Übersicht über den Service

F: Was ist Amazon GuardDuty?

Amazon GuardDuty bietet eine Bedrohungserkennung, mit der Sie Ihre AWS-Konten und -Workloads kontinuierlich überwachen und schützen können. GuardDuty analysiert fortlaufende Metadatenströme, die von Ihrem Konto generiert werden, sowie die Netzwerkaktivität, die in AWS CloudTrail Events, Amazon VPC Flow Logs und in DNS-Protokollen gefunden wird. Zudem nutzt das Produkt integrierte Bedrohungsinformationen wie bekannte schädliche IP-Adressen, Anomalieerkennung und maschinelles Lernen für eine noch genauere Bedrohungserkennung.

F: Was sind die wichtigsten Vorteile von Amazon GuardDuty?

Mit Amazon GuardDuty wird die kontinuierliche Überwachung Ihrer AWS-Konten und -Workloads zum Kinderspiel. Da seine Verarbeitung völlig unabhängig von Ihren Ressourcen erfolgt, besteht keinerlei Risiko, dass Ihre Workloads durch Leistungs- oder Verfügbarkeitseinbußen beeinträchtigt werden. Das Produkt und seine integrierten Bedrohungsinformationen, die Anomalieerkennung und das maschinelle Lernen werden vollständig verwaltet. Amazon GuardDuty stellt detaillierte und umsetzbare Warnungen zur Verfügung, die ohne großen Aufwand in bestehende Ereignisverwaltungs- und Workflowsysteme integriert werden können. Für das Produkt fallen keine Vorlaufkosten an und Sie bezahlen nur für die analysierten Ereignisse. Es sind weder Softwarebereitstellungen noch Abonnements von Feeds mit Bedrohungsinformationen erforderlich.

F: Wie viel kostet Amazon GuardDuty?

Für die Preisgestaltung von Amazon GuardDuty werden zwei Dimensionen zugrunde gelegt. Die Dimensionen basieren auf der Menge der analysierten AWS CloudTrail Events (pro 1 000 000 Ereignisse) und dem Volumen der analysierten Amazon VPC Flow Logs und DNS-Protokolle (pro GB).

  • Analyse von AWS CloudTrail Events – GuardDuty analysiert fortlaufend AWS CloudTrail-Verwaltungsereignisse und überwacht den gesamten Zugriff sowie das Verhalten Ihrer AWS-Konten und -Infrastruktur. Die CloudTrail Events-Analyse wird in Einheiten von 1 000 000 Ereignissen pro Monat berechnet und anteilig angepasst.
  • VPC Flow Log- und DNS-Protokollanalyse – GuardDuty analysiert fortlaufend VPC Flow Logs und DNS-Anfragen und -Antworten, um schädliches, unbefugtes und unerwartetes Verhalten in Ihren Amazon EC2-Instances aufzuspüren. Die Flow Log- und DNS-Protokollanalyse wird pro Gigabyte (GB) monatlich berechnet. Die Flow Log- und DNS-Protokollanalyse wird mit gestaffelten Mengenrabatten angeboten.

Es fallen keine Vorlaufkosten an und Sie bezahlen nur für die analysierten Daten.

Unter Preise von Amazon GuardDuty finden Sie ausführliche Informationen und Preisbeispiele.

F: Gibt es eine kostenlose Testversion?

Ja. Jeder Neukunde von Amazon GuardDuty kann den Service 30 Tage lang kostenlos testen. Während der kostenlosen Testphase können Sie den gesamten Funktionsumfang und das ganze Erkennungsspektrum nutzen. GuardDuty zeigt die verarbeitete Datenmenge und die geschätzten täglichen durchschnittlichen Servicekosten für Ihr Konto an. Dadurch können Sie Amazon GuardDuty ganz unkompliziert kostenlos ausprobieren und die Kosten für den Service nach der kostenlosen Testphase abschätzen.

F: Worin besteht der Unterschied zwischen Amazon GuardDuty und Amazon Macie?

Amazon GuardDuty bietet einen breit angelegten Schutz für Ihre AWS-Konten, -Workloads und -Daten durch unterstützende Maßnahmen für das Aufspüren von Bedrohungen wie Reconnaissance-Angreifern, die auf eine Aufklärung abzielen, sowie Angriffen auf Instances und Konten. Amazon Macie hilft Ihnen beim Schutz Ihrer Daten in Amazon S3, indem Ihnen die Klassifizierung Ihrer Daten und deren Wert für das Unternehmen erleichtert wird. Außerdem können Sie damit das Verhalten erkennen, das mit dem Zugriff auf diese Daten verbunden ist. Beide Services greifen auf integrierte Funktionen wie Benutzerverhaltensanalyse, maschinelles Lernen und Anomalieerkennung zurück, um Bedrohungen in den jeweiligen Kategorien zu erkennen.

F: Ist Amazon GuardDuty ein regionaler oder ein globaler Service?

Bei Amazon GuardDuty handelt es sich um einen regionalen Service. Selbst wenn mehrere Konten aktiviert sind und mehrere Regionen verwendet werden, verbleiben die Sicherheitserkenntnisse von Amazon GuardDuty in den Regionen, in denen die zugrunde liegenden Daten generiert wurden. Dadurch ist sichergestellt, dass sich alle analysierten Daten nur in ihren Regionen befinden und die regionalen AWS-Grenzen nicht überschreiten. Die Kunden können sich jedoch dafür entscheiden, die von Amazon GuardDuty in den verschiedenen Regionen gewonnenen Sicherheitserkenntnisse mithilfe von AWS CloudWatch Events zu sammeln. Die Erkenntnisse werden dabei in einen Datenspeicher wie Amazon S3 übertragen, der vom Kunden kontrolliert wird, und dann ganz nach Belieben gesammelt.

F: Welche Regionen werden von Amazon GuardDuty unterstützt?

Hier finden Sie eine Auflistung der regionalen Verfügbarkeit von Amazon GuardDuty: Tabelle der AWS-Regionen

F: Welche Partner arbeiten mit Amazon GuardDuty?

Zahlreiche Technologiepartner haben Amazon GuardDuty bereits integriert und setzen auf dieses Produkt. Auch Anbieter von Beratungsdiensten sowie Service-Provider für Systemintegration und verwaltete Sicherheit besitzen Erfahrung mit GuardDuty. Weitere Informationen hierzu finden Sie unter Amazon GuardDuty-Partner.

Aktivierung von GuardDuty

F: Wie kann ich Amazon GuardDuty aktivieren?

Amazon GuardDuty kann mit nur wenigen Mausklicks in der AWS-Managementkonsole aktiviert werden. GuardDuty beginnt direkt nach seiner Aktivierung mit der Analyse fortlaufender Aktivitätsströme bei Konten und Netzwerken, die nahezu in Echtzeit erfolgt und richtig dimensioniert ist. Sie müssen keine zusätzlichen Sicherheitssoftwareprodukte, Sensoren oder Netzwerk-Appliances bereitstellen oder verwalten. Die Bedrohungsinformationen sind bereits im Service integriert und werden kontinuierlich aktualisiert und gepflegt.  

F: Kann ich mehrere Konten mit Amazon GuardDuty verwalten?

Ja. Amazon GuardDuty verfügt über eine Funktion für mehrere Konten, mit der Sie mehrere AWS-Konten von einem einzelnen Master-Konto aus zuordnen und verwalten können. Wird diese Funktion genutzt, werden sämtliche Sicherheitserkenntnisse zur Prüfung und Ergreifung von Abhilfemaßnahmen beim Administrator oder Master-Konto von Amazon GuardDuty gesammelt. Bei dieser Konfiguration werden AWS CloudWatch Events ebenfalls beim Master-Konto von Amazon GuardDuty gesammelt.

F: Welche Datenquellen werden von Amazon GuardDuty analysiert?

Amazon GuardDuty analysiert AWS CloudTrail, VPC Flow Logs und AWS DNS-Protokolle. Der Service wurde für die Verarbeitung von hohen Datenmengen optimiert, sodass eine Verarbeitung von sicherheitsrelevanten Erkennungen nahezu in Echtzeit möglich ist. Mit GuardDuty erhalten Sie Zugang zu integrierten Erkennungsverfahren, die für die Cloud entwickelt und optimiert wurden. Diese Verfahren werden von AWS Security verwaltet und fortlaufend verbessert.  

F: Wie lange benötigt GuardDuty bis zum ersten Einsatz?

Amazon GuardDuty beginnt direkt nach seiner Aktivierung mit der Analyse, um schädliche oder unbefugte Aktivität aufzuspüren. Wann genau Sie die ersten Erkenntnisse erhalten, hängt von dem Ausmaß der Aktivität bei Ihrem Konto ab. GuardDuty prüft nur Aktivitäten, die nach seiner Aktivierung stattfinden. Historische Daten werden nicht berücksichtigt. Falls GuardDuty mögliche Bedrohungen findet, erhalten Sie in der GuardDuty-Konsole ein entsprechendes Ergebnis.

F: Muss ich AWS CloudTrail, VPC Flow Logs und DNS-Protokolle aktivieren, damit Amazon GuardDuty funktioniert?

Nein. Amazon GuardDuty extrahiert unabhängige Datenströme direkt aus AWS CloudTrail, VPC Flow Logs und AWS DNS-Protokollen. Sie müssen die Amazon S3-Bucket-Richtlinien oder die Art und Weise, wie Sie Ihre Protokolle erfassen und speichern, nicht verwalten. Die GuardDuty-Berechtigungen werden als mit dem Service verknüpfte Rollen verwaltet, die Sie jederzeit widerrufen können. Hierfür ist lediglich die Deaktivierung von GuardDuty erforderlich. Dadurch können Sie den Service ganz ohne komplexe Konfiguration schnell aktivieren und vermeiden das Risiko, dass der Betrieb des Service durch eine Änderung der AWS IAM-Berechtigung oder S3-Bucket-Richtlinie beeinträchtigt wird. Zudem kann GuardDuty auf diese Weise hohe Datenmengen nahezu in Echtzeit äußerst effizient verarbeiten, ohne dabei die Leistung oder Verfügbarkeit Ihres Kontos oder Ihrer Workloads zu beeinträchtigen.

F: Wird die Leistung oder Verfügbarkeit meines Kontos beeinträchtigt, wenn ich Amazon GuardDuty aktiviere?

Nein. Da Amazon GuardDuty absolut unabhängig von Ihren AWS-Ressourcen agiert, besteht keinerlei Risiko, dass Ihre Konten oder Workloads beeinträchtigt werden. Daher kann GuardDuty problemlos ohne Auswirkung auf bestehende Operationen in vielen verschiedenen Konten eines Unternehmens aktiviert werden.

F: Werden meine Protokolle von Amazon GuardDuty verwaltet oder aufbewahrt?

Nein. Ihre Protokolle werden von Amazon GuardDuty weder verwaltet noch aufbewahrt. Sämtliche Daten, die von GuardDuty verarbeitet werden, werden nahezu in Echtzeit analysiert und gelöscht. Dadurch kann GuardDuty äußerst effizient und kostengünstig agieren. Zudem wird das Risiko einer Datenremanenz verringert. Für die Bereitstellung und Aufbewahrung von Protokollen sollten Sie die AWS-Services für Protokollierung und Überwachung direkt verwenden. Diese enthalten Bereitstellungs- und Aufbewahrungsoptionen mit umfangreichen Funktionen.

F: Wie kann ich verhindern, dass Amazon GuardDuty weiterhin meine Protokolle und Datenquellen prüft?

Sie können jederzeit veranlassen, dass Amazon GuardDuty die Analyse Ihrer Datenquellen beendet. Hierfür müssen Sie lediglich den Service in den allgemeinen Einstellungen aussetzen. Daraufhin beendet der Service umgehend die Datenanalyse, Ihre bestehenden Erkenntnisse oder Konfigurationen bleiben jedoch erhalten. Sie können den Service auch in den allgemeinen Einstellungen deaktivieren. Dadurch werden vor der Abgabe der Serviceberechtigungen und Zurücksetzung des Service alle verbleibenden Daten gelöscht. Dies betrifft auch Ihre Erkenntnisse und Konfigurationen.

GuardDuty-Erkenntnisse

F: Was kann Amazon GuardDuty erkennen?

Mit Amazon GuardDuty erhalten Sie Zugang zu integrierten Erkennungsverfahren, die für die Cloud entwickelt und optimiert wurden. Die Erkennungsalgorithmen werden von AWS Security gepflegt und fortlaufend verbessert. Zu den wichtigsten Erkennungskategorien zählen folgende:

  • Reconnaissance -- Aktivitäten, die auf Aufklärungsversuche ("Reconnaissance") durch einen Angreifer hindeuten. Dies kann beispielsweise ungewöhnliche API-Aktivität, ein Port-Scanning zwischen VPCs, ungewöhnliche Muster fehlgeschlagener Anmeldeanforderungen oder nicht geblockte Port-Spionage durch eine bekanntermaßen böswillige IP umfassen.
  • Kompromittierung von Instances -- Aktivitäten, die auf die Kompromittierung einer Instance hindeuten, beispielsweise das Mining von Kryptowährungen, Malware mit Domain-Generation-Algorithmen (DGAs), nach außen gerichtete Denial-of-Service-Aktivität, ein ungewöhnlich hohes Aufkommen an Netzwerkdatenverkehr, ungewöhnliche Netzwerkprotokolle, abgehende Instance-Kommunikation mit einer bekanntermaßen schädlichen IP, von einer externen IP-Adresse verwendete temporäre Amazon EC2-Anmeldeinformationen und Datenausschleusung unter Verwendung von DNS.
  • Kompromittierung von Konten -- Zu allgemeinen Mustern, die auf die Kompromittierung eines Kontos hindeuten, gehören beispielsweise API-Aufrufe von einem ungewöhnlichen geografischen Standort oder anonymisierenden Proxy, die versuchte Deaktivierung der AWS CloudTrail-Protokollierung, ungewöhnliche Vorkommen von Infrastrukturstartvorgängen, Infrastrukturbereitstellungen in einer unüblichen Region und API-Aufrufe von bekanntermaßen schädlichen IP-Adressen.

F: Was sind Amazon GuardDuty-Bedrohungsinformationen?

Die Amazon GuardDuty-Bedrohungsinformationen bestehen aus IP-Adressen und Domänen, die bekanntermaßen von Angreifern verwendet werden. Sie werden von AWS Security und Drittanbietern wie Proofpoint und CrowdStrike bereitgestellt. Diese Feeds mit Bedrohungsinformationen sind bereits in GuardDuty integriert und werden kostenlos laufend aktualisiert.

F: Kann ich eigene Bedrohungsinformationen angeben?

Ja. Mit Amazon GuardDuty können Sie ganz einfach eigene Bedrohungsinformationen oder IP-Sicherheitslisten hochladen. Wenn diese Funktion verwendet wird, werden die betreffenden Listen nur für Ihr Konto übernommen und nicht an andere Kunden weitergegeben.

F: Wie funktionieren maschinelles Lernen und Erkennungen von Verhaltensanomalien?

Die ausgereiften Erkennungen, die auf Verhaltensmuster und maschinelles Lernen zurückgreifen, benötigen zwischen 7 und 14 Tagen für die Einrichtung einer Verhaltensgrundlage bei Ihrem Konto. Danach wechseln die Anomalieerkennungen vom Lernmodus zum aktiven Modus. Sobald sie aktiv sind, werden Ihnen nur dann Erkenntnisse aus diesen Erkennungen angezeigt, wenn der Service Verhalten beobachtet, das auf eine Bedrohung hindeutet.

F: Wie werden Sicherheitserkenntnisse bereitgestellt?

Wenn Amazon GuardDuty eine Bedrohung erkennt, wird eine ausführliche Sicherheitserkenntnis in der GuardDuty-Konsole und in AWS CloudWatch Events bereitgestellt. Auf diese Weise können Sie sofort Maßnahmen ergreifen und die Warnungen mühelos in bestehende Ereignisverwaltungs- oder Workflowsysteme integrieren. Die Erkenntnisse beinhalten die Kategorie, betroffene Ressourcen und Metadaten in Verbindung mit der Ressource sowie den Schweregrad.

F: Welches Format haben die Amazon GuardDuty-Erkenntnisse?

Die Amazon GuardDuty-Erkenntnisse haben ein gängiges JSON-Format, das auch von Amazon Macie und Amazon Inspector verwendet wird. Dadurch können Kunden und Partner die Sicherheitserkenntnisse von allen drei Services nutzen und diese in ein breiteres Spektrum an Ereignisverwaltungs-, Workflow- oder Sicherheitslösungen einbinden.

F: Wie lange stehen die Sicherheitserkenntnisse in Amazon GuardDuty zur Verfügung?

Die Sicherheitserkenntnisse werden 90 Tage lang aufbewahrt und über die Amazon GuardDuty-Konsole und APIs zur Verfügung gestellt. Nach 90 Tagen werden die Erkenntnisse gelöscht. Falls sie länger als 90 Tage aufbewahrt werden sollen, können Sie AWS CloudWatch Events für die automatische Übertragung der Erkenntnisse in ein Amazon S3-Bucket oder einen sonstigen Datenspeicher zur Langzeitspeicherung aktivieren.

F: Kann ich mit Amazon GuardDuty automatisierte vorbeugende Maßnahmen ergreifen?

Mit Amazon GuardDuty, AWS CloudWatch Events und AWS Lambda bleiben Sie flexibel und können auf der Grundlage einer Sicherheitserkenntnis automatisierte vorbeugende Maßnahmen einrichten. Sie können beispielsweise eine Lambda-Funktion erstellen, mit der Ihre AWS-Sicherheitsgruppenregeln auf der Grundlage von Sicherheitserkenntnissen geändert werden. Wenn Sie eine GuardDuty-Erkenntnis erhalten, die vermuten lässt, dass eine Ihrer Amazon EC2-Instances von einer bekanntermaßen schädlichen IP ausspioniert wird, können Sie diesem Umstand mit einer CloudWatch Events-Regel begegnen, die eine Lambda-Funktion zur automatischen Änderung Ihrer Sicherheitsgruppenregeln und Einschränkung des Zugriffs an dem betreffenden Port auslöst.

F: Wie werden Amazon GuardDuty-Erkennungen entwickelt und verwaltet?

Amazon GuardDuty verfügt über ein eigenes Team, das sich voll und ganz auf die Entwicklung, Verwaltung und Iteration von Erkennungen konzentriert. Dies führt zu einem ständigen Fluss neuer Erkennungen im Service und einer kontinuierlichen Iteration bei bestehenden Erkennungen. Der Service enthält verschiedene Feedback-Mechanismen, mit denen beispielsweise jede Sicherheitserkenntnis in der GuardDuty-Benutzeroberfläche positiv oder negativ bewertet werden kann. So können die Kunden eigenes Feedback bereitstellen, das in künftige Iterationen von GuardDuty-Erkennungen einfließt.

F: Kann ich benutzerdefinierte Erkennungen in Amazon GuardDuty schreiben?

Nein. Mit Amazon GuardDuty gehören die aufwändigen Verfahren und komplexen Vorgänge für die Entwicklung und Pflege von eigenen benutzerdefinierten Regelsätzen der Vergangenheit an. Neue Erkennungen werden laufend auf der Basis von Kundenfeedback und Forschungsergebnissen des AWS Security- und GuardDuty-Teams hinzugefügt. Kunden können Anpassungen konfigurieren, indem sie eigene Bedrohungs- und IP-Sicherheitslisten hinzufügen.

Weitere Informationen zu den Preisen von Amazon GuardDuty

Zur Seite mit den Preisen
Sind Sie startbereit?
Anmelden
Haben Sie Fragen?
Kontakt