuren identifiziert werden, sendet GuardDuty verwertbare Sicherheitserkenntnisse an die GuardDuty-Konsole, die Amazon Relational Database Service (RDS)-Konsole, Security Hub und Amazon EventBridge und ermöglicht so die Integration in bestehende Sicherheitsereignis-Management- oder Workflow-Systeme. Erfahren Sie mehr darüber, wie GuardDuty RDS Protection die Überwachung der RDS-Anmeldeaktivitäten nutzt.

Für aktuelle GuardDuty-Konten kann das Feature über die GuardDuty-Konsole auf der RDS-Protection-Seite oder über die API aktiviert werden. Erfahren Sie mehr über GuardDuty RDS Protection.

Ja. Bei allen neuen Konten, die GuardDuty über die Konsole oder API aktivieren, ist der RDS-Schutz ebenfalls standardmäßig aktiviert. Bei neuen GuardDuty-Konten, die mit dem AWS-Organizations-Feature zur automatischen Aktivierung erstellt werden, ist RDS Protection nicht standardmäßig aktiviert, es sei denn die Option zur automatischen Aktivierung für RDS ist aktiviert.

Nein, der GuardDuty-Service muss aktiviert werden, um GuardDuty RDS Protection zu nutzen.

Eine vollständige Liste der Regionen, in denen RDS Protection verfügbar ist, finden Sie unter Regionale Verfügbarkeit von Features.

Bitte sehen Sie sich die Liste der unterstützten Amazon-Aurora-Datenbankversionen an.

Nein. Die Bedrohungserkennung von GuardDuty für Aurora-Datenbanken wurde speziell so entwickelt, dass sie keine Auswirkungen auf die Leistung, die Verfügbarkeit oder die Kosten Ihrer Amazon-Aurora-Datenbanken hat.

GuardDuty Lambda Protection überwacht kontinuierlich Netzwerkaktivität, angefangen mit VPC-Flow-Protokollen, aus Ihren Serverless-Workloads, um Bedrohungen für Lambda zu erkennen. Dazu gehören z. B. Funktionen, die in böswilliger Absicht für unbefugtes Krypto-Mining umfunktioniert wurden, oder kompromittierte Lambda-Funktionen, die mit Servern bekannter Bedrohungen kommunizieren. GuardDuty Lambda Protection kann mit wenigen Schritten in der GuardDuty-Konsole aktiviert und mithilfe von AWS Organizations zentral für alle vorhandenen und neuen Konten in einer Organisation aktiviert werden. Nach der Aktivierung beginnt es automatisch mit der Überwachung der Netzwerkaktivitätsdaten aller vorhandenen und neuen Lambda-Funktionen in einem Konto.

Für aktuelle GuardDuty-Konten kann das Feature über die GuardDuty-Konsole auf der Seite für Lambda Protection oder über die API aktiviert werden. Erfahren Sie mehr über GuardDuty Lambda Protection.

Ja. Bei allen neuen Konten, die GuardDuty über die Konsole oder API aktivieren, ist Lambda Protection ebenfalls standardmäßig aktiviert. Bei neuen GuardDuty-Konten, die mit dem AWS-Organizations-Feature zur automatischen Aktivierung erstellt werden, ist Lambda Protection nicht standardmäßig aktiviert, es sei denn die Option zur automatischen Aktivierung für Lambda ist aktiviert.

Eine vollständige Liste der Regionen, in denen Lambda Protection verfügbar ist, finden Sie unter Verfügbarkeit regionsspezifischer Features.

Nein, GuardDuty Lambda Protection ist so konzipiert, dass es keine Auswirkungen auf die Leistung, Verfügbarkeit oder Kosten Ihrer Lambda-Workloads hat.

Amazon GuardDuty hat Funktionen für die erweiterte Bedrohungserkennung eingeführt, die auf künstlicher Intelligenz (KI) und Machine Learning (ML) basieren, um komplexe, mehrstufige Angriffssequenzen, die auf Ihre AWS-Konten, Workloads und Daten abzielen, schnell zu identifizieren. Auf diese Weise kann GuardDuty aktive Angriffssequenzen erkennen und priorisieren, sodass Sie einen umfassenden Überblick über Bedrohungen und präskriptive Abhilfemaßnahmen erhalten, damit Sie schneller reagieren und die Auswirkungen auf Ihr Geschäft minimieren können.

GuardDuty verwendet KI- und ML-Techniken, die im AWS-Maßstab trainiert wurden, um Sicherheitssignale und Erkenntnisse aus verschiedenen AWS-Services automatisch zusammenzusetzen. Auf diese Weise können umfassende Angriffssequenzen, wie z. B. die Kompromittierung von Anmeldeinformationen und anschließender Datenexfiltration, identifiziert und als eine einzelne Erkenntnis mit hoher Priorität dargestellt werden. Die Erkenntnis umfasst eine Zusammenfassung der Bedrohung in natürlicher Sprache, Einzelheiten zu den betroffenen Ressourcen und schrittweise Empfehlungen zur Behebung.

Zu den wichtigsten Vorteilen gehören:

• Schnellere Erkennung und Reaktion auf Bedrohungen mithilfe automatisch korrelierter unterschiedlicher Bedrohungssignale und weniger Sicherheitswarnungen, die Sie manuell analysieren müssen
• Verbesserter Einblick in Angriffssequenzen, die sich über mehrere Ressourcen und Konten erstrecken
• Rationalisierung von Reaktionen mit präskriptiven Abhilfeempfehlungen, die auf bewährten AWS-Methoden und MITRE-ATT&CK®-Taktik- und Methoden-Zuordnungen basieren

Die erweiterte Bedrohungserkennung wird automatisch für alle neuen und bestehenden GuardDuty-Kunden ohne zusätzliche Kosten aktiviert. Sie können direkt von der GuardDuty-Konsole aus oder über GuardDuty-Integrationen mit AWS Security Hub, Amazon EventBridge und anderen Sicherheitstools, die Sie möglicherweise bereits verwenden, die Erkenntnisse über die neue Angriffssequenz anzeigen und entsprechende Maßnahmen ergreifen.

Nein, Sie müssen nicht alle GuardDuty-Schutzpläne aktivieren, um von der erweiterten Bedrohungserkennung zu profitieren. Durch die Aktivierung weiterer GuardDuty-Schutzpläne wird jedoch die Bandbreite der verfügbaren Sicherheitssignale erhöht, sodass eine noch umfassendere Bedrohungserkennung und -analyse möglich ist. Sie müssen GuardDuty S3 Protection aktivieren, wenn die erweiterte Bedrohungserkennung von GuardDuty Datenkompromittierungen erkennen soll, die Teil eines Ransomware-Ereignisses sein können.

Wenn Sie beispielsweise nur die grundlegende Bedrohungserkennung von GuardDuty aktiviert haben, kann GuardDuty eine potenzielle Angriffssequenz identifizieren, die mit der Erkennung von IAM-Rechten beginnt, z. B. S3-APIs, und dann zu einer Änderung der Amazon-S3-Steuerebene übergeht, z. B. der Änderung der Ressourcenrichtlinie eines Amazon-S3-Buckets, um sie toleranter zu machen.

Wenn Sie jedoch auch GuardDuty S3 Protection aktivieren, verbessert GuardDuty diese Erkennung. GuardDuty wird nun in der Lage sein, derselben Angriffssequenz-Erkenntnis einen Hinweis auf potenzielle Datenexfiltrationsaktivitäten hinzuzufügen. Dies könnte passieren, nachdem der S3-Bucket-Zugriff toleranter gestaltet wurde. Durch die Kombination dieser Funktionen kann GuardDuty nun eine umfassendere Erkennung von Angriffssequenzen erstellen. Dadurch erhalten Sie einen umfassenderen Überblick über die potenzielle Bedrohung und die verschiedenen Phasen des Angriffs.

Die Funktionen der erweiterte Bedrohungserkennung sind für alle GuardDuty-Kunden ohne zusätzliche Kosten enthalten. Die GuardDuty-Preise, einschließlich der neuen Funktionen zur erweiterten Bedrohungserkennung, bleiben unverändert – Sie zahlen nur für das, was Sie nutzen, ohne Vorabgebühren oder zusätzliche Kosten.

Durch die Aktivierung von S3 Protection kann GuardDuty vielfältigere Signale aus mehreren Datenquellen korrelieren und so seine Fähigkeit erweitern, komplexe Angriffssequenzen zu erkennen, die Ihre S3-Buckets betreffen. Wenn S3 Protection aktiviert ist, kann GuardDuty potenzielle Datenexfiltrations-Aktivitäten identifizieren, die auftreten können, wenn der Zugriff au den S3-Bucket permissiver wird. Außerdem erkennt es die Erkennung von IAM-Rechten und Änderungen der S3-Kontrollebene. Dies bietet einen umfassenderen Überblick über potenzielle Bedrohungen, die auf Ihre S3-Ressourcen abzielen.

Mit S3 Protection kann GuardDuty mehrstufige Angriffssequenzen erkennen, die Ihre Amazon-S3-Ressourcen betreffen. Dazu können Szenarien wie Aktivitäten zur Erkennung von IAM-Rechten in S3-APIs gehören, gefolgt von Änderungen der S3-Bucket-Richtlinien zur Erhöhung der Berechtigungen, oder verdächtige API-Aufrufe zum Auflisten oder Ändern von S3-Buckets, gefolgt von anomalen Datenzugriffs- oder -übertragungsaktivitäten. GuardDuty kann auch Versuche identifizieren, Fehlkonfigurationen in S3-Bucket-Richtlinien auszunutzen, um unbefugten Zugriff zu erhalten, sowie Sequenzen, bei denen die S3-Ressourcen zunächst erkannt und anschließend versucht werden, Daten zu exfiltrieren. Diese Funktion ermöglicht die Früherkennung komplexer Bedrohungen, die andernfalls unbemerkt bleiben könnten, bis ein erheblicher Schaden entstanden ist.

Die Aktivierung von EKS Protection für die erweiterte Bedrohungserkennung bietet mehrere wichtige Vorteile für die Sicherung Ihrer Amazon Elastic Kubernetes Service (Amazon EKS)-Cluster. Es ermöglicht GuardDuty, Sicherheitssignale aus Amazon-EKS-Prüfungsprotokollen, Laufzeitverhalten und AWS-API-Aktivitäten zu korrelieren, sodass ausgeklügelte Angriffssequenzen erkannt werden können, die andernfalls unbemerkt bleiben könnten. Dazu gehören mehrstufige Angriffe wie die anfängliche Ausnutzung von Containern, gefolgt von einer Rechteeskalation. GuardDuty kann potenzielle Kompromittierungen von EKS-Clustern, Pods und zugeordneten AWS-Ressourcen automatisch identifizieren und bietet so einen besseren Überblick über komplexe Bedrohungen, der Container-Workloads und AWS-Services umfasst. Dieser Ansatz verbessert Ihre Fähigkeit, komplexe Bedrohungen, die auf Ihre Kubernetes-Umgebungen abzielen, zu erkennen und darauf zu reagieren.

GuardDuty nutzt sowohl EKS Protection als auch Runtime Monitoring, um eine ganzheitliche Ansicht Ihrer Amazon-EKS-Cluster zu erstellen, sodass komplexe Angriffsmuster erkannt werden können. EKS Protection überwacht die Aktivitäten der Steuerebene, während Runtime Monitoring das Verhalten innerhalb von Containern beobachtet. Diese Kombination ermöglicht es GuardDuty, ausgeklügelte Angriffssequenzen zu erkennen, wie etwa die Kompromittierung von Containern, auf denen anfällige Webanwendungen ausgeführt werden, unbefugten Zugriff durch falsch konfigurierte Anmeldeinformationen, Versuche, Rechte innerhalb des Clusters zu erweitern, verdächtige API-Anfragen an den Kubernetes-API-Server und Versuche, über kompromittierte Pods auf vertrauliche Daten oder AWS-Ressourcen zuzugreifen. Durch die Korrelation dieser verschiedenen Signale kann GuardDuty spezifische Angriffssequenzen identifizieren, die bei einzelnen Erkennungen möglicherweise übersehen werden, und bietet so eine umfassendere Sicherheitslage für Ihre EKS-Umgebungen.

Die Kombination aus grundlegendem GuardDuty, das CloudTrail und Netzwerkaktivitäten überwacht, und Runtime Monitoring, das Prozessverhalten und Systemaufrufe innerhalb von Instances beobachtet, ermöglicht eine umfassendere Bedrohungserkennung. Diese integrierte Überwachung ermöglicht es GuardDuty, ausgeklügelte Angriffssequenzen wie unbefugten Zugriff durch falsch konfigurierte Anmeldeinformationen, Versuche zur Rechteerweiterung und unbefugten Zugriff auf sensible Daten zu erkennen. Durch die Korrelation dieser verschiedenen Signale kann GuardDuty komplexe Angriffsmuster identifizieren, die bei einzelnen Erkennungen übersehen werden könnten, und den gesamten Angriffsvektor abbilden. 

Runtime Monitoring ist für eine umfassendere Bedrohungserkennung in Amazon-ECS-Umgebungen unerlässlich und hilft Ihnen dabei, komplexere containerspezifische Bedrohungen wie verdächtige Prozesse, Persistenzversuche und nicht autorisierte Aktivitäten zu erkennen.

Für Amazon ECS in Fargate: Runtime Monitoring ist für die Bedrohungserkennung erforderlich, da andere GuardDuty-Datenquellen keinen Einblick in Fargate-Container haben. Ohne aktiviertes Runtime Monitoring werden keine Sicherheitserkenntnisse für Fargate-Workloads generiert.

Für ECS in EC2: Runtime Monitoring bietet eine containerorientierte Bedrohungserkennung mit genauer Zuordnung zu bestimmten ECS-Clustern. Sie erhalten spezielle Sicherheitserkenntnisse (wie AttackSequence:ECS/CompromisedCluster). Ohne Runtime Monitoring kann GuardDuty erkannte Bedrohungen nur der zugrunde liegenden EC2-Instance zuordnen, was zu EC2-spezifischen Erkenntnissen und nicht zu Erkenntnissen auf ECS-Cluster-Ebene führt.

Durch die Korrelation verschiedener Signale aus Netzwerkaktivität, Laufzeitverhalten von Prozessen und AWS-API-Aktivität kann GuardDuty komplexe Angriffsmuster identifizieren, die bei einzelnen Erkennungen übersehen werden könnten, und den kompletten Angriffsvektor abbilden.