Amazon GuardDuty – Häufig gestellte Fragen

Übersicht über den Service

GuardDuty ist ein intelligenter Service zur Aufdeckung von Bedrohungen, der Ihre AWS-Konten, Amazon Elastic Compute Cloud (Amazon EC2)-Instances, AWS-Lambda-Funktionen, Amazon Elastic Kubernetes Service (Amazon EKS)-Cluster, Amazon-Aurora-Anmeldeaktivitäten und in Amazon Simple Storage Service (Amazon S3) gespeicherte Daten kontinuierlich auf böswillige Aktivitäten überwacht. Wenn potenziell bösartige Aktivitäten wie anomales Verhalten, die Exfiltration von Anmeldeinformationen oder die Kommunikation mit der Command-and-Control-Infrastruktur (C2) entdeckt werden, generiert GuardDuty detaillierte Sicherheitserkenntnisse, die für die Sicherheitstransparenz und zur Unterstützung bei der Behebung von Problemen genutzt werden können. Darüber hinaus hilft die Funktion Amazon GuardDuty Malware Protection bei der Erkennung bösartiger Dateien auf Amazon Elastic Block Store (EBS)-Volumes, die mit EC2-Instances und Container-Workloads verbunden sind.

GuardDuty macht es leichter, eine kontinuierliche Überwachung Ihrer AWS-Konten, -Workloads und in Amazon S3 gespeicherten Daten zu ermöglichen. Die Grundstufe von GuardDuty ist so konzipiert, dass es völlig unabhängig von Ihren Ressourcen funktioniert und keine Auswirkungen auf die Leistung oder Verfügbarkeit Ihrer Workloads hat. Der Service und seine integrierten Bedrohungsinformationen, die Anomalieerkennung. das Machine Learning und das Malware-Scanning sind vollständig verwaltet. GuardDuty stellt detaillierte und umsetzbare Warnungen zur Verfügung, die so konzipiert sind, dass sie in bestehende Ereignisverwaltungs- und Workflowsysteme integriert werden können. Für das Produkt fallen keine Vorlaufkosten an und Sie bezahlen nur für die analysierten Ereignisse. Es sind weder Softwarebereitstellungen noch Abonnements von Feeds mit Bedrohungsinformationen erforderlich.

Die Preise für GuardDuty basieren auf dem Volumen der analysierten Serviceprotokolle, virtuellen CPUs (vCPUs) oder Aurora Serverless v2 Instance Aurora Capacity Units (ACUs) für die Amazon RDS Ereignisanalyse, der Anzahl und Größe der Amazon EKS Arbeitslasten, die zur Laufzeit überwacht werden, und dem Volumen der auf Malware gescannten Daten. Analysierte Serviceprotokolle werden zur Kostenoptimierung gefiltert und direkt in GuardDuty integriert, d. h. Sie müssen sie nicht separat aktivieren oder bezahlen. 

Unter Preise von Amazon GuardDuty finden Sie zusätzliche Informationen und Preisbeispiele.

Die geschätzten Kosten stellen die Kosten für das individuelle Zahlungskonto dar, und Sie sehen die abgerechnete Nutzung und die durchschnittlichen täglichen Kosten für jedes Mitgliedskonto im GuardDuty-Administratorkonto. Sie müssen zum individuellen Konto gehen, wenn Sie die detaillierten Nutzungsinformationen sehen möchten.

Ja. Jeder Neukunde von GuardDuty kann den Service 30 Tage lang kostenlos testen. Während der kostenlosen Testphase können Sie den gesamten Funktionsumfang und das ganze Erkennungsspektrum nutzen. Während des Testzeitraums können Sie die Kostenschätzung für nach dem Testzeitraum auf der Nutzungsseite der GuardDuty-Konsole anzeigen. Wenn Sie ein GuardDuty-Administrator sind, sehen Sie die geschätzten Kosten für Ihre Mitgliedskonten. Nach 30 Tagen können Sie die tatsächlichen Kosten dieser Funktion in der AWS-Fakturierungskonsole anzeigen.

GuardDuty bietet eine umfassende Sicherheitsüberwachung Ihrer AWS-Konten, -Workloads und -Daten, um Bedrohungen zu erkennen, wie z. B. die Aufklärung durch Angreifer, die Kompromittierung von Instances, Konten, Buckets oder Amazon-EKS-Clustern, sowie Malware. Macie ist ein vollständig verwalteter Service zum Auffinden sensibler Daten, der ML und Mustervergleiche verwendet, um Ihre sensiblen Daten in S3 zu finden.

Bei GuardDuty handelt es sich um einen regionalen Service. Selbst wenn mehrere Konten aktiviert sind und mehrere Regionen verwendet werden, verbleiben die Sicherheitserkenntnisse von GuardDuty in den Regionen, in denen die zugrunde liegenden Daten generiert wurden. Dadurch ist sichergestellt, dass sich alle analysierten Daten nur in ihren Regionen befinden und die regionalen AWS-Grenzen nicht überschreiten. Sie haben jedoch die Möglichkeit, die von GuardDuty erzeugten Sicherheitserkenntnisse mit Hilfe von Amazon EventBridge regionsübergreifend zu aggregieren oder die Ergebnisse in Ihren Datenspeicher (z. B. S3) zu übertragen und dann nach Belieben zu aggregieren. Sie können GuardDuty-Ergebnisse auch an AWS Security Hub senden und dessen regionsübergreifende Aggregationsfunktion nutzen.

Die regionale Verfügbarkeit von GuardDuty ist in der Liste regionaler AWS-Services aufgeführt.

Zahlreiche Technologiepartner haben GuardDuty bereits integriert und setzen auf dieses Produkt. Auch Anbieter von Beratungsdiensten sowie Service-Provider für Systemintegration und verwaltete Sicherheit besitzen Erfahrung mit GuardDuty. Weitere Informationen finden Sie auf der Seite Amazon-GuardDuty-Partner.

Foregenix veröffentlichte ein Whitepaper, das eine detaillierte Bewertung der Wirksamkeit von GuardDuty bei der Erfüllung von Anforderungen wie PCI DSS 11.4 enthält, die Techniken zur Erkennung von Eindringlingen an kritischen Punkten im Netzwerk erfordert.

Aktivierung von GuardDuty

Sie können mit nur wenigen Mausklicks in der AWS-Managementkonsole GuardDuty einrichten und bereitstellen. GuardDuty beginnt direkt nach seiner Aktivierung mit der Analyse fortlaufender Aktivitätsströme bei Konten und Netzwerken, die nahezu in Echtzeit erfolgt und richtig dimensioniert ist. Sie müssen keine zusätzlichen Sicherheitssoftwareprodukte, Sensoren oder Netzwerk-Appliances bereitstellen oder verwalten. Die Bedrohungsinformationen sind bereits im Service integriert und werden kontinuierlich aktualisiert und gepflegt.

Ja, GuardDuty verfügt über eine Verwaltungsfunktion für mehrere Konten, mit der Sie mehrere AWS-Konten über ein einziges Administratorkonto verknüpfen und verwalten können. Wird diese Funktion genutzt, werden sämtliche Sicherheitserkenntnisse zur Prüfung und Ergreifung von Abhilfemaßnahmen beim Administrator gesammelt. Amazon EventBridge werden bei dieser Konfiguration auch auf das GuardDuty-Administratorkonto aggregiert. Außerdem ist GuardDuty in AWS Organizations integriert, so dass Sie ein Administratorkonto für GuardDuty für Ihre Organisation delegieren können. Dieses delegierte Administrator (DA)-Konto ist ein zentrales Konto, dass alle Ergebnisse zusammenfasst und alle Mitgliedskonten konfigurieren kann.

Zu den grundlegenden Datenquellen, die GuardDuty analysiert, gehören: AWS CloudTrail-Verwaltungsereignisprotokolle, CloudTrail-Verwaltungsereignisse sowie Amazon-EC2-VPC-Flow-Protokolle und DNS-Abfrageprotokolle. GuardDuty-Schutzpläne überwachen andere Ressourcentypen, darunter CloudTrail-S3-Datenereignisse (S3 Protection), Amazon EKS-Auditprotokolle und Laufzeitaktivitäten für Amazon EKS (EKS Protection), Amazon-ECS-Laufzeitaktivitäten (ECS-Laufzeitüberwachung), Amazon-EC2-Laufzeitaktivitäten (EC2-Laufzeitüberwachung), Amazon-EBS-Volumendaten (Malware-Schutz), Amazon-Aurora-Anmeldeereignisse (RDS-Schutz) und Netzwerkaktivitätsprotokolle (Lambda Protection). Der Service wurde für die Verarbeitung von großen Datenmengen optimiert, sodass eine Verarbeitung von sicherheitsrelevanten Erkennungen nahezu in Echtzeit möglich ist. Mit GuardDuty erhalten Sie Zugang zu integrierten Erkennungsverfahren, die für die Cloud entwickelt und optimiert wurden. Diese Verfahren werden von GuardDuty Engineering verwaltet und fortlaufend verbessert.

GuardDuty beginnt nach seiner Aktivierung mit der Analyse, um schädliche oder unbefugte Aktivität aufzuspüren. Wann genau Sie die ersten Erkenntnisse erhalten, hängt von dem Ausmaß der Aktivität bei Ihrem Konto ab. GuardDuty prüft nur Aktivitäten, die nach seiner Aktivierung stattfinden. Historische Daten werden nicht berücksichtigt. Falls GuardDuty mögliche Bedrohungen findet, erhalten Sie in der GuardDuty-Konsole ein entsprechendes Ergebnis.

Nein. GuardDuty extrahiert unabhängige Datenströme direkt aus CloudTrail, VPC-Flow-Protokollen, DNS-Abfrageprotokollen und Amazon EKS. Sie müssen die Amazon-S3-Bucket-Richtlinien oder die Art und Weise, wie Sie Protokolle erfassen und speichern, nicht verwalten. GuardDuty-Berechtigungen werden als serviceverknüpfte Rollen verwaltet. Sie können GuardDuty jederzeit deaktivieren, wodurch alle GuardDuty-Berechtigungen entfernt werden. Dies erleichtert Ihnen die Aktivierung des Services, da eine komplexe Konfiguration vermieden wird. Die mit dem Service verknüpften Rollen verhindern auch, dass eine Fehlkonfiguration der AWS Identity and Access Management (IAM)-Berechtigung oder eine Änderung der S3-Bucket-Richtlinie den Servicebetrieb beeinträchtigt. Und schließlich machen die serviceverknüpften Rollen GuardDuty extrem effizient bei der Nutzung großer Datenmengen in nahezu Echtzeit mit minimalen bis gar keinen Auswirkungen auf die Leistung und Verfügbarkeit Ihres Kontos oder Ihrer Workloads.

Wenn Sie GuardDuty zum ersten Mal aktivieren, funktioniert es völlig unabhängig von Ihren AWS-Ressourcen. Wenn Sie das GuardDuty EKS Runtime Monitoring so konfigurieren, dass der GuardDuty Security Agent automatisch bereitgestellt wird, kann dies zu einer zusätzlichen Ressourcenauslastung führen und erzeugt außerdem VPC-Endpunkte in VPCs, die für den Betrieb von Amazon EKS-Clustern verwendet werden.

Nein, Ihre Protokolle werden von GuardDuty weder verwaltet noch aufbewahrt. Sämtliche Daten, die von GuardDuty verbraucht werden, werden danach nahezu in Echtzeit analysiert und gelöscht. Dadurch kann GuardDuty äußerst effizient und kostengünstig agieren. Zudem wird das Risiko einer Datenremanenz verringert. Für die Bereitstellung und Aufbewahrung von Protokollen sollten Sie die AWS-Services für Protokollierung und Überwachung direkt verwenden. Diese enthalten Bereitstellungs- und Aufbewahrungsoptionen mit umfangreichen Funktionen.

Sie können jederzeit veranlassen, dass GuardDuty die Analyse Ihrer Datenquellen beendet. Hierfür müssen Sie lediglich den Service in den allgemeinen Einstellungen aussetzen. Daraufhin beendet der Service umgehend die Datenanalyse, Ihre bestehenden Erkenntnisse oder Konfigurationen bleiben jedoch erhalten. Sie können den Service auch in den allgemeinen Einstellungen deaktivieren. Dadurch werden alle verbleibenden Daten, einschließlich Ihrer vorhandenen Erkenntnisse und Konfigurationen, gelöscht, bevor die Berechtigungen des Services aufgegeben und der Service zurückgesetzt wird. Sie können auch Funktionen wie GuardDuty S3 Protection oder GuardDuty EKS Protection über die Managementkonsole oder über die AWS CLI selektiv deaktivieren.

Aktivierung von GuardDuty

Mit GuardDuty erhalten Sie Zugang zu integrierten Erkennungsverfahren, die für die Cloud entwickelt und optimiert wurden. Die Erkennungsalgorithmen werden von GuardDuty Engineers gepflegt und fortlaufend verbessert. Zu den wichtigsten Erkennungskategorien zählen folgende:

  • Aufklärung: Aktivitäten, die auf Aufklärungsversuche durch einen Angreifer hindeuten. Dies kann beispielsweise ungewöhnliche API-Aktivität, ein Port-Scanning zwischen VPCs, ungewöhnliche Muster fehlgeschlagener Anmeldeanforderungen oder nicht geblockte Port-Spionage durch eine bekanntermaßen böswillige IP umfassen.
  • Kompromittierung von Instances: Aktivitäten, die auf die Kompromittierung einer Instance hindeuten, beispielsweise das Mining von Kryptowährungen, Malware mit Domänen-Generation-Algorithmen (DGAs), nach außen gerichtete Denial-of-Service-Aktivität, ein ungewöhnlich hohes Aufkommen an Netzwerkdatenverkehr, ungewöhnliche Netzwerkprotokolle, abgehende Instance-Kommunikation mit einer bekanntermaßen schädlichen IP, von einer externen IP-Adresse verwendete temporäre Amazon-EC2-Anmeldeinformationen und Datenausschleusung unter Verwendung von DNS.
  • Kompromittierung von Konten: Häufige Muster, die auf eine Kontokompromittierung hindeuten, einschließlich API-Aufrufe von einem ungewöhnlichen geografischen Standort oder einem anonymisierenden Proxy, Versuche, die CloudTrail-Protokollierung zu deaktivieren, ungewöhnliche Instance- oder Infrastrukturstarts, Infrastrukturbereitstellungen in einer ungewöhnlichen Region, die Exfiltration von Anmeldeinformationen, verdächtige Datenbankanmeldeaktivitäten und API-Aufrufe von bekannten bösartigen IP-Adressen.
  • Kompromittierung von Buckets: Aktivität, die auf eine Bucket-Kompromittierung hinweist, wie z. B. verdächtige Datenzugriffsmuster, die auf den Missbrauch von Berechtigungsnachweisen hindeuten, ungewöhnliche S3-API-Aktivität von einem Remote-Host, nicht autorisierter S3-Zugriff von bekannten böswilligen IP-Adressen und API-Aufrufe zum Abrufen von Daten in S3 Buckets von einem Benutzer, der noch nie zuvor auf den Bucket zugegriffen oder ihn von einem ungewöhnlichen Ort aus aufgerufen hat. GuardDuty überwacht und analysiert kontinuierlich CloudTrail S3-Datenereignisse (wie z. B. GetObject, ListObjects, DeleteObject), um verdächtige Aktivitäten in allen Ihren Amazon-S3-Buckets zu erkennen.
  • Malware-Erkennung: GuardDuty startet einen Malware-Erkennungsscan, wenn es verdächtiges Verhalten identifiziert, das auf bösartige Software in EC2-Instances oder Container-Workloads hinweist. GuardDuty erstellt temporäre Replikate von EBS-Volumes, die mit solchen EC2-Instances oder Container-Workloads verbunden sind, und scannt die Volume-Replikate nach Trojanern, Würmern, Crypto-Minern, Rootkits, Bots usw., die dazu verwendet werden könnten, die Workloads zu kompromittieren, Ressourcen für böswillige Zwecke umzuwidmen und unbefugten Zugriff auf Daten zu erhalten. GuardDuty Malware Protection generiert kontextbezogene Ergebnisse, mit denen die Quelle des verdächtigen Verhaltens überprüft werden kann. Diese Erkenntnisse können an die zuständigen Administratoren weitergeleitet werden und automatische Abhilfemaßnahmen einleiten.
  • Container-Kompromittierung: Aktivitäten, die ein mögliches bösartiges oder verdächtiges Verhalten in Container-Workloads erkennen lassen, werden durch die kontinuierliche Überwachung und Profilierung von Amazon-EKS-Clustern durch die Analyse der EKS-Audit-Protokolle und Container-Laufzeitaktivität erkannt.

Die GuardDuty-Bedrohungsinformationen bestehen aus IP-Adressen und Domänen, die bekanntermaßen von Angreifern verwendet werden. GuardDuty Threat Intelligence wird bereitgestellt von AWS und Drittanbietern wie Proofpoint und CrowdStrike. Diese Feeds mit Bedrohungsinformationen sind bereits in GuardDuty integriert und werden kostenlos laufend aktualisiert.

Ja, GuardDuty ermöglicht es Ihnen, Ihre eigene Liste mit Bedrohungsinformationen oder vertrauenswürdigen IP-Adressen hochzuladen. Wenn diese Funktion verwendet wird, werden die betreffenden Listen nur für Ihr Konto übernommen und nicht an andere Kunden weitergegeben.

Wenn GuardDuty eine mögliche Bedrohung erkennt, wird eine ausführliche Sicherheitserkenntnis in der GuardDuty-Konsole und in EventBridge bereitgestellt. Dadurch sind die Maßnahmen besser umsetzbar und lassen sich leichter in bestehende Ereignisverwaltungs- oder Workflow-Systeme integrieren. Die Erkenntnisse beinhalten die Kategorie, betroffene Ressourcen und Metadaten in Verbindung mit der Ressource sowie den Schweregrad.

Die GuardDuty-Erkenntnisse haben ein gängiges JSON-Format (JavaScript Object Notation), das auch von Macie und Amazon Inspector verwendet wird. Dadurch können Kunden und Partner die Sicherheitserkenntnisse von allen drei Services leichter nutzen und diese in ein breiteres Spektrum an Ereignisverwaltungs-, Workflow- oder Sicherheitslösungen einbinden.

Die Sicherheitserkenntnisse werden 90 Tage lang aufbewahrt und über die GuardDuty-Konsole und APIs zur Verfügung gestellt. Nach 90 Tagen werden die Erkenntnisse gelöscht. Falls sie länger als 90 Tage aufbewahrt werden sollen, können Sie EventBridge für die automatische Übertragung der Erkenntnisse in ein S3-Bucket oder einen sonstigen Datenspeicher zur Langzeitspeicherung aktivieren.

Ja, Sie haben die Möglichkeit, die von GuardDuty erzeugten Sicherheitserkenntnisse mit Hilfe von EventBridge regionsübergreifend zu aggregieren oder die Ergebnisse in Ihren Datenspeicher (z B. S3) zu übertragen und dann nach Belieben zu aggregieren. Sie können GuardDuty-Ergebnisse auch an Security Hub senden und dessen regionsübergreifende Aggregationsfunktion nutzen.

Mit GuardDuty, EventBridge und AWS Lambda bleiben Sie flexibel und können auf der Grundlage einer Sicherheitserkenntnis automatisierte Abhilfemaßnahmen einrichten. Sie können beispielsweise eine Lambda-Funktion erstellen, mit der Ihre AWS-Sicherheitsgruppenregeln auf der Grundlage von Sicherheitserkenntnissen geändert werden. Wenn Sie eine GuardDuty-Erkenntnis erhalten, die vermuten lässt, dass eine Ihrer EC2-Instances von einer bekanntermaßen schädlichen IP ausspioniert wird, können Sie diesem Umstand mit einer EventBridge-Regel begegnen, die eine Lambda-Funktion zur automatischen Änderung Ihrer Sicherheitsgruppenregeln und Einschränkung des Zugriffs an dem betreffenden Port initiiert.

GuardDuty verfügt über ein eigenes Team, das sich voll und ganz auf das Engineering, Verwaltung und Iteration von Erkennungen konzentriert. Dies führt zu einem ständigen Fluss neuer Erkennungen im Service und einer kontinuierlichen Iteration bei bestehenden Erkennungen. Der Service enthält verschiedene Feedback-Mechanismen, mit denen beispielsweise jede Sicherheitserkenntnis in der GuardDuty-Benutzeroberfläche (UI) positiv oder negativ bewertet werden kann. So können Sie ein eigenes Feedback bereitstellen, das in künftige Iterationen von GuardDuty-Erkennungen einfließen kann.

Nein, mit GuardDuty gehören die aufwändigen Verfahren und komplexen Vorgänge für die Entwicklung und Pflege von eigenen benutzerdefinierten Regelsätzen der Vergangenheit an. Neue Erkennungen werden kontiniuerlich auf der Basis von Kundenfeedback und Forschungsergebnissen der AWS-Sicherheitsfachleute und des GuardDuty-Engineering-Teams hinzugefügt. Kunden können jedoch Anpassungen konfigurieren, indem sie eigene Bedrohungs- und Liste vertrauenswürdiger IP-Adressen hinzufügen.

GuardDuty S3 Protection

Für aktuelle GuardDuty-Konten kann S3 Protection in der Konsole auf der Seite S3 Protection oder über die API aktiviert werden. Damit starten Sie einen kostenlosen 30-Tage-Test der GuardDuty S3 Protection-Funktion.

Ja, es gibt eine 30-tägige kostenlose Testversion. Jedes Konto in jeder Region erhält eine kostenlose 30-Tage-Testversion von GuardDuty, die die S3-Protection-Funktion umfasst. Konten, für die GuardDuty bereits aktiviert ist, erhalten bei der ersten Aktivierung der Funktion S3 Protection eine 30-tägige kostenlose Testversion.

Ja. Bei allen neuen Konten, die GuardDuty über die Konsole oder API aktivieren, ist S3 Protection ebenfalls standardmäßig aktiviert. Bei neuen GuardDuty-Konten, die mit der Funktion automatische Aktivierung von AWS Organizations erstellt werden, ist S3 Protection nicht standardmäßig aktiviert, es sei denn die Option automatische Aktivierung für S3 ist aktiviert.

Nein, der GuardDuty-Service muss aktiviert werden, um S3 Protection zu nutzen. Aktuelle GuardDuty-Konten haben die Möglichkeit, S3 Protection zu aktivieren, und neue GuardDuty-Konten verfügen standardmäßig über diese Funktion, sobald der GuardDuty-Dienst aktiviert ist.

Ja, S3 Protection überwacht standardmäßig alle S3-Buckets in Ihrer Umgebung.

Nein, GuardDuty hat direkten Zugriff auf die Ereignisprotokolle von CloudTrail S3-Daten. Sie sind nicht verpflichtet, die Protokollierung von S3-Datenereignissen in CloudTrail zu aktivieren, so dass Ihnen die damit verbundenen Kosten nicht entstehen. Beachten Sie, dass GuardDuty die Protokolle nicht speichert und sie nur für seine Analyse verwendet.

GuardDuty EKS Protection

GuardDuty EKS Protection ist ein GuardDuty-Feature, die die Aktivitäten der Amazon-EKS-Cluster-Steuerebene durch die Analyse der Amazon-EKS-Audit-Protokolle überwacht. GuardDuty ist in Amazon EKS integriert und hat damit direkten Zugriff auf Amazon-EKS-Prüfungsprotokolle, ohne dass Sie diese Protokolle einschalten oder speichern müssen. Diese Prüfungsprotokolle sind sicherheitsrelevante, chronologische Aufzeichnungen zur Dokumentierung der Aktions-Sequenzen, die auf der Amazon-EKS-Steuerebene ausgeführt werden. Diese Amazon-EKS-Prüfungsprotokolle verleihen GuardDuty die notwendige Sichtbarkeit zur kontinuierlichen Überwachung von Amazon-EKS-API-Aktivitäten und nutzen bewährtes Wissen über Bedrohungen und Anomalieerkennung, um bösartige Aktivitäten oder Konfigurationsänderungen zu erkennen, die Ihre Amazon-EKS-Cluster einem unautorisiertem Zugriff aussetzten könnten. Wenn Bedrohungen erkannt werden, generiert GuardDuty Sicherheitsergebnisse mit dem Bedrohungstyp, dem Schweregrad und Details auf der Container-Ebene wie die Pod-ID, Container-Image-ID und zugeordnete Tags.

GuardDuty EKS Protection kann Bedrohungen im Zusammenhang mit Benutzer- und Anwendungsaktivitäten erkennen, die in Amazon-EKS-Audit-Protokollen erfasst werden. Zu den Amazon-EKS-Bedrohungserkennungen gehören Amazon-EKS-Cluster, auf die von bekannten böswilligen Akteuren oder von Tor-Knoten aus zugegriffen wird, API-Vorgänge, die von anonymen Benutzern durchgeführt werden und auf eine Fehlkonfiguration hindeuten könnten, sowie Fehlkonfigurationen, die zu einem nicht autorisierten Zugriff auf Amazon-EKS-Cluster führen können. Mithilfe von ML-Modellen kann GuardDuty außerdem Muster erkennen, die mit Techniken zur Berechtigungserweiterung übereinstimmen, z. B. den verdächtigen Start eines Containers mit Root-Zugriff auf den zugrunde liegenden EC2-Host. Eine vollständige Liste aller neuen Erkennungen finden Sie unter Amazon-GuardDuty-Erkenntnistypen.

Nein, GuardDuty hat direkten Zugriff auf Amazon-EKS-Audit-Protokolle. Beachten Sie, dass GuardDuty diese Protokolle nur zur Analyse verwendet; es speichert sie nicht und Sie müssen nichts aktivieren und auch nichts dafür bezahlen, dass Amazon-EKS-Prüfungsprotokolle an GuardDuty freigegeben werden. Zur Preisoptimierung wendet GuardDuty intelligente Filter an, damit nur eine Teilmenge der Prüfungsprotokolle konsumiert werden, die für die Erkennung von Sicherheitsbedrohungen relevant sind.

Ja, es gibt eine 30-tägige kostenlose Testversion. Jedes neue GuardDuty-Konto in jeder Region erhält eine 30-tägige kostenlose Testversion von GuardDuty, einschließlich GuardDuty-EKS-Protection-Funktion. Bestehende GuardDuty-Konten erhalten eine 30-tägige Testversion von GuardDuty EKS Protection ohne zusätzliche Kosten. Während des Testzeitraums können Sie die Kostenschätzung für nach dem Testzeitraum auf der Nutzungsseite der GuardDuty-Konsole anzeigen. Wenn Sie ein GuardDuty-Administrator sind, sehen Sie die geschätzten Kosten für Ihre Mitgliedskonten. Nach 30 Tagen können Sie die tatsächlichen Kosten dieser Funktion in der AWS-Fakturierungskonsole anzeigen.

GuardDuty EKS Protection muss für jedes individuelle Konto aktiviert werden. Sie können die Funktion für Ihre Konten mit einer einzigen Aktion in der GuardDuty-Konsole auf der Seite GuardDuty EKS-Schutz-Konsole aktivieren. Wenn Sie in einer GuardDuty-Multi-Account-Konfiguration arbeiten, können Sie den GuardDuty EKS-Schutz für Ihr gesamtes Unternehmen über das GuardDuty Administratorkonto auf der GuardDuty EKS-Schutz-Seite aktivieren. Dadurch wird die kontinuierliche Überwachung für Amazon EKS in allen individuellen Mitgliedskonten aktiviert. Für GuardDuty-Konten, die mit der Funktion zur automatischen Aktivierung von AWS-Organisationen erstellt wurden, müssen Sie explizit die automatische Aktivierung für Amazon EKS aktivieren. Nach der Aktivierung für ein Konto werden alle bestehenden und zukünftigen Amazon EKS-Cluster des Kontos auf Bedrohungen überwacht, ohne dass eine Konfiguration auf Ihren Amazon EKS-Clustern erforderlich ist.

Ja, bei allen neuen Konten, die GuardDuty über die Konsole oder API aktivieren, ist GuardDuty EKS Protection ebenfalls standardmäßig aktiviert. Für neue GuardDuty-Konten, die mithilfe der Funktion „automatische Aktivierung“ von AWS Organizations erstellt wurden, müssen Sie explizit die Option Automatische Aktivierung für Malware Protection einschalten. 

Sie können die Funktion in der Konsole oder über die API deaktivieren. In der GuardDuty-Konsole können Sie GuardDuty EKS Protection für Ihre Konten auf der Konsolenseite GuardDuty EKS Protection deaktivieren. Wenn Sie ein GuardDuty-Administratorkonto haben, können Sie diese Funktion auch für Ihre Mitgliedskonten deaktivieren.

Wenn Sie GuardDuty EKS Protection zuvor deaktiviert haben, können Sie die Funktion in der Konsole oder über die API wieder aktivieren. In der GuardDuty-Konsole können Sie GuardDuty-EKS-Protection für Ihre Konten auf der Konsolenseite GuardDuty-EKS-Protection aktivieren.

GuardDuty EKS Protection muss für jedes individuelle Konto aktiviert werden. Wenn Sie in eine Multi-Konto-Konfiguration für GuardDuty betreiben, können Sie mit einem einzelnen Klick auf der Konsolenseite von GuardDuty EKS Protection im GuardDuty-Administratorkonto die Bedrohungserkennung für Amazon EKS in Ihrer gesamten Organisation aktivieren. Dies wird die Bedrohungserkennung für Amazon EKS in allen individuellen Mitgliedskonten aktivieren. Sobald diese Funktion für ein Konto aktiviert ist, werden alle bestehenden und zukünftigen Amazon-EKS-Cluster im Konto auf Bedrohungen überwacht und es ist keine manuelle Konfiguration auf Ihren Amazon-EKS-Clustern erforderlich.

Es fallen keine Gebühren für GuardDuty EKS Protection an, wenn Sie Amazon EKS nicht nutzen und GuardDuty EKS Protection aktiviert haben. Wenn Sie jedoch mit der Nutzung von Amazon EKS beginnen, wird GuardDuty Ihre Cluster automatisch überwachen und Feststellungen zu erkannten Problemen treffen. Diese Überwachung ist für Sie kostenpflichtig.

Nein, der GuardDuty-Service muss aktiviert werden, damit GuardDuty EKS Protection auch verfügbar ist.

Ja, GuardDuty EKS Protection überwacht Amazon-EKS-Audit-Protokolle sowohl aus Amazon-EKS-Clustern, die auf EC2-Instances bereitgestellt werden, als auch von Amazon-EKS-Clustern, die auf Fargate bereitgestellt werden.

Derzeit unterstützt diese Funktion nur Amazon-EKS-Bereitstellungen, die auf EC2-Instances in Ihrem Konto oder auf Fargate ausgeführt werden.

Nein. GuardDuty EKS Protection ist so konzipiert, dass es keine Auswirkungen auf die Leistung, die Verfügbarkeit oder die Kosten von Amazon-EKS-Workloads hat.

Ja, GuardDuty ist ein regionaler Service und daher muss GuardDuty EKS Protection in jeder AWS Region separat aktiviert werden.

GuardDuty-EKS-Laufzeitüberwachung

GuardDuty EKS Runtime Monitoring verwendet ein vollständig verwaltetes Amazon EKS-Add-on, das die Laufzeitaktivitäten einzelner Kubernetes-Container, die auf Amazon EKS laufen, transparent macht, z. B. Dateizugriff, Prozessausführung und Netzwerkverbindungen. Das Add-on kann automatisch, direkt aus GuardDuty heraus, für alle bestehenden und neuen Amazon EKS-Cluster eines Kontos aktiviert werden, oder manuell aus Amazon EKS heraus für einen einzelnen Cluster. Das Add-on stellt automatisch einen GuardDuty Sicherheitsagenten als Daemon-Set bereit, der Laufzeitereignisse von allen auf dem Knoten laufenden Pods sammelt und an GuardDuty zur Sicherheitsanalyse weiterleitet. Dadurch kann GuardDuty bestimmte Container in Ihren Amazon EKS-Clustern identifizieren, die potenziell gefährdet sind, und Versuche erkennen, Privilegien von einem einzelnen Container auf den zugrundeliegenden Amazon EC2-Host und die breitere AWS-Umgebung auszuweiten. Wenn GuardDuty eine potenzielle Bedrohung erkennt, wird ein Sicherheitsergebnis generiert, das den Metadatenkontext enthält, der Container-, Kubernetes-Pod- und Prozessdetails umfasst.

Für bestehende GuardDuty-Konten kann das Feature über die GuardDuty-Konsole auf der Seite EKS Runtime Monitoring> oder über die API aktiviert werden. Erfahren Sie mehr über GuardDuty EKS Runtime Monitoring.

Nein. GuardDuty EKS Runtime Monitoring ist der einzige Schutzplan, der nicht standardmäßig aktiviert ist, wenn Sie GuardDuty zum ersten Mal einschalten. Die Funktion kann über die GuardDuty-Konsole auf der EKS-Runtime-Monitoring-Seite oder über die API aktiviert werden. Für neue GuardDuty-Konten, die mit der Funktion zur automatischen Aktivierung von AWS-Organisationen erstellt wurden, ist die EKS-Laufzeitüberwachung standardmäßig nicht aktiviert, es sei denn, die Option zur automatischen Aktivierung von Amazon EKS ist aktiviert.

Nein, der GuardDuty-Service muss aktiviert werden, um den GuardDuty RDS-Schutz zu nutzen.

Eine vollständige Liste der Regionen, in denen EKS Runtime Monitoring verfügbar ist, finden Sie unter Regionale Verfügbarkeit der Funktionen.

GuardDuty EKS Runtime Monitoring muss für jedes einzelne Konto aktiviert sein. Wenn Sie in einer GuardDuty-Konfiguration mit mehreren Konten arbeiten, können Sie die Bedrohungserkennung für Amazon EKS in Ihrer gesamten Organisation mit einem einzigen Klick auf der GuardDuty-Administratorkontoseite GuardDuty EKS Runtime Monitoring Konsole aktivieren. Dadurch wird die Laufzeitüberwachung für Amazon EKS in allen individuellen Mitgliedskonten aktiviert. Nach der Aktivierung für ein Konto werden alle bestehenden und zukünftigen Amazon EKS-Cluster in diesem Konto auf Laufzeitbedrohungen überwacht, und es ist keine manuelle Konfiguration auf Ihren Amazon EKS-Clustern erforderlich.

Mit GuardDuty EKS Runtime Monitoring können Sie selektiv konfigurieren, welche Amazon EKS-Cluster zur Bedrohungserkennung überwacht werden sollen. Mit der Konfigurierbarkeit auf Clusterebene können Sie EKS-Cluster selektiv für die Erkennung von Bedrohungen überwachen oder weiterhin die Konfigurierbarkeit auf Kontoebene nutzen, um alle EKS-Cluster in einem bestimmten Konto und einer bestimmten Region zu überwachen.

Es fallen keine Kosten für das GuardDuty EKS Runtime Monitoring an, wenn Sie Amazon EKS nicht nutzen und das GuardDuty EKS Runtime Monitoring aktiviert haben. Wenn Sie jedoch mit der Nutzung von Amazon EKS beginnen, wird GuardDuty Ihre Cluster automatisch überwachen und Feststellungen zu erkannten Problemen treffen. Diese Überwachung wird Ihnen in Rechnung gestellt.

Wenn Sie das GuardDuty EKS Runtime Monitoring so konfigurieren, dass der GuardDuty Security Agent automatisch bereitgestellt wird, kann dies zu einer zusätzlichen Ressourcenauslastung führen und erzeugt außerdem VPC-Endpunkte in VPCs, die für den Betrieb von Amazon EKS-Clustern verwendet werden. Weitere Informationen zu EKS Add-Ons.

GuardDuty Malware Protection

GuardDuty startet einen Malware-Erkennungsscan, wenn es verdächtiges Verhalten identifiziert, das auf bösartige Software in EC2-Instances oder Container-Workloads hinweist. Es scannt ein repliziertes EBS-Volume, das GuardDuty auf der Grundlage des Snapshots Ihres EBS-Volumes erstellt, auf Trojaner, Würmer, Krypto-Miner, Rootkits, Bots und mehr. GuardDuty Malware Protection generiert kontextbezogene Ergebnisse, mit denen die Quelle des verdächtigen Verhaltens überprüft werden kann. Diese Erkenntnisse können auch an die zuständigen Administratoren weitergeleitet werden und automatische Abhilfemaßnahmen einleiten.

GuardDuty-Erkenntnisse für Amazon-EC2, die einen Malware-Scan auslösen, sind hier aufgeführt.

Malware Protection unterstützt die Erkennung bösartiger Dateien durch Scannen von EBS, die an EC2-Instances angeschlossen sind. Es kann jede Datei auf dem Volume scannen, und die unterstützten Dateisystemtypen finden Sie hier.

Der Malware-Schutz sucht nach Bedrohungen wie Trojanern, Würmern, Crypto-Minern, Rootkits und Bots, die dazu verwendet werden könnten, Workloads zu kompromittieren, Ressourcen für böswillige Zwecke umzuwidmen und unbefugten Zugriff auf Daten zu erlangen.

Die Serviceprotokollierung muss nicht aktiviert sein, damit GuardDuty oder die Malware-Schutzfunktion funktionieren. Die Malware-Schutzfunktion ist Teil von GuardDuty, einem AWS-Service, der Informationen aus integrierten internen und externen Quellen nutzt.

Anstatt Sicherheitsagenten zu verwenden, erstellt und scannt GuardDuty Malware Protection eine Replikation, die auf dem Snapshot der EBS-Volumes basiert, die mit der potenziell infizierten EC2-Instance oder Container-Workload in Ihrem Konto verbunden sind. Die Berechtigungen, die Sie GuardDuty über eine Service-verknüpfte Rolle erteilt haben, erlauben es dem Service, ein verschlüsseltes Volume-Replikat im Servicekonto von GuardDuty aus dem Snapshot zu erstellen, der in Ihrem Konto verbleibt. GuardDuty Malware Protection scannt dann die Volume-Replik auf Malware.

Ja, jedes neue GuardDuty-Konto in jeder Region erhält eine 30-tägige kostenlose Testversion von GuardDuty, einschließlich Malware-Protection-Funktion. Bestehende GuardDuty-Konten erhalten eine 30-tägige Testversion von Malware Protection ohne zusätzliche Kosten, wenn diese zum ersten Mal in einem Konto aktiviert wird. Während des Testzeitraums können Sie die Kostenschätzung für nach dem Testzeitraum auf der Nutzungsseite der GuardDuty-Konsole anzeigen. Wenn Sie ein GuardDuty-Administrator sind, sehen Sie die geschätzten Kosten für Ihre Mitgliedskonten. Nach 30 Tagen können Sie die tatsächlichen Kosten dieser Funktion in der AWS-Fakturierungskonsole anzeigen.

Sie können Malware Protection in der GuardDuty-Konsole aktivieren, indem Sie die Seite Malware Protection aufrufen oder die API verwenden. Wenn Sie in einer GuardDuty-Konfiguration mit mehreren Konten arbeiten, können Sie die Funktion für Ihr gesamtes Unternehmen auf der Konsolenseite Malware Protection des GuardDuty-Administratorkontos aktivieren. Dies wird die Überwachung für Malware in allen individuellen Mitgliedskonten aktivieren. Für GuardDuty-Konten, die mithilfe des Features „automatische Aktivierung“ von AWS Organizations erstellt wurden, müssen Sie explizit die Option „automatische Aktivierung für Malware-Schutz“ einschalten.

Ja, bei jedem neuen Konto, das GuardDuty über die Konsole oder API aktiviert, ist standardmäßig auch GuardDuty Malware Protection aktiviert. Für neue GuardDuty-Konten, die mithilfe der Funktion „automatische Aktivierung“ von AWS Organizations erstellt wurden, müssen Sie explizit die Option„automatische Aktivierung für Malware Protection“ einschalten. 

Sie können die Funktion in der Konsole oder über die API deaktivieren. In der GuardDuty-Konsole finden Sie auf der Konsolenseite Malware Protection eine Option zum Deaktivieren von Malware Protection für Ihre Konten. Wenn Sie ein GuardDuty-Administratorkonto haben, können Sie Malware Protection auch für Ihre Mitgliedskonten deaktivieren.

Wenn Malware Protection deaktiviert war, können Sie die Funktion in der Konsole oder über die API aktivieren. Sie können Malware Protection für Ihre Konten in der GuardDuty-Konsole auf der Konsolenseite Malware Protection aktivieren.

Nein, es fallen keine Gebühren für Malware Protection an, wenn während eines Abrechnungszeitraums keine Scans auf Malware durchgeführt werden. Sie können die Kosten dieser Funktion in der AWS-Fakturierungskonsole anzeigen.

Ja, GuardDuty verfügt über eine Verwaltungsfunktion für mehrere Konten, mit der Sie mehrere AWS-Konten über ein einziges Administratorkonto verknüpfen und verwalten können. GuardDuty verfügt durch die Integration mit AWS Organizations über die Verwaltung mehrere Konten. Diese Integration hilft Sicherheits- und Compliance-Teams, die vollständige Abdeckung von GuardDuty, einschließlich Malware Protection, für alle Konten in einem Unternehmen sicherzustellen.

Nein. Sobald das Feature aktiviert ist, wird GuardDuty-Malware-Schutz einen Malware-Scan als Reaktion auf relevante EC2-Ergebnisse initiieren. Sie müssen keine Agenten einrichten, keine Protokollquellen aktivieren und keine anderen Konfigurationsänderungen vornehmen.

GuardDuty Malware Protection ist so konzipiert, dass die Leistung Ihrer Workloads nicht beeinträchtigt wird. Beispielsweise können EBS-Volume-Snapshots, die für die Malware-Analyse erstellt werden, nur einmal innerhalb von 24 Stunden erzeugt werden. GuardDuty Malware Protection behält die verschlüsselten Replikate und Snapshots nach Abschluss eines Scans noch einige Minuten lang bei. Darüber hinaus nutzt GuardDuty Malware Protection die GuardDuty-Rechenressourcen für das Scannen von Malware anstelle von Kunden-Rechenressourcen.

Ja, GuardDuty ist ein regionaler Service und die Malware Protection muss in jeder AWS-Region separat aktiviert werden.

GuardDuty Malware Protection scannt eine Replik, die auf dem Snapshot der EBS-Volumes basiert, die mit der potenziell infizierten EC2-Instance oder Container-Workload in Ihrem Konto verbunden sind. Wenn Ihre EBS-Volumes mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind, haben Sie die Möglichkeit, Ihren AWS-Key-Management-Service-Schlüssel (KMS) für GuardDuty freizugeben, und der Service verwendet denselben Schlüssel zur Verschlüsselung des replizierten EBS-Volumes. Bei unverschlüsselten EBS-Volumes verwendet GuardDuty seinen eigenen Schlüssel, um das replizierte EBS-Volume zu verschlüsseln.

Ja, alle Daten des replizierten EBS-Volumes (und der Snapshot, auf dem das replizierte Volume basiert) bleiben in der gleichen Region wie das ursprüngliche EBS-Volume.

Jedes neue GuardDuty-Konto in jeder Region erhält eine 30-tägige kostenlose Testversion von GuardDuty, einschließlich Malware-Protection-Funktion. Bestehende GuardDuty-Konten erhalten eine 30-tägige Testversion von Malware Protection ohne zusätzliche Kosten, wenn diese zum ersten Mal in einem Konto aktiviert wird. Während des Testzeitraums können Sie auf der Nutzungsseite der GuardDuty-Konsole die Kosten für die Zeit nach dem Testzeitraum schätzen. Wenn Sie ein GuardDuty-Administrator sind, sehen Sie die geschätzten Kosten für Ihre Mitgliedskonten. Nach 30 Tagen können Sie die tatsächlichen Kosten dieser Funktion in der AWS-Fakturierungskonsole anzeigen.

Der Preis für diese Funktion basiert auf den GB an gescannten Daten in einem Volume. Sie können die Scan-Optionen in der Konsole anpassen, um einige EC2-Instances mit Hilfe von Tags zu markieren, die von der Überprüfung ausgenommen werden sollen, um so die Kosten zu kontrollieren. Darüber hinaus scannt GuardDuty eine EC2-Instance nur einmal alle 24 Stunden. Wenn GuardDuty innerhalb von 24 Stunden mehrere EC2-Erkenntnisse für eine EC2-Instance generiert, wird nur die erste relevante EC2-Erkenntnis überprüft. Wenn die EC2-Erkenntnisse für eine Instance 24 Stunden nach dem letzten Malware-Scan fortbestehen, wird ein neuer Malware-Scan für diese Instance eingeleitet.

Ja, es gibt eine Einstellung, mit der Sie die Speicherung von Snapshots aktivieren können, wenn der Malware-Protection-Scan Malware entdeckt. Sie können diese Einstellung in der GuardDuty-Konsole auf der Seite Einstellungen aktivieren. Standardmäßig werden Snapshots einige Minuten nach Abschluss eines Scans und nach 24 Stunden, wenn der Scan nicht abgeschlossen wurde, gelöscht.

GuardDuty Malware Protection bewahrt jedes erzeugte und gescannte EBS-Replikat-Volume bis zu 24 Stunden lang auf. Standardmäßig werden replizierte EBS-Volumen einige Minuten nach Abschluss eines Scanvorgangs von GuardDuty Malware Protection gelöscht. In einigen Fällen kann es jedoch vorkommen, dass GuardDuty Malware Protection ein repliziertes EBS-Volumen länger als 24 Stunden aufbewahren muss, wenn ein Serviceausfall oder ein Verbindungsproblem den Malware-Scan beeinträchtigt. In diesem Fall hält GuardDuty Malware Protection das replizierte EBS-Volume bis zu sieben Tage lang zurück, um dem Service Zeit zu geben, den Ausfall oder das Verbindungsproblem zu beheben. GuardDuty Malware Protection löscht das replizierte EBS-Volume, nachdem der Ausfall oder die Störung behoben wurde oder sobald die verlängerte Aufbewahrungsfrist abgelaufen ist.

Nein, GuardDuty scannt nur einmal alle 24 Stunden eine Replik, die auf dem Snapshot der EBS-Volumen basiert, die mit der potenziell infizierten EC2-Instance oder dem Container-Workload verbunden sind. Selbst wenn GuardDuty mehrere Erkenntnisse generiert, die für einen Malware-Scan in Frage kommen, werden keine weiteren Scans initiiert, wenn seit einem früheren Scan weniger als 24 Stunden vergangen sind. Wenn GuardDuty innerhalb von 24 Stunden nach dem letzten Malware-Scan einen qualifizierten Befund generiert, wird GuardDuty Malware Protection einen neuen Malware-Scan für diesen Workload initiieren.

Nein, wenn Sie den GuardDuty-Dienst deaktivieren, wird auch die Funktion zum Schutz vor Malware deaktiviert.

GuardDuty RDS Protection

Der GuardDuty RDS-Schutz kann mit einer einzigen Aktion in der GuardDuty-Konsole aktiviert werden, ohne dass Agenten manuell bereitgestellt, keine Datenquellen aktiviert und keine Berechtigungen konfiguriert werden müssen. Unter Verwendung maßgeschneiderter ML-Modelle beginnt die GuardDuty Malware Protection mit der Analyse und Profilerstellung von Anmeldeversuchen bei bestehenden und neuen Amazon Aurora-Datenbanken. Wenn verdächtige Verhaltensweisen oder Versuche von bekannten böswilligen Akteuren identifiziert werden, sendet GuardDuty verwertbare Sicherheitsergebnisse an die GuardDuty-Konsole, die Amazon Relational Database Service (RDS)-Konsole, AWS Security Hub und Amazon EventBridge und ermöglicht so die Integration in bestehende Sicherheitsereignis-Management- oder Workflow-Systeme. Erfahren Sie mehr darüber, wie GuardDuty RDS Protection die Überwachung der RDS-Anmeldeaktivitäten nutzt.

Für aktuelle GuardDuty-Konten kann die Funktion über die GuardDuty-Konsole auf der RDS-Schutzseite oder über die API aktiviert werden. Erfahren Sie mehr über GuardDuty RDS Protection.

Ja. Bei allen neuen Konten, die GuardDuty über die Konsole oder API aktivieren, ist der RDS-Schutz ebenfalls standardmäßig aktiviert. Bei neuen GuardDuty-Konten, die mit der Funktion automatische Aktivierung von AWS Organizations erstellt werden, ist der RDS-Schutz nicht standardmäßig aktiviert, es sei denn die Option automatische Aktivierung für RDS ist aktiviert.

Nein, der GuardDuty-Service muss aktiviert werden, um den GuardDuty RDS-Schutz zu nutzen.

Eine vollständige Liste der Regionen, in denen RDS Protection verfügbar ist, finden Sie unter Verfügbarkeit von regionsspezifischen Features.

Bitte sehen Sie sich die Liste der unterstützten Amazon-Aurora-Datenbankversionen an.

Nein. Die Bedrohungserkennung von GuardDuty für Aurora-Datenbanken wurde speziell so entwickelt, dass sie keine Auswirkungen auf die Leistung, die Verfügbarkeit oder die Kosten Ihrer Amazon-Aurora-Datenbanken hat.

GuardDuty Lambda Protection

GuardDuty Lambda Protection überwacht kontinuierlich Netzwerkaktivitätsprotokolle, die bei der Ausführung von AWS-Lambda-Funktionen generiert werden, um Bedrohungen für Lambda zu erkennen. Dazu gehören z. B. Funktionen, die in böswilliger Absicht für unbefugtes Krypto-Mining umfunktioniert wurden, oder kompromittierte Lambda-Funktionen, die mit Servern bekannter Bedrohungen kommunizieren. GuardDuty Lambda Protection kann mit wenigen Schritten in der GuardDuty-Konsole aktiviert und mithilfe von AWS Organizations zentral für alle vorhandenen und neuen Konten in einer Organisation aktiviert werden. Nach der Aktivierung beginnt es automatisch mit der Überwachung der Netzwerkaktivitätsdaten aller vorhandenen und neuen Lambda-Funktionen in einem Konto.

Für aktuelle GuardDuty-Konten kann die Funktion über die GuardDuty-Konsole auf der Seite für Lambda Protection oder über die API aktiviert werden. Erfahren Sie mehr über GuardDuty Lambda Protection.

Ja. Bei allen neuen Konten, die GuardDuty über die Konsole oder API aktivieren, ist Lambda Protection ebenfalls standardmäßig aktiviert. Bei neuen GuardDuty-Konten, die mit der Funktion automatische Aktivierung von AWS Organizations erstellt werden, ist Lambda Protection nicht standardmäßig aktiviert, es sei denn die Option automatische Aktivierung für Lambda ist aktiviert.

Eine vollständige Liste der Regionen, in denen Lambda Protection verfügbar ist, finden Sie unter Verfügbarkeit regionsspezifischer Funktionen.

Nein, GuardDuty Lambda Protection ist so konzipiert, dass es keine Auswirkungen auf Leistung, Verfügbarkeit oder Kosten auf Ihre Lambda-Workloads hat.