Übersicht über den Service

F: Was ist Amazon GuardDuty?

GuardDuty ist ein intelligenter Service zur Aufdeckung von Bedrohungen, der Ihre AWS-Konten, Amazon Elastic Compute Cloud (Amazon EC2)-Instances, AWS-Lambda-Funktionen, Amazon Elastic Kubernetes Service (Amazon EKS)-Cluster, Amazon-Aurora-Anmeldeaktivitäten und in Amazon Simple Storage Service (Amazon S3) gespeicherte Daten kontinuierlich auf böswillige Aktivitäten überwacht. Wenn potenziell bösartige Aktivitäten wie anomales Verhalten, die Exfiltration von Anmeldeinformationen oder die Kommunikation mit der Command-and-Control-Infrastruktur (C2) entdeckt werden, generiert GuardDuty detaillierte Sicherheitserkenntnisse, die für die Sicherheitstransparenz und zur Unterstützung bei der Behebung von Problemen genutzt werden können. Darüber hinaus hilft die Funktion Amazon GuardDuty Malware Protection bei der Erkennung bösartiger Dateien auf Amazon Elastic Block Store (EBS)-Volumes, die mit EC2-Instances und Container-Workloads verbunden sind.

F: Was sind die wichtigsten Vorteile von GuardDuty?

GuardDuty macht es leichter, eine kontinuierliche Überwachung Ihrer AWS-Konten, -Workloads und in Amazon S3 gespeicherten Daten zu ermöglichen. Die Grundstufe von GuardDuty ist so konzipiert, dass es völlig unabhängig von Ihren Ressourcen funktioniert und keine Auswirkungen auf die Leistung oder Verfügbarkeit Ihrer Workloads hat. Der Service und seine integrierten Bedrohungsinformationen, die Anomalieerkennung. das Machine Learning und das Malware-Scanning sind vollständig verwaltet. GuardDuty stellt detaillierte und umsetzbare Warnungen zur Verfügung, die so konzipiert sind, dass sie in bestehende Ereignisverwaltungs- und Workflowsysteme integriert werden können. Für das Produkt fallen keine Vorlaufkosten an und Sie bezahlen nur für die analysierten Ereignisse. Es sind weder Softwarebereitstellungen noch Abonnements von Feeds mit Bedrohungsinformationen erforderlich.

F: Wie viel kostet GuardDuty?

Die Preise für GuardDuty basieren auf dem Volumen der analysierten Serviceprotokolle, virtuellen CPUs (vCPUs) oder Aurora Serverless v2 Instance Aurora Capacity Units (ACUs) für die Amazon RDS Ereignisanalyse, der Anzahl und Größe der Amazon EKS Arbeitslasten, die zur Laufzeit überwacht werden, und dem Volumen der auf Malware gescannten Daten. Analysierte Serviceprotokolle werden zur Kostenoptimierung gefiltert und direkt in GuardDuty integriert, d. h. Sie müssen sie nicht separat aktivieren oder bezahlen. 

Unter Preise von Amazon GuardDuty finden Sie zusätzliche Informationen und Preisbeispiele.

F: Zeigen die geschätzten Kosten im GuardDuty-Zahlungskonto die aggregierten Gesamtkosten für verknüpfte Konten oder nur für dieses einzelne Zahlungskonto an?

Die geschätzten Kosten stellen die Kosten für das individuelle Zahlungskonto dar, und Sie sehen die abgerechnete Nutzung und die durchschnittlichen täglichen Kosten für jedes Mitgliedskonto im GuardDuty-Administratorkonto. Sie müssen zum individuellen Konto gehen, wenn Sie die detaillierten Nutzungsinformationen sehen möchten.

F: Gibt es eine kostenlose Testversion von GuardDuty?

Ja. Jeder Neukunde von GuardDuty kann den Service 30 Tage lang kostenlos testen. Während der kostenlosen Testphase können Sie den gesamten Funktionsumfang und das ganze Erkennungsspektrum nutzen. Während des Testzeitraums können Sie die Kostenschätzung für nach dem Testzeitraum auf der Nutzungsseite der GuardDuty-Konsole anzeigen. Wenn Sie ein GuardDuty-Administrator sind, sehen Sie die geschätzten Kosten für Ihre Mitgliedskonten. Nach 30 Tagen können Sie die tatsächlichen Kosten dieser Funktion in der AWS-Fakturierungskonsole anzeigen.

F: Worin besteht der Unterschied zwischen GuardDuty und Amazon Macie?

GuardDuty bietet eine umfassende Sicherheitsüberwachung Ihrer AWS-Konten, -Workloads und -Daten, um Bedrohungen zu erkennen, wie z. B. die Aufklärung durch Angreifer, die Kompromittierung von Instances, Konten, Buckets oder Amazon-EKS-Clustern, sowie Malware. Macie ist ein vollständig verwalteter Service zum Auffinden sensibler Daten, der ML und Mustervergleiche verwendet, um Ihre sensiblen Daten in S3 zu finden.

F: Ist GuardDuty ein regionaler oder ein globaler Service?

Bei GuardDuty handelt es sich um einen regionalen Service. Selbst wenn mehrere Konten aktiviert sind und mehrere Regionen verwendet werden, verbleiben die Sicherheitserkenntnisse von GuardDuty in den Regionen, in denen die zugrunde liegenden Daten generiert wurden. Dadurch ist sichergestellt, dass sich alle analysierten Daten nur in ihren Regionen befinden und die regionalen AWS-Grenzen nicht überschreiten. Sie haben jedoch die Möglichkeit, die von GuardDuty erzeugten Sicherheitserkenntnisse mit Hilfe von Amazon EventBridge regionsübergreifend zu aggregieren oder die Ergebnisse in Ihren Datenspeicher (z. B. S3) zu übertragen und dann nach Belieben zu aggregieren. Sie können GuardDuty-Ergebnisse auch an AWS Security Hub senden und dessen regionsübergreifende Aggregationsfunktion nutzen.

F: Welche Regionen unterstützt GuardDuty?

Die regionale Verfügbarkeit von GuardDuty ist in der AWS Regional Services List aufgeführt.

F: Welche Partner arbeiten mit GuardDuty?

Zahlreiche Technologiepartner haben GuardDuty bereits integriert und setzen auf dieses Produkt. Auch Anbieter von Beratungsdiensten sowie Service-Provider für Systemintegration und verwaltete Sicherheit besitzen Erfahrung mit GuardDuty. Weitere Informationen finden Sie auf der Seite Amazon GuardDuty Partner.

F: Hilft GuardDuty bei der Erfüllung der Anforderungen des Payment Card Industry Data Security Standard (PCI DSS)?

Foregenix veröffentlichte ein Whitepaper, das eine detaillierte Bewertung der Wirksamkeit von GuardDuty bei der Erfüllung von Anforderungen wie PCI DSS 11.4 enthält, die Techniken zur Erkennung von Eindringlingen an kritischen Punkten im Netzwerk erfordert.

Aktivierung von GuardDuty

F: Wie kann ich GuardDuty aktivieren?

Sie können mit nur wenigen Mausklicks in der AWS-Managementkonsole GuardDuty einrichten und bereitstellen. GuardDuty beginnt direkt nach seiner Aktivierung mit der Analyse fortlaufender Aktivitätsströme bei Konten und Netzwerken, die nahezu in Echtzeit erfolgt und richtig dimensioniert ist. Sie müssen keine zusätzlichen Sicherheitssoftwareprodukte, Sensoren oder Netzwerk-Appliances bereitstellen oder verwalten. Die Bedrohungsinformationen sind bereits im Service integriert und werden kontinuierlich aktualisiert und gepflegt.

F: Kann ich mehrere Konten mit GuardDuty verwalten?

Ja, GuardDuty verfügt über eine Verwaltungsfunktion für mehrere Konten, mit der Sie mehrere AWS-Konten über ein einziges Administratorkonto verknüpfen und verwalten können. Wird diese Funktion genutzt, werden sämtliche Sicherheitserkenntnisse zur Prüfung und Ergreifung von Abhilfemaßnahmen beim Administrator gesammelt. Amazon EventBridge werden bei dieser Konfiguration auch auf das GuardDuty-Administratorkonto aggregiert. Außerdem ist GuardDuty in AWS Organizations integriert, so dass Sie ein Administratorkonto für GuardDuty für Ihre Organisation delegieren können. Dieses delegierte Administrator (DA)-Konto ist ein zentrales Konto, dass alle Ergebnisse zusammenfasst und alle Mitgliedskonten konfigurieren kann.

F: Welche Datenquellen werden von GuardDuty analysiert?

Zu den grundlegenden Datenquellen, die GuardDuty analysiert, gehören: AWS CloudTrail-Verwaltungsereignisprotokolle, CloudTrail-Verwaltungsereignisse sowie Amazon-EC2-VPC-Flow-Protokolle und DNS-Abfrageprotokolle. Optionale GuardDuty-Schutzpläne überwachen andere Ressourcentypen, darunter CloudTrail-S3-Datenereignisse (S3 Protection), Amazon-EKS-Audit-Protokolle und Laufzeitaktivitäten für Amazon EKS (EKS Protection), Amazon-EBS-Volumendaten (Malware Protection), Amazon Aurora-Anmeldeereignisse (RDS Protection) und Netzwerkaktivitätsprotokolle (Lambda Protection). Der Service wurde für die Verarbeitung von großen Datenmengen optimiert, sodass eine Verarbeitung von sicherheitsrelevanten Erkennungen nahezu in Echtzeit möglich ist. Mit GuardDuty erhalten Sie Zugang zu integrierten Erkennungsverfahren, die für die Cloud entwickelt und optimiert wurden. Diese Verfahren werden von GuardDuty Engineering verwaltet und fortlaufend verbessert.

F: Wie lange benötigt GuardDuty bis zum ersten Einsatz?

GuardDuty beginnt nach seiner Aktivierung mit der Analyse, um schädliche oder unbefugte Aktivität aufzuspüren. Wann genau Sie die ersten Erkenntnisse erhalten, hängt von dem Ausmaß der Aktivität bei Ihrem Konto ab. GuardDuty prüft nur Aktivitäten, die nach seiner Aktivierung stattfinden. Historische Daten werden nicht berücksichtigt. Falls GuardDuty mögliche Bedrohungen findet, erhalten Sie in der GuardDuty-Konsole ein entsprechendes Ergebnis.

F: Muss ich CloudTrail, VPC-Flow-Protokolle, DNS-Abfrageprotokolle oder Amazon-EKS-Audit-Protokolle aktivieren, damit GuardDuty funktioniert?

Nein. GuardDuty extrahiert unabhängige Datenströme direkt aus CloudTrail, VPC-Flow-Protokollen, DNS-Abfrageprotokollen und Amazon EKS. Sie müssen die Amazon-S3-Bucket-Richtlinien oder die Art und Weise, wie Sie Protokolle erfassen und speichern, nicht verwalten. GuardDuty-Berechtigungen werden als serviceverknüpfte Rollen verwaltet. Sie können GuardDuty jederzeit deaktivieren, wodurch alle GuardDuty-Berechtigungen entfernt werden. Dies erleichtert Ihnen die Aktivierung des Services, da eine komplexe Konfiguration vermieden wird. Die mit dem Service verknüpften Rollen verhindern auch, dass eine Fehlkonfiguration der AWS Identity and Access Management (IAM)-Berechtigung oder eine Änderung der S3-Bucket-Richtlinie den Servicebetrieb beeinträchtigt. Und schließlich machen die serviceverknüpften Rollen GuardDuty extrem effizient bei der Nutzung großer Datenmengen in nahezu Echtzeit mit minimalen bis gar keinen Auswirkungen auf die Leistung und Verfügbarkeit Ihres Kontos oder Ihrer Workloads.

F: Wird die Leistung oder Verfügbarkeit meines Kontos beeinträchtigt, wenn ich GuardDuty aktiviere?

Wenn Sie GuardDuty zum ersten Mal aktivieren, funktioniert es völlig unabhängig von Ihren AWS-Ressourcen. Wenn Sie das GuardDuty EKS Runtime Monitoring so konfigurieren, dass der GuardDuty Security Agent automatisch bereitgestellt wird, kann dies zu einer zusätzlichen Ressourcenauslastung führen und erzeugt außerdem VPC-Endpunkte in VPCs, die für den Betrieb von Amazon EKS-Clustern verwendet werden.

F: Werden meine Protokolle von GuardDuty verwaltet oder aufbewahrt?

Nein, Ihre Protokolle werden von GuardDuty weder verwaltet noch aufbewahrt. Sämtliche Daten, die von GuardDuty verbraucht werden, werden danach nahezu in Echtzeit analysiert und gelöscht. Dadurch kann GuardDuty äußerst effizient und kostengünstig agieren. Zudem wird das Risiko einer Datenremanenz verringert. Für die Bereitstellung und Aufbewahrung von Protokollen sollten Sie die AWS-Services für Protokollierung und Überwachung direkt verwenden. Diese enthalten Bereitstellungs- und Aufbewahrungsoptionen mit umfangreichen Funktionen.

F: Wie kann ich verhindern, dass GuardDuty weiterhin meine Protokolle und Datenquellen prüft?

Sie können jederzeit veranlassen, dass GuardDuty die Analyse Ihrer Datenquellen beendet. Hierfür müssen Sie lediglich den Service in den allgemeinen Einstellungen aussetzen. Daraufhin beendet der Service umgehend die Datenanalyse, Ihre bestehenden Erkenntnisse oder Konfigurationen bleiben jedoch erhalten. Sie können den Service auch in den allgemeinen Einstellungen deaktivieren. Dadurch werden alle verbleibenden Daten, einschließlich Ihrer vorhandenen Erkenntnisse und Konfigurationen, gelöscht, bevor die Berechtigungen des Services aufgegeben und der Service zurückgesetzt wird. Sie können auch Funktionen wie GuardDuty S3 Protection oder GuardDuty EKS Protection über die Managementkonsole oder über die AWS CLI selektiv deaktivieren.

GuardDuty wird aktiviert

F: Was kann GuardDuty erkennen?

Mit GuardDuty erhalten Sie Zugang zu integrierten Erkennungsverfahren, die für die Cloud entwickelt und optimiert wurden. Die Erkennungsalgorithmen werden von GuardDuty Engineers gepflegt und fortlaufend verbessert. Zu den wichtigsten Erkennungskategorien zählen folgende:

  • Aufklärung: Aktivitäten, die auf Aufklärungsversuche durch einen Angreifer hindeuten. Dies kann beispielsweise ungewöhnliche API-Aktivität, ein Port-Scanning zwischen VPCs, ungewöhnliche Muster fehlgeschlagener Anmeldeanforderungen oder nicht geblockte Port-Spionage durch eine bekanntermaßen böswillige IP umfassen.
  • Kompromittierung von Instances: Aktivitäten, die auf die Kompromittierung einer Instance hindeuten, beispielsweise das Mining von Kryptowährungen, Malware mit Domänen-Generation-Algorithmen (DGAs), nach außen gerichtete Denial-of-Service-Aktivität, ein ungewöhnlich hohes Aufkommen an Netzwerkdatenverkehr, ungewöhnliche Netzwerkprotokolle, abgehende Instance-Kommunikation mit einer bekanntermaßen schädlichen IP, von einer externen IP-Adresse verwendete temporäre Amazon-EC2-Anmeldeinformationen und Datenausschleusung unter Verwendung von DNS.
  • Kompromittierung von Konten: Häufige Muster, die auf eine Kontokompromittierung hindeuten, einschließlich API-Aufrufe von einem ungewöhnlichen geografischen Standort oder einem anonymisierenden Proxy, Versuche, die CloudTrail-Protokollierung zu deaktivieren, ungewöhnliche Instance- oder Infrastrukturstarts, Infrastrukturbereitstellungen in einer ungewöhnlichen Region, die Exfiltration von Anmeldeinformationen, verdächtige Datenbankanmeldeaktivitäten und API-Aufrufe von bekannten bösartigen IP-Adressen.
  • Kompromittierung von Buckets: Aktivität, die auf eine Bucket-Kompromittierung hinweist, wie z. B. verdächtige Datenzugriffsmuster, die auf den Missbrauch von Berechtigungsnachweisen hindeuten, ungewöhnliche S3-API-Aktivität von einem Remote-Host, nicht autorisierter S3-Zugriff von bekannten böswilligen IP-Adressen und API-Aufrufe zum Abrufen von Daten in S3 Buckets von einem Benutzer, der noch nie zuvor auf den Bucket zugegriffen oder ihn von einem ungewöhnlichen Ort aus aufgerufen hat. GuardDuty überwacht und analysiert kontinuierlich CloudTrail S3-Datenereignisse (wie z. B. GetObject, ListObjects, DeleteObject), um verdächtige Aktivitäten in allen Ihren Amazon-S3-Buckets zu erkennen.
  • Malware-Erkennung: GuardDuty startet einen Malware-Erkennungsscan, wenn es verdächtiges Verhalten identifiziert, das auf bösartige Software in EC2-Instances oder Container-Workloads hinweist. GuardDuty erstellt temporäre Replikate von EBS-Volumes, die mit solchen EC2-Instances oder Container-Workloads verbunden sind, und scannt die Volume-Replikate nach Trojanern, Würmern, Crypto-Minern, Rootkits, Bots usw., die dazu verwendet werden könnten, die Workloads zu kompromittieren, Ressourcen für böswillige Zwecke umzuwidmen und unbefugten Zugriff auf Daten zu erhalten. GuardDuty Malware Protection generiert kontextbezogene Ergebnisse, mit denen die Quelle des verdächtigen Verhaltens überprüft werden kann. Diese Erkenntnisse können an die zuständigen Administratoren weitergeleitet werden und automatische Abhilfemaßnahmen einleiten.
  • Container-Kompromittierung: Aktivitäten, die ein mögliches bösartiges oder verdächtiges Verhalten in Container-Workloads erkennen lassen, werden durch die kontinuierliche Überwachung und Profilierung von Amazon-EKS-Clustern durch die Analyse der EKS-Audit-Protokolle und Container-Laufzeitaktivität erkannt.

F: Was sind GuardDuty-Bedrohungsinformationen?

Die GuardDuty-Bedrohungsinformationen bestehen aus IP-Adressen und Domänen, die bekanntermaßen von Angreifern verwendet werden. GuardDuty Threat Intelligence wird bereitgestellt von AWS und Drittanbietern wie Proofpoint und CrowdStrike. Diese Feeds mit Bedrohungsinformationen sind bereits in GuardDuty integriert und werden kostenlos laufend aktualisiert.

F: Kann ich eigene Bedrohungsinformationen angeben?

Ja, GuardDuty ermöglicht es Ihnen, Ihre eigene Liste mit Bedrohungsinformationen oder vertrauenswürdigen IP-Adressen hochzuladen. Wenn diese Funktion verwendet wird, werden die betreffenden Listen nur für Ihr Konto übernommen und nicht an andere Kunden weitergegeben.

F: Wie werden Sicherheitserkenntnisse bereitgestellt?

Wenn GuardDuty eine mögliche Bedrohung erkennt, wird eine ausführliche Sicherheitserkenntnis in der GuardDuty-Konsole und in EventBridge bereitgestellt. Dadurch sind die Maßnahmen besser umsetzbar und lassen sich leichter in bestehende Ereignisverwaltungs- oder Workflow-Systeme integrieren. Die Erkenntnisse beinhalten die Kategorie, betroffene Ressourcen und Metadaten in Verbindung mit der Ressource sowie den Schweregrad.

F: Welches Format haben die GuardDuty-Erkenntnisse?

Die GuardDuty-Erkenntnisse haben ein gängiges JSON-Format (JavaScript Object Notation), das auch von Macie und Amazon Inspector verwendet wird. Dadurch können Kunden und Partner die Sicherheitserkenntnisse von allen drei Services leichter nutzen und diese in ein breiteres Spektrum an Ereignisverwaltungs-, Workflow- oder Sicherheitslösungen einbinden.

F: Wie lange stehen die Sicherheitserkenntnisse in GuardDuty zur Verfügung?

Die Sicherheitserkenntnisse werden 90 Tage lang aufbewahrt und über die GuardDuty-Konsole und APIs zur Verfügung gestellt. Nach 90 Tagen werden die Erkenntnisse gelöscht. Falls sie länger als 90 Tage aufbewahrt werden sollen, können Sie EventBridge für die automatische Übertragung der Erkenntnisse in ein S3-Bucket oder einen sonstigen Datenspeicher zur Langzeitspeicherung aktivieren.

F: Kann ich GuardDuty-Erkenntnisse aggregieren?

Ja, Sie haben die Möglichkeit, die von GuardDuty erzeugten Sicherheitserkenntnisse mit Hilfe von EventBridge regionsübergreifend zu aggregieren oder die Ergebnisse in Ihren Datenspeicher (z B. S3) zu übertragen und dann nach Belieben zu aggregieren. Sie können GuardDuty-Ergebnisse auch an Security Hub senden und dessen regionsübergreifende Aggregationsfunktion nutzen.

F: Kann ich mit GuardDuty automatisierte vorbeugende Maßnahmen ergreifen?

Mit GuardDuty, EventBridge und AWS Lambda bleiben Sie flexibel und können auf der Grundlage einer Sicherheitserkenntnis automatisierte Abhilfemaßnahmen einrichten. Sie können beispielsweise eine Lambda-Funktion erstellen, mit der Ihre AWS-Sicherheitsgruppenregeln auf der Grundlage von Sicherheitserkenntnissen geändert werden. Wenn Sie eine GuardDuty-Erkenntnis erhalten, die vermuten lässt, dass eine Ihrer EC2-Instances von einer bekanntermaßen schädlichen IP ausspioniert wird, können Sie diesem Umstand mit einer EventBridge-Regel begegnen, die eine Lambda-Funktion zur automatischen Änderung Ihrer Sicherheitsgruppenregeln und Einschränkung des Zugriffs an dem betreffenden Port initiiert.

F: Wie werden GuardDuty-Erkennungen entwickelt und verwaltet?

GuardDuty verfügt über ein eigenes Team, das sich voll und ganz auf das Engineering, Verwaltung und Iteration von Erkennungen konzentriert. Dies führt zu einem ständigen Fluss neuer Erkennungen im Service und einer kontinuierlichen Iteration bei bestehenden Erkennungen. Der Service enthält verschiedene Feedback-Mechanismen, mit denen beispielsweise jede Sicherheitserkenntnis in der GuardDuty-Benutzeroberfläche (UI) positiv oder negativ bewertet werden kann. So können Sie ein eigenes Feedback bereitstellen, das in künftige Iterationen von GuardDuty-Erkennungen einfließen kann.

F: Kann ich benutzerdefinierte Erkennungen in Amazon GuardDuty schreiben?

Nein, mit GuardDuty gehören die aufwändigen Verfahren und komplexen Vorgänge für die Entwicklung und Pflege von eigenen benutzerdefinierten Regelsätzen der Vergangenheit an. Neue Erkennungen werden kontiniuerlich auf der Basis von Kundenfeedback und Forschungsergebnissen der AWS-Sicherheitsfachleute und des GuardDuty-Engineering-Teams hinzugefügt. Kunden können jedoch Anpassungen konfigurieren, indem sie eigene Bedrohungs- und Liste vertrauenswürdiger IP-Adressen hinzufügen.

GuardDuty S3 Protection

Wie kann ich mit S3 Protection beginnen, wenn ich bereits GuardDuty verwende?

Für aktuelle GuardDuty-Konten kann S3 Protection in der Konsole auf der Seite S3 Protection oder über die API aktiviert werden. Damit starten Sie einen kostenlosen 30-Tage-Test der GuardDuty S3 Protection-Funktion.

F: Gibt es eine kostenlose Testversion von GuardDuty für S3 Protection?

Ja, es gibt eine 30-tägige kostenlose Testversion. Jedes Konto in jeder Region erhält eine kostenlose 30-Tage-Testversion von GuardDuty, die die S3-Protection-Funktion umfasst. Konten, für die GuardDuty bereits aktiviert ist, erhalten bei der ersten Aktivierung der Funktion S3 Protection eine 30-tägige kostenlose Testversion.

F: Ich bin ein neuer Benutzer von GuardDuty. Ist S3 Protection standardmäßig für meine Konten aktiviert?

Ja. Bei allen neuen Konten, die GuardDuty über die Konsole oder API aktivieren, ist S3 Protection ebenfalls standardmäßig aktiviert. Bei neuen GuardDuty-Konten, die mit der Funktion automatische Aktivierung von AWS Organizations erstellt werden, ist S3 Protection nicht standardmäßig aktiviert, es sei denn die Option automatische Aktivierung für S3 ist aktiviert.

F: Kann ich GuardDuty S3 Protection aktivieren, ohne den vollständigen GuardDuty-Service (einschließlich der Analyse von VPC-Flow-Protokollen, DNS-Abfrageprotokollen und CloudTrail-Verwaltungsereignissen) zu aktivieren?

Nein, der GuardDuty-Service muss aktiviert werden, um S3 Protection zu nutzen. Aktuelle GuardDuty-Konten haben die Möglichkeit, S3 Protection zu aktivieren, und neue GuardDuty-Konten verfügen standardmäßig über diese Funktion, sobald der GuardDuty-Dienst aktiviert ist.

F: Überwacht GuardDuty alle Buckets in meinem Konto, um meine S3-Bereitstellung zu schützen?

Ja, S3 Protection überwacht standardmäßig alle S3-Buckets in Ihrer Umgebung.

F: Muss ich die CloudTrail-S3-Datenereignisprotokollierung für S3 Protection einschalten?

Nein, GuardDuty hat direkten Zugriff auf die Ereignisprotokolle von CloudTrail S3-Daten. Sie sind nicht verpflichtet, die Protokollierung von S3-Datenereignissen in CloudTrail zu aktivieren, so dass Ihnen die damit verbundenen Kosten nicht entstehen. Beachten Sie, dass GuardDuty die Protokolle nicht speichert und sie nur für seine Analyse verwendet.

GuardDuty EKS Protection

F: Wie funktioniert GuardDuty EKS Protection?

GuardDuty EKS Protection ist eine GuardDuty-Funktion, die die Aktivitäten der Amazon-EKS-Cluster-Kontrollebene durch die Analyse der Amazon-EKS-Audit-Protokolle überwacht. GuardDuty ist in Amazon EKS integriert und hat damit direkten Zugriff auf Amazon-EKS-Prüfungsprotokolle, ohne dass Sie diese Protokolle einschalten oder speichern müssen. Diese Prüfungsprotokolle sind sicherheitsrelevante, chronologische Aufzeichnungen zur Dokumentierung der Aktions-Sequenzen, die auf der Amazon-EKS-Steuerebene ausgeführt werden. Diese Amazon-EKS-Prüfungsprotokolle verleihen GuardDuty die notwendige Sichtbarkeit zur kontinuierlichen Überwachung von Amazon-EKS-API-Aktivitäten und nutzen bewährtes Wissen über Bedrohungen und Anomalieerkennung, um bösartige Aktivitäten oder Konfigurationsänderungen zu erkennen, die Ihre Amazon-EKS-Cluster einem unautorisiertem Zugriff aussetzten könnten. Wenn Bedrohungen erkannt werden, generiert GuardDuty Sicherheitsergebnisse mit dem Bedrohungstyp, dem Schweregrad und Details auf der Container-Ebene wie die Pod-ID, Container-Image-ID und zugeordnete Tags.

F: Welche Bedrohungstypen kann GuardDuty EKS Protection auf meinen Amazon-EKS-Workloads erkennen?

GuardDuty EKS Protection kann Bedrohungen im Zusammenhang mit Benutzer- und Anwendungsaktivitäten erkennen, die in Amazon-EKS-Audit-Protokollen erfasst werden. Zu den Amazon-EKS-Bedrohungserkennungen gehören Amazon-EKS-Cluster, auf die von bekannten böswilligen Akteuren oder von Tor-Knoten aus zugegriffen wird, API-Vorgänge, die von anonymen Benutzern durchgeführt werden und auf eine Fehlkonfiguration hindeuten könnten, sowie Fehlkonfigurationen, die zu einem nicht autorisierten Zugriff auf Amazon-EKS-Cluster führen können. Mithilfe von ML-Modellen kann GuardDuty außerdem Muster erkennen, die mit Techniken zur Berechtigungserweiterung übereinstimmen, z. B. den verdächtigen Start eines Containers mit Root-Zugriff auf den zugrunde liegenden EC2-Host. Eine vollständige Liste aller neuen Erkennungsarten finden Sie unter Amazon-GuardDuty-Erkenntnistypen.

F: Muss ich Amazon-EKS-Audit-Protokolle einschalten?

Nein, GuardDuty hat direkten Zugriff auf Amazon-EKS-Audit-Protokolle. Beachten Sie, dass GuardDuty diese Protokolle nur zur Analyse verwendet; es speichert sie nicht und Sie müssen nichts aktivieren und auch nichts dafür bezahlen, dass Amazon-EKS-Prüfungsprotokolle an GuardDuty freigegeben werden. Zur Preisoptimierung wendet GuardDuty intelligente Filter an, damit nur eine Teilmenge der Prüfungsprotokolle konsumiert werden, die für die Erkennung von Sicherheitsbedrohungen relevant sind.

F: Gibt es eine kostenlose Testversion von GuardDuty EKS Protection?

Ja, es gibt eine 30-tägige kostenlose Testversion. Jedes neue GuardDuty-Konto in jeder Region erhält eine 30-tägige kostenlose Testversion von GuardDuty, einschließlich GuardDuty-EKS-Protection-Funktion. Bestehende GuardDuty-Konten erhalten eine 30-tägige Testversion von GuardDuty EKS Protection ohne zusätzliche Kosten. Während des Testzeitraums können Sie die Kostenschätzung für nach dem Testzeitraum auf der Nutzungsseite der GuardDuty-Konsole anzeigen. Wenn Sie ein GuardDuty-Administrator sind, sehen Sie die geschätzten Kosten für Ihre Mitgliedskonten. Nach 30 Tagen können Sie die tatsächlichen Kosten dieser Funktion in der AWS-Fakturierungskonsole anzeigen.

Wie kann ich mit GuardDuty EKS Protection beginnen, wenn ich bereits GuardDuty verwende?

GuardDuty EKS Protection muss für jedes individuelle Konto aktiviert werden. Sie können die Funktion für Ihre Konten mit einer einzigen Aktion in der GuardDuty-Konsole auf der Seite GuardDuty EKS-Schutz-Konsole aktivieren. Wenn Sie in einer GuardDuty-Multi-Account-Konfiguration arbeiten, können Sie den GuardDuty EKS-Schutz für Ihr gesamtes Unternehmen über das GuardDuty Administratorkonto auf der GuardDuty EKS-Schutz-Seite aktivieren. Dadurch wird die kontinuierliche Überwachung für Amazon EKS in allen individuellen Mitgliedskonten aktiviert. Für GuardDuty-Konten, die mit der Funktion zur automatischen Aktivierung von AWS-Organisationen erstellt wurden, müssen Sie explizit die automatische Aktivierung für Amazon EKS aktivieren. Nach der Aktivierung für ein Konto werden alle bestehenden und zukünftigen Amazon EKS-Cluster des Kontos auf Bedrohungen überwacht, ohne dass eine Konfiguration auf Ihren Amazon EKS-Clustern erforderlich ist.

F: Ist GuardDuty EKS Protection standardmäßig für meine Konten aktiviert, wenn ich ein neuer GuardDuty-Benutzer bin?

Ja, bei allen neuen Konten, die GuardDuty über die Konsole oder API aktivieren, ist GuardDuty EKS Protection ebenfalls standardmäßig aktiviert. Für neue GuardDuty-Konten, die mithilfe der Funktion „automatische Aktivierung“ von AWS Organizations erstellt wurden, müssen Sie explizit die Option Automatische Aktivierung für Malware Protection einschalten. 

F: Wie kann ich GuardDuty EKS Protection deaktivieren?

Sie können die Funktion in der Konsole oder über die API deaktivieren. In der GuardDuty-Konsole können Sie GuardDuty EKS Protection für Ihre Konten auf der Konsolenseite GuardDuty EKS Protection deaktivieren. Wenn Sie ein GuardDuty-Administratorkonto haben, können Sie diese Funktion auch für Ihre Mitgliedskonten deaktivieren.

F: Wie kann ich GuardDuty EKS Protection erneut aktivieren, nachdem ich es deaktiviert habe?

Wenn Sie GuardDuty EKS Protection zuvor deaktiviert haben, können Sie die Funktion in der Konsole oder über die API wieder aktivieren. In der GuardDuty-Konsole können Sie GuardDuty-EKS-Protection für Ihre Konten auf der Konsolenseite GuardDuty-EKS-Protection aktivieren.

F: Muss ich GuardDuty EKS Protection auf jedem AWS-Konto und Amazon-EKS-Cluster einzeln aktivieren?

GuardDuty EKS Protection muss für jedes individuelle Konto aktiviert werden. Wenn Sie in eine Multi-Konto-Konfiguration für GuardDuty betreiben, können Sie mit einem einzelnen Klick auf der Konsolenseite von GuardDuty EKS Protection im GuardDuty-Administratorkonto die Bedrohungserkennung für Amazon EKS in Ihrer gesamten Organisation aktivieren. Dies wird die Bedrohungserkennung für Amazon EKS in allen individuellen Mitgliedskonten aktivieren. Sobald diese Funktion für ein Konto aktiviert ist, werden alle bestehenden und zukünftigen Amazon-EKS-Cluster im Konto auf Bedrohungen überwacht und es ist keine manuelle Konfiguration auf Ihren Amazon-EKS-Clustern erforderlich.

F: Werden mir Gebühren berechnet, wenn ich Amazon EKS nicht verwende und GuardDuty EKS Protection in GuardDuty aktiviere?

Es fallen keine Gebühren für GuardDuty EKS Protection an, wenn Sie Amazon EKS nicht nutzen und GuardDuty EKS Protection aktiviert haben. Wenn Sie jedoch mit der Nutzung von Amazon EKS beginnen, wird GuardDuty Ihre Cluster automatisch überwachen und Feststellungen zu erkannten Problemen treffen. Diese Überwachung ist für Sie kostenpflichtig.

F: Kann ich GuardDuty EKS Protection aktivieren, ohne den vollständigen GuardDuty-Service (VPC-Flow-Protokolle, DNS-Abfrageprotokolle und Analyse von CloudTrail-Verwaltungsereignissen) zu aktivieren?

Nein, der GuardDuty-Service muss aktiviert werden, damit GuardDuty EKS Protection auch verfügbar ist.

F: Überwacht GuardDuty EKS Protection Amazon-EKS-Audit-Protokolle für EKS-Bereitstellungen auf AWS Fargate?

Ja, GuardDuty EKS Protection überwacht Amazon-EKS-Audit-Protokolle sowohl aus Amazon-EKS-Clustern, die auf EC2-Instances bereitgestellt werden, als auch von Amazon-EKS-Clustern, die auf Fargate bereitgestellt werden.

F: Überwacht GuardDuty nicht verwaltete Amazon EKS auf EC2 oder Amazon EKS Anywhere?

Derzeit unterstützt diese Funktion nur Amazon-EKS-Bereitstellungen, die auf EC2-Instances in Ihrem Konto oder auf Fargate ausgeführt werden.

F: Wirkt sich die Nutzung von GuardDuty EKS Protection auf die Leistung oder den Preis für die Ausführung von Containern auf Amazon EKS aus?

Nein. GuardDuty EKS Protection ist so konzipiert, dass es keine Auswirkungen auf die Leistung, die Verfügbarkeit oder die Kosten von Amazon-EKS-Workloads hat.

F: Muss ich GuardDuty EKS Protection in jeder AWS-Region einzeln aktivieren?

Ja, GuardDuty ist ein regionaler Service und daher muss GuardDuty EKS Protection in jeder AWS Region separat aktiviert werden.

GuardDuty EKS Runtime Monitoring

F: Wie funktioniert die GuardDuty EKS Laufzeitüberwachung?

GuardDuty EKS Runtime Monitoring verwendet ein vollständig verwaltetes Amazon EKS-Add-on, das die Laufzeitaktivitäten einzelner Kubernetes-Container, die auf Amazon EKS laufen, transparent macht, z. B. Dateizugriff, Prozessausführung und Netzwerkverbindungen. Das Add-on kann automatisch, direkt aus GuardDuty heraus, für alle bestehenden und neuen Amazon EKS-Cluster eines Kontos aktiviert werden, oder manuell aus Amazon EKS heraus für einen einzelnen Cluster. Das Add-on stellt automatisch einen GuardDuty Sicherheitsagenten als Daemon-Set bereit, der Laufzeitereignisse von allen auf dem Knoten laufenden Pods sammelt und an GuardDuty zur Sicherheitsanalyse weiterleitet. Dadurch kann GuardDuty bestimmte Container in Ihren Amazon EKS-Clustern identifizieren, die potenziell gefährdet sind, und Versuche erkennen, Privilegien von einem einzelnen Container auf den zugrundeliegenden Amazon EC2-Host und die breitere AWS-Umgebung auszuweiten. Wenn GuardDuty eine potenzielle Bedrohung erkennt, wird ein Sicherheitsergebnis generiert, das den Metadatenkontext enthält, der Container-, Kubernetes-Pod- und Prozessdetails umfasst.

F: Wie kann ich mit EKS Runtime Monitoring beginnen, wenn ich derzeit GuardDuty verwende?

Für bestehende GuardDuty-Konten kann die Funktion über die GuardDuty-Konsole auf der Seite EKS Runtime Monitoring oder über die API aktiviert werden. Erfahren Sie mehr über GuardDuty EKS Runtime Monitoring.

F: Wenn ich ein neuer Benutzer von GuardDuty bin, ist EKS Runtime Monitoring für meine Konten standardmäßig aktiviert?

Nein. GuardDuty EKS Runtime Monitoring ist der einzige Schutzplan, der nicht standardmäßig aktiviert ist, wenn Sie GuardDuty zum ersten Mal einschalten. Die Funktion kann über die GuardDuty-Konsole auf der EKS-Runtime-Monitoring-Seite oder über die API aktiviert werden. Für neue GuardDuty-Konten, die mit der Funktion zur automatischen Aktivierung von AWS-Organisationen erstellt wurden, ist die EKS-Laufzeitüberwachung standardmäßig nicht aktiviert, es sei denn, die Option zur automatischen Aktivierung von Amazon EKS ist aktiviert.

F: Kann ich GuardDuty-EKS-Laufzeitüberwachung verwenden, ohne den vollständigen GuardDuty-Service zu aktivieren?

Nein, der GuardDuty-Service muss aktiviert werden, um den GuardDuty RDS-Schutz zu nutzen.

F: Ist GuardDuty EKS Runtime Monitoring in allen Regionen verfügbar, in denen GuardDuty derzeit verfügbar ist?

Eine vollständige Liste der Regionen, in denen EKS Runtime Monitoring verfügbar ist, finden Sie unter Regionale Verfügbarkeit der Funktionen.

F: Muss ich GuardDuty EKS Runtime Monitoring für jedes AWS-Konto und jeden Amazon EKS-Cluster einzeln aktivieren?

GuardDuty EKS Runtime Monitoring muss für jedes einzelne Konto aktiviert sein. Wenn Sie in einer GuardDuty-Konfiguration mit mehreren Konten arbeiten, können Sie die Bedrohungserkennung für Amazon EKS in Ihrer gesamten Organisation mit einem einzigen Klick auf der GuardDuty-Administratorkontoseite GuardDuty EKS Runtime Monitoring Konsole aktivieren. Dadurch wird die Laufzeitüberwachung für Amazon EKS in allen individuellen Mitgliedskonten aktiviert. Nach der Aktivierung für ein Konto werden alle bestehenden und zukünftigen Amazon EKS-Cluster in diesem Konto auf Laufzeitbedrohungen überwacht, und es ist keine manuelle Konfiguration auf Ihren Amazon EKS-Clustern erforderlich.

F: Werden mir Gebühren berechnet, wenn ich Amazon EKS nicht verwende und GuardDuty EKS Runtime Monitoring in GuardDuty aktiviere?

Es fallen keine Kosten für das GuardDuty EKS Runtime Monitoring an, wenn Sie Amazon EKS nicht nutzen und das GuardDuty EKS Runtime Monitoring aktiviert haben. Wenn Sie jedoch mit der Nutzung von Amazon EKS beginnen, wird GuardDuty Ihre Cluster automatisch überwachen und Feststellungen zu erkannten Problemen treffen. Diese Überwachung wird Ihnen in Rechnung gestellt.

F: Wirkt sich der Einsatz von GuardDuty-EKS-Laufzeitüberwachung auf die Leistung oder die Kosten des Containerbetriebs auf Amazon EKS aus?

Wenn Sie das GuardDuty-EKS-Laufzeitüberwachung so konfigurieren, dass der GuardDuty-Security-Agent automatisch bereitgestellt wird, kann dies zu einer zusätzlichen Ressourcenauslastung führen und erzeugt außerdem VPC-Endpunkte in VPCs, die für den Betrieb von Amazon-EKS-Clustern verwendet werden. Weitere Informationen zu EKS Add-Ons.

GuardDuty Malware Protection

F: Wie funktioniert Amazon GuardDuty Malware Protection?

GuardDuty startet einen Malware-Erkennungsscan, wenn es verdächtiges Verhalten identifiziert, das auf bösartige Software in EC2-Instances oder Container-Workloads hinweist. Es scannt ein repliziertes EBS-Volume, das GuardDuty auf der Grundlage des Snapshots Ihres EBS-Volumes erstellt, auf Trojaner, Würmer, Krypto-Miner, Rootkits, Bots und mehr. GuardDuty Malware Protection generiert kontextbezogene Ergebnisse, mit denen die Quelle des verdächtigen Verhaltens überprüft werden kann. Diese Erkenntnisse können auch an die zuständigen Administratoren weitergeleitet werden und automatische Abhilfemaßnahmen einleiten.

F: Welche GuardDuty-Erkenntnistypen für Amazon EC2 initiieren einen Malware-Scan?

GuardDuty-EC2-Erkenntnisse, die einen Malware-Scan auslösen, sind hier aufgeführt.

F: Welche Ressourcen und Dateitypen kann GuardDuty Malware Protection scannen?

Malware Protection unterstützt die Erkennung bösartiger Dateien durch Scannen von EBS, die an EC2-Instances angeschlossen sind. Es kann jede Datei auf dem Volume scannen, und die unterstützten Dateisystemtypen finden Sie hier.

F: Welche Arten von Bedrohungen kann GuardDuty Malware Protection erkennen?

Der Malware-Schutz sucht nach Bedrohungen wie Trojanern, Würmern, Crypto-Minern, Rootkits und Bots, die dazu verwendet werden könnten, Workloads zu kompromittieren, Ressourcen für böswillige Zwecke umzuwidmen und unbefugten Zugriff auf Daten zu erlangen.

F: Muss ich die Protokollierung einschalten, damit GuardDuty Malware Protection funktioniert?

Die Serviceprotokollierung muss nicht aktiviert sein, damit GuardDuty oder die Malware-Schutzfunktion funktionieren. Die Malware-Schutzfunktion ist Teil von GuardDuty, einem AWS-Service, der Informationen aus integrierten internen und externen Quellen nutzt.

F: Wie schafft es GuardDuty Malware Protection, ohne Agenten zu scannen?

Anstatt Sicherheitsagenten zu verwenden, erstellt und scannt GuardDuty Malware Protection eine Replikation, die auf dem Snapshot der EBS-Volumes basiert, die mit der potenziell infizierten EC2-Instance oder Container-Workload in Ihrem Konto verbunden sind. Die Berechtigungen, die Sie GuardDuty über eine Service-verknüpfte Rolle erteilt haben, erlauben es dem Service, ein verschlüsseltes Volume-Replikat im Servicekonto von GuardDuty aus dem Snapshot zu erstellen, der in Ihrem Konto verbleibt. GuardDuty Malware Protection scannt dann die Volume-Replik auf Malware.

F: Gibt es eine kostenlose Testversion von GuardDuty Malware Protection?

Ja, jedes neue GuardDuty-Konto in jeder Region erhält eine 30-tägige kostenlose Testversion von GuardDuty, einschließlich Malware-Protection-Funktion. Bestehende GuardDuty-Konten erhalten eine 30-tägige Testversion von Malware Protection ohne zusätzliche Kosten, wenn diese zum ersten Mal in einem Konto aktiviert wird. Während des Testzeitraums können Sie die Kostenschätzung für nach dem Testzeitraum auf der Nutzungsseite der GuardDuty-Konsole anzeigen. Wenn Sie ein GuardDuty-Administrator sind, sehen Sie die geschätzten Kosten für Ihre Mitgliedskonten. Nach 30 Tagen können Sie die tatsächlichen Kosten dieser Funktion in der AWS-Fakturierungskonsole anzeigen.

F: Ich verwende derzeit GuardDuty. Wie kann ich mit GuardDuty Malware Protection beginnen?

Sie können Malware Protection in der GuardDuty-Konsole aktivieren, indem Sie die Seite Malware Protection aufrufen oder die API verwenden. Wenn Sie in einer GuardDuty-Konfiguration mit mehreren Konten arbeiten, können Sie die Funktion für Ihr gesamtes Unternehmen auf der Konsolenseite Malware Protection des GuardDuty-Administratorkontos aktivieren. Dies wird die Überwachung für Malware in allen individuellen Mitgliedskonten aktivieren. Für GuardDuty-Konten, die mithilfe der Funktion „automatische Aktivierung“ von AWS Organizations erstellt wurden, müssen Sie explizit die Option „automatische Aktivierung für Malware Protection“ einschalten.

F: Ich bin ein neuer Benutzer von GuardDuty. Ist Malware Protection standardmäßig für meine Konten aktiviert?

Ja, bei jedem neuen Konto, das GuardDuty über die Konsole oder API aktiviert, ist standardmäßig auch GuardDuty Malware Protection aktiviert. Für neue GuardDuty-Konten, die mithilfe der Funktion „automatische Aktivierung“ von AWS Organizations erstellt wurden, müssen Sie explizit die Option„automatische Aktivierung für Malware Protection“ einschalten. 

F: Wie kann ich GuardDuty Malware Protection deaktivieren?

Sie können die Funktion in der Konsole oder über die API deaktivieren. In der GuardDuty-Konsole finden Sie auf der Konsolenseite Malware Protection eine Option zum Deaktivieren von Malware Protection für Ihre Konten. Wenn Sie ein GuardDuty-Administratorkonto haben, können Sie Malware Protection auch für Ihre Mitgliedskonten deaktivieren.

F: Wie kann ich GuardDuty Malware Protection erneut aktivieren, nachdem ich es deaktiviert habe?

Wenn Malware Protection deaktiviert war, können Sie die Funktion in der Konsole oder über die API aktivieren. Sie können Malware Protection für Ihre Konten in der GuardDuty-Konsole auf der Konsolenseite Malware Protection aktivieren.

F: Wenn während eines Abrechnungszeitraums keine GuardDuty-Malware-Scans durchgeführt werden, fallen dann Gebühren an?

Nein, es fallen keine Gebühren für Malware Protection an, wenn während eines Abrechnungszeitraums keine Scans auf Malware durchgeführt werden. Sie können die Kosten dieser Funktion in der AWS-Fakturierungskonsole anzeigen.

F: Unterstützt GuardDuty Malware Protection die Verwaltung mehrerer Konten?

Ja, GuardDuty verfügt über eine Verwaltungsfunktion für mehrere Konten, mit der Sie mehrere AWS-Konten über ein einziges Administratorkonto verknüpfen und verwalten können. GuardDuty verfügt durch die Integration mit AWS Organizations über die Verwaltung mehrere Konten. Diese Integration hilft Sicherheits- und Compliance-Teams, die vollständige Abdeckung von GuardDuty, einschließlich Malware Protection, für alle Konten in einem Unternehmen sicherzustellen.

F: Muss ich Konfigurationsänderungen vornehmen, Software bereitstellen oder meine AWS-Bereitstellungen modifizieren?

Nein. Sobald die Funktion aktiviert ist, wird GuardDuty Malware Protection einen Malware-Scan als Reaktion auf relevante EC2-Ergebnisse initiieren. Sie müssen keine Agenten einrichten, keine Protokollquellen aktivieren und keine anderen Konfigurationsänderungen vornehmen.

F: Beeinträchtigt die Verwendung von GuardDuty Malware Protection die Leistung meiner Workloads?

GuardDuty Malware Protection ist so konzipiert, dass die Leistung Ihrer Workloads nicht beeinträchtigt wird. Beispielsweise können EBS-Volume-Snapshots, die für die Malware-Analyse erstellt werden, nur einmal innerhalb von 24 Stunden erzeugt werden. GuardDuty Malware Protection behält die verschlüsselten Replikate und Snapshots nach Abschluss eines Scans noch einige Minuten lang bei. Darüber hinaus nutzt GuardDuty Malware Protection die GuardDuty-Rechenressourcen für das Scannen von Malware anstelle von Kunden-Rechenressourcen.

F: Muss ich GuardDuty Malware Protection in jeder AWS-Region einzeln aktivieren?

Ja, GuardDuty ist ein regionaler Service und die Malware Protection muss in jeder AWS-Region separat aktiviert werden.

F: Wie verwendet GuardDuty Malware Protection Verschlüsselung?

GuardDuty Malware Protection scannt eine Replik, die auf dem Snapshot der EBS-Volumes basiert, die mit der potenziell infizierten EC2-Instance oder Container-Workload in Ihrem Konto verbunden sind. Wenn Ihre EBS-Volumes mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind, haben Sie die Möglichkeit, Ihren AWS-Key-Management-Service-Schlüssel (KMS) für GuardDuty freizugeben, und der Service verwendet denselben Schlüssel zur Verschlüsselung des replizierten EBS-Volumes. Bei unverschlüsselten EBS-Volumes verwendet GuardDuty seinen eigenen Schlüssel, um das replizierte EBS-Volume zu verschlüsseln.

F: Wird das EBS-Volume-Replikat in derselben Region analysiert wie das Original-Volume?

Ja, alle Daten des replizierten EBS-Volumes (und der Snapshot, auf dem das replizierte Volume basiert) bleiben in der gleichen Region wie das ursprüngliche EBS-Volume.

F: Wie kann ich die Ausgaben für GuardDuty Malware Protection abschätzen und kontrollieren?

Jedes neue GuardDuty-Konto in jeder Region erhält eine 30-tägige kostenlose Testversion von GuardDuty, einschließlich Malware-Protection-Funktion. Bestehende GuardDuty-Konten erhalten eine 30-tägige Testversion von Malware Protection ohne zusätzliche Kosten, wenn diese zum ersten Mal in einem Konto aktiviert wird. Während des Testzeitraums können Sie die Kostenschätzung für nach dem Testzeitraum auf der Nutzungsseite der GuardDuty-Konsole abschätzen. Wenn Sie ein GuardDuty-Administrator sind, sehen Sie die geschätzten Kosten für Ihre Mitgliedskonten. Nach 30 Tagen können Sie die tatsächlichen Kosten dieser Funktion in der AWS-Fakturierungskonsole anzeigen.

Der Preis für diese Funktion basiert auf den GB an gescannten Daten in einem Volume. Sie können die Scan-Optionen in der Konsole anpassen, um einige EC2-Instances mit Hilfe von Tags zu markieren, die von der Überprüfung ausgenommen werden sollen, um so die Kosten zu kontrollieren. Darüber hinaus scannt GuardDuty eine EC2-Instance nur einmal alle 24 Stunden. Wenn GuardDuty innerhalb von 24 Stunden mehrere EC2-Erkenntnisse für eine EC2-Instance generiert, wird nur die erste relevante EC2-Erkenntnis überprüft. Wenn die EC2-Erkenntnisse für eine Instance 24 Stunden nach dem letzten Malware-Scan fortbestehen, wird ein neuer Malware-Scan für diese Instance eingeleitet.

F: Kann ich die von GuardDuty Malware Protection erstellten Snapshots behalten?

Ja, es gibt eine Einstellung, mit der Sie die Speicherung von Snapshots aktivieren können, wenn der Malware-Protection-Scan Malware entdeckt. Sie können diese Einstellung in der GuardDuty-Konsole auf der Seite Einstellungen aktivieren. Standardmäßig werden Snapshots einige Minuten nach Abschluss eines Scans und nach 24 Stunden, wenn der Scan nicht abgeschlossen wurde, gelöscht.

F: Wie lange wird ein repliziertes EBS-Volumen standardmäßig maximal aufbewahrt?

GuardDuty Malware Protection bewahrt jedes erzeugte und gescannte EBS-Replikat-Volume bis zu 24 Stunden lang auf. Standardmäßig werden replizierte EBS-Volumen einige Minuten nach Abschluss eines Scanvorgangs von GuardDuty Malware Protection gelöscht. In einigen Fällen kann es jedoch vorkommen, dass GuardDuty Malware Protection ein repliziertes EBS-Volumen länger als 24 Stunden aufbewahren muss, wenn ein Serviceausfall oder ein Verbindungsproblem den Malware-Scan beeinträchtigt. In diesem Fall hält GuardDuty Malware Protection das replizierte EBS-Volume bis zu sieben Tage lang zurück, um dem Service Zeit zu geben, den Ausfall oder das Verbindungsproblem zu beheben. GuardDuty Malware Protection löscht das replizierte EBS-Volume, nachdem der Ausfall oder die Störung behoben wurde oder sobald die verlängerte Aufbewahrungsfrist abgelaufen ist.

F: Werden mehrere GuardDuty-Erkenntnisse für eine einzelne EC2-Instance oder Container-Workload, die auf mögliche Malware hinweisen, mehrere Malware-Scans auslösen?

Nein, GuardDuty scannt nur einmal alle 24 Stunden eine Replik, die auf dem Snapshot der EBS-Volumen basiert, die mit der potenziell infizierten EC2-Instance oder dem Container-Workload verbunden sind. Selbst wenn GuardDuty mehrere Erkenntnisse generiert, die für einen Malware-Scan in Frage kommen, werden keine weiteren Scans initiiert, wenn seit einem früheren Scan weniger als 24 Stunden vergangen sind. Wenn GuardDuty innerhalb von 24 Stunden nach dem letzten Malware-Scan einen qualifizierten Befund generiert, wird GuardDuty Malware Protection einen neuen Malware-Scan für diesen Workload initiieren.

F: Wenn ich GuardDuty deaktiviere, muss ich dann auch die Funktion Malware Protection deaktivieren?

Nein, wenn Sie den GuardDuty-Dienst deaktivieren, wird auch die Funktion zum Schutz vor Malware deaktiviert.

GuardDuty RDS-Schutz

F: Wie funktioniert der GuardDuty RDS-Schutz?

Der GuardDuty RDS-Schutz kann mit einer einzigen Aktion in der GuardDuty-Konsole aktiviert werden, ohne dass Agenten manuell bereitgestellt, keine Datenquellen aktiviert und keine Berechtigungen konfiguriert werden müssen. Unter Verwendung maßgeschneiderter ML-Modelle beginnt die GuardDuty Malware Protection mit der Analyse und Profilerstellung von Anmeldeversuchen bei bestehenden und neuen Amazon Aurora-Datenbanken. Wenn verdächtige Verhaltensweisen oder Versuche von bekannten böswilligen Akteuren identifiziert werden, sendet GuardDuty verwertbare Sicherheitsergebnisse an die GuardDuty-Konsole, die Amazon Relational Database Service (RDS)-Konsole, AWS Security Hub und Amazon EventBridge und ermöglicht so die Integration in bestehende Sicherheitsereignis-Management- oder Workflow-Systeme. Erfahren Sie mehr darüber, wie die GuardDuty RDS Protection die Überwachung der RDS-Anmeldeaktivitäten nutzt.

 

F: Wie kann ich mit der Erkennung von Bedrohungen für Aurora-Datenbanken beginnen, wenn ich bereits GuardDuty verwende?

Für aktuelle GuardDuty-Konten kann die Funktion über die GuardDuty-Konsole auf der RDS-Schutzseite oder über die API aktiviert werden. Erfahren Sie mehr über GuardDuty RDS-Schutz.


F: Ich bin ein neuer Benutzer von GuardDuty. Ist die Erkennung von Bedrohungen für Aurora-Datenbanken standardmäßig für meine Konten aktiviert?

Ja. Bei allen neuen Konten, die GuardDuty über die Konsole oder API aktivieren, ist der RDS-Schutz ebenfalls standardmäßig aktiviert. Bei neuen GuardDuty-Konten, die mit der Funktion automatische Aktivierung von AWS Organizations erstellt werden, ist der RDS-Schutz nicht standardmäßig aktiviert, es sei denn die Option automatische Aktivierung für RDS ist aktiviert.

F: Kann ich den GuardDuty RDS-Schutz aktivieren, ohne den vollständigen GuardDuty-Service (einschließlich der Analyse von Amazon Virtual Private Cloud (VPC)-Flow-Protokollen, DNS-Abfrageprotokollen und AWS-CloudTrail-Verwaltungsereignissen) zu aktivieren?

Nein, der GuardDuty-Service muss aktiviert werden, um den GuardDuty RDS-Schutz zu nutzen.

 

F: Ist der GuardDuty RDS-Schutz in allen Regionen verfügbar, in denen derzeit GuardDuty verfügbar ist?

Eine vollständige Liste der Regionen, in denen der RDS-Schutz verfügbar ist, finden Sie unter Verfügbarkeit regionsspezifischer Funktionen.

 

F: Welche Amazon-Aurora-Version(en) wird/werden vom GuardDuty RDS-Schutz unterstützt?

Bitte sehen Sie sich die Liste der unterstützten Amazon-Aurora-Datenbankversionen an.

F: Wirkt sich die Nutzung von GuardDuty RDS Protection auf die Leistung oder den Preis für die Ausführung von Aurora-Datenbanken aus?

Nein. Die Bedrohungserkennung von GuardDuty für Aurora-Datenbanken wurde speziell so entwickelt, dass sie keine Auswirkungen auf die Leistung, die Verfügbarkeit oder die Kosten Ihrer Amazon-Aurora-Datenbanken hat.
 

GuardDuty Lambda Protection

F: Wie funktioniert Amazon GuardDuty Lambda Protection?

GuardDuty Lambda Protection überwacht kontinuierlich Netzwerkaktivitätsprotokolle, die bei der Ausführung von AWS-Lambda-Funktionen generiert werden, um Bedrohungen für Lambda zu erkennen. Dazu gehören z. B. Funktionen, die in böswilliger Absicht für unbefugtes Krypto-Mining umfunktioniert wurden, oder kompromittierte Lambda-Funktionen, die mit Servern bekannter Bedrohungen kommunizieren. GuardDuty Lambda Protection kann mit wenigen Schritten in der GuardDuty-Konsole aktiviert und mithilfe von AWS Organizations zentral für alle vorhandenen und neuen Konten in einer Organisation aktiviert werden. Nach der Aktivierung beginnt es automatisch mit der Überwachung der Netzwerkaktivitätsdaten aller vorhandenen und neuen Lambda-Funktionen in einem Konto.

Wie kann ich mit GuardDuty Lambda Protection beginnen, wenn ich bereits GuardDuty verwende?

Für aktuelle GuardDuty-Konten kann die Funktion über die GuardDuty-Konsole auf der Seite für Lambda Protection oder über die API aktiviert werden. Erfahren Sie mehr über GuardDuty Lambda Protection.

F: Ich bin ein neuer Benutzer von GuardDuty. Ist GuardDuty Lambda Protection standardmäßig für meine Konten aktiviert?

Ja. Bei allen neuen Konten, die GuardDuty über die Konsole oder API aktivieren, ist Lambda Protection ebenfalls standardmäßig aktiviert. Bei neuen GuardDuty-Konten, die mit der Funktion automatische Aktivierung von AWS Organizations erstellt werden, ist Lambda Protection nicht standardmäßig aktiviert, es sei denn die Option automatische Aktivierung für Lambda ist aktiviert.

F: Ist GuardDuty Lambda Protection in allen Regionen verfügbar, in denen derzeit GuardDuty verfügbar ist?

Eine vollständige Liste der Regionen, in denen Lambda Protection verfügbar ist, finden Sie unter Verfügbarkeit regionsspezifischer Funktionen.

F: Wirkt sich die Nutzung von GuardDuty Lambda Protection auf die Leistung oder den Preis für die Ausführung von Lambda-Workloads aus?

Nein, GuardDuty Lambda Protection ist so konzipiert, dass es keine Auswirkungen auf Leistung, Verfügbarkeit oder Kosten auf Ihre Lambda-Workloads hat.

Weitere Informationen über die Produktpreise

Siehe Preisbeispiele und Informationen zu kostenlosen Testversionen

Weitere Informationen 
Registrieren Sie sich für eine kostenlose Testversion

Erhalten Sie Zugang zur kostenlosen Testversion von Amazon GuardDuty. 

Die kostenlose Testversion starten 
Beginnen Sie mit der Entwicklung in der Konsole

Beginnen Sie mit Amazon GuardDuty in der AWS-Konsole.

Anmelden