Übersicht über den Service

F: Was ist Amazon GuardDuty?

GuardDuty ist ein intelligenter Service zur Erkennung von Bedrohungen, der Ihre AWS-Konten, Amazon-Elastic-Compute-Cloud-Instances (EC2), Amazon-Elastic-Kubernetes-Service-Cluster (EKS) und in Amazon Simple Storage Service (S3) gespeicherte Daten kontinuierlich auf bösartige Aktivitäten überwacht, ohne dass Sicherheitssoftware oder Agenten eingesetzt werden müssen. Wenn potenziell bösartige Aktivitäten wie anomales Verhalten, die Exfiltration von Anmeldeinformationen oder die Kommunikation mit der Command-and-Control-Infrastruktur (C2) entdeckt werden, generiert GuardDuty detaillierte Sicherheitsergebnisse, die für die Sicherheitstransparenz und zur Unterstützung bei der Behebung von Problemen genutzt werden können. Darüber hinaus hilft die Funktion Amazon GuardDuty Malware Protection bei der Erkennung bösartiger Dateien auf Amazon-Elastic-Block-Store-Volumes (EBS), die mit EC2-Instances und Container-Workloads verbunden sind.

F: Was sind die wichtigsten Vorteile von GuardDuty?

GuardDuty macht es leichter, eine kontinuierliche Überwachung Ihrer AWS-Konten, -Workloads und in Amazon S3 gespeicherten Daten zu ermöglichen. Da GuardDutys Verarbeitung völlig unabhängig von Ihren Ressourcen erfolgt, werden Ihre Workloads nicht durch Leistungs- oder Verfügbarkeitseinbußen beeinträchtigt. Der Service und seine integrierten Bedrohungsinformationen, die Anomalieerkennung. das Machine Learning und das Malware-Scanning werden vollständig verwaltet. GuardDuty stellt detaillierte und umsetzbare Warnungen zur Verfügung, die so konzipiert sind, dass sie in bestehende Ereignisverwaltungs- und Workflowsysteme integriert werden können. Für das Produkt fallen keine Vorlaufkosten an und Sie bezahlen nur für die analysierten Ereignisse. Es sind weder Softwarebereitstellungen noch Abonnements von Feeds mit Bedrohungsinformationen erforderlich.

F: Wie viel kostet GuardDuty?

Die Preise von GuardDuty basieren auf dem Volumen der analysierten Serviceprotokolle und dem Volume der nach Malware gescannten Daten. Analysierte Serviceprotokolle werden zur Kostenoptimierung gefiltert und direkt in GuardDuty integriert, d.h. Sie müssen sie nicht separat aktivieren oder bezahlen.

Unter Preise von Amazon GuardDuty finden Sie zusätzliche Informationen und Preisbeispiele.

F. Zeigen die geschätzten Kosten im GuardDuty-Zahlungskonto die aggregierten Gesamtkosten für verknüpfte Konten oder nur für dieses einzelne Zahlungskonto an?

Die geschätzten Kosten stellen die Kosten für das individuelle Zahlungskonto dar, und Sie sehen die abgerechnete Nutzung und die durchschnittlichen täglichen Kosten für jedes Mitgliedskonto im GuardDuty-Administratorkonto. Sie müssen zum individuellen Konto gehen, wenn Sie die detaillierten Nutzungsinformationen sehen möchten.

 

F: Gibt es eine kostenlose Testversion von GuardDuty?

Ja. Jeder Neukunde von GuardDuty kann den Service 30 Tage lang kostenlos testen. Während der kostenlosen Testphase können Sie den gesamten Funktionsumfang und das ganze Erkennungsspektrum nutzen. Während des Testzeitraums können Sie die Kostenschätzung für nach dem Testzeitraum auf der Nutzungsseite der GuardDuty-Konsole anzeigen. Wenn Sie ein GuardDuty-Administrator sind, sehen Sie die geschätzten Kosten für Ihre Mitgliedskonten. Nach 30 Tagen können Sie die tatsächlichen Kosten dieser Funktion in der AWS-Fakturierungskonsole anzeigen.

F: Worin besteht der Unterschied zwischen GuardDuty und Amazon Macie?

GuardDuty bietet eine umfassende Sicherheitsüberwachung Ihrer AWS-Konten, -Workloads und -Daten, um Bedrohungen zu erkennen, wie z. B. die Aufklärung durch Angreifer, die Kompromittierung von Instanzen, Konten, Buckets oder Amazon-EKS-Clustern sowie Malware. Macie ist ein vollständig verwalteter Service zum Auffinden sensibler Daten, der ML und Mustervergleiche verwendet, um Ihre sensiblen Daten in S3 zu finden.

F: Ist GuardDuty ein regionaler oder ein globaler Service?

Bei GuardDuty handelt es sich um einen regionalen Service. Selbst wenn mehrere Konten aktiviert sind und mehrere Regionen verwendet werden, verbleiben die Sicherheitserkenntnisse von GuardDuty in den Regionen, in denen die zugrunde liegenden Daten generiert wurden. Dadurch ist sichergestellt, dass sich alle analysierten Daten nur in ihren Regionen befinden und die regionalen AWS-Grenzen nicht überschreiten. Sie haben jedoch die Möglichkeit, die von GuardDuty erzeugten Sicherheitserkenntnisse mit Hilfe von Amazon EventBridge regionsübergreifend zu aggregieren oder die Ergebnisse in Ihren Datenspeicher (z.B. S3) zu übertragen und dann nach Belieben zu aggregieren. Sie können GuardDuty-Ergebnisse auch an AWS Security Hub senden und dessen regionsübergreifende Aggregationsfunktion nutzen.

F: Welche Regionen unterstützt GuardDuty?

Die regionale Verfügbarkeit von GuardDuty ist in der AWS Regional Services List aufgeführt.

F: Welche Partner arbeiten mit GuardDuty?

Zahlreiche Technologiepartner haben GuardDuty bereits integriert und setzen auf dieses Produkt. Auch Anbieter von Beratungsdiensten sowie Service-Provider für Systemintegration und verwaltete Sicherheit besitzen Erfahrung mit GuardDuty. Weitere Informationen finden Sie auf der Seite Amazon GuardDuty Partner.

F: Hilft GuardDuty bei der Erfüllung der Anforderungen des Payment Card Industry Data Security Standard (PCI DSS)?

Foregenix veröffentlichte ein Whitepaper, das eine detaillierte Bewertung der Wirksamkeit von GuardDuty bei der Erfüllung von Anforderungen wie PCI DSS 11.4 enthält, die Techniken zur Erkennung von Eindringlingen an kritischen Punkten im Netzwerk erfordert.

Aktivierung von GuardDuty

F: Wie kann ich GuardDuty aktivieren?

Sie können mit nur wenigen Mausklicks in der AWS-Managementkonsole GuardDuty einrichten und bereitstellen. GuardDuty beginnt direkt nach seiner Aktivierung mit der Analyse fortlaufender Aktivitätsströme bei Konten und Netzwerken, die nahezu in Echtzeit erfolgt und richtig dimensioniert ist. Sie müssen keine zusätzlichen Sicherheitssoftwareprodukte, Sensoren oder Netzwerk-Appliances bereitstellen oder verwalten. Die Bedrohungsinformationen sind bereits im Service integriert und werden kontinuierlich aktualisiert und gepflegt.

F: Kann ich mehrere Konten mit GuardDuty verwalten?

Ja, GuardDuty verfügt über eine Verwaltungsfunktion für mehrere Konten, mit der Sie mehrere AWS-Konten über ein einziges Administratorkonto verknüpfen und verwalten können. Wird diese Funktion genutzt, werden sämtliche Sicherheitserkenntnisse zur Prüfung und Ergreifung von Abhilfemaßnahmen beim Administrator gesammelt. Amazon EventBridge werden bei dieser Konfiguration auch auf das GuardDuty-Administratorkonto aggregiert. Außerdem ist GuardDuty in AWS Organizations integriert, so dass Sie ein Administratorkonto für GuardDuty für Ihre Organisation delegieren können. Dieses delegierte Administrator (DA)-Konto ist ein zentrales Konto, dass alle Ergebnisse zusammenfasst und alle Mitgliedskonten konfigurieren kann.

F: Welche Datenquellen werden von GuardDuty analysiert?

GuardDuty analysiert CloudTrail-Management-Ereignisprotokolle, CloudTrail-S3-Daten-Ereignisprotokolle, VPC-Flow-Protokolle, DNS-Abfrageprotokolle und Amazon-EKS-Audit-Protokolle. GuardDuty kann auch EBS-Volume-Daten auf mögliche Malware scannen, wenn GuardDuty Malware Protection aktiviert ist, und identifiziert verdächtiges Verhalten, das auf bösartige Software in EC2-Instances oder Container-Workloads hinweist. Der Service wurde für die Verarbeitung von großen Datenmengen optimiert, sodass eine Verarbeitung von sicherheitsrelevanten Erkennungen nahezu in Echtzeit möglich ist. Mit GuardDuty erhalten Sie Zugang zu integrierten Erkennungsverfahren, die für die Cloud entwickelt und optimiert wurden. Diese Verfahren werden von GuardDuty Engineering verwaltet und fortlaufend verbessert.

F: Wie lange benötigt GuardDuty bis zum ersten Einsatz?

GuardDuty beginnt nach seiner Aktivierung mit der Analyse, um schädliche oder unbefugte Aktivität aufzuspüren. Wann genau Sie die ersten Erkenntnisse erhalten, hängt von dem Ausmaß der Aktivität bei Ihrem Konto ab. GuardDuty prüft nur Aktivitäten, die nach seiner Aktivierung stattfinden. Historische Daten werden nicht berücksichtigt. Falls GuardDuty mögliche Bedrohungen findet, erhalten Sie in der GuardDuty-Konsole ein entsprechendes Ergebnis.

F: Muss ich CloudTrail, VPC-Flow-Protokolle, DNS-Abfrageprotokolle oder Amazon-EKS-Audit-Protokolle aktivieren, damit GuardDuty funktioniert?

Nein. GuardDuty extrahiert unabhängige Datenströme direkt aus CloudTrail, VPC-Flow-Protokollen, DNS-Abfrageprotokollen und Amazon EKS. Sie müssen die S3-Bucket-Richtlinien oder die Art und Weise, wie Sie Protokolle erfassen und speichern, nicht verwalten. GuardDuty-Berechtigungen werden als Service-verknüpfte Rollen verwaltet. Sie können GuardDuty jederzeit deaktivieren, wodurch alle GuardDuty-Berechtigungen entfernt werden. Dies erleichtert Ihnen die Aktivierung des Services, da eine komplexe Konfiguration vermieden wird. Die mit dem Service verknüpften Rollen verhindern auch, dass eine Fehlkonfiguration der AWS-Identity-and-Access-Management-Berechtigung (IAM) oder eine Änderung der S3-Bucket-Richtlinie den Servicebetrieb beeinträchtigt. Und schließlich machen die Service-verknüpften Rollen GuardDuty extrem effizient bei der Nutzung großer Datenmengen in nahezu Echtzeit mit minimalen bis gar keinen Auswirkungen auf die Leistung und Verfügbarkeit Ihres Kontos oder Ihrer Workloads.

F: Wird die Leistung oder Verfügbarkeit meines Kontos beeinträchtigt, wenn ich GuardDuty aktiviere?

GuardDuty arbeitet völlig unabhängig von Ihren AWS-Ressourcen und sollte daher keine Auswirkungen auf die Leistung oder Verfügbarkeit Ihrer Konten oder Arbeitslasten haben.

F: Werden meine Protokolle von GuardDuty verwaltet oder aufbewahrt?

Nein, Ihre Protokolle werden von GuardDuty weder verwaltet noch aufbewahrt. Sämtliche Daten, die von GuardDuty verbraucht werden, werden danach nahezu in Echtzeit analysiert und gelöscht. Dadurch kann GuardDuty äußerst effizient und kostengünstig agieren. Zudem wird das Risiko einer Datenremanenz verringert. Für die Bereitstellung und Aufbewahrung von Protokollen sollten Sie die AWS-Services für Protokollierung und Überwachung direkt verwenden. Diese enthalten Bereitstellungs- und Aufbewahrungsoptionen mit umfangreichen Funktionen.

F: Wie kann ich verhindern, dass GuardDuty weiterhin meine Protokolle und Datenquellen prüft?

Sie können jederzeit veranlassen, dass GuardDuty die Analyse Ihrer Datenquellen beendet. Hierfür müssen Sie lediglich den Service in den allgemeinen Einstellungen aussetzen. Daraufhin beendet der Service umgehend die Datenanalyse, Ihre bestehenden Erkenntnisse oder Konfigurationen bleiben jedoch erhalten. Sie können den Service auch in den allgemeinen Einstellungen deaktivieren. Dadurch werden alle verbleibenden Daten, einschließlich Ihrer vorhandenen Erkenntnisse und Konfigurationen, gelöscht, bevor die Berechtigungen des Services aufgegeben und der Service zurückgesetzt wird. Sie können auch Funktionen wie GuardDuty S3 Protection oder GuardDuty EKS Protection über die Managementkonsole oder über die AWS CLI selektiv deaktivieren.

GuardDuty-Erkenntnisse

F: Was kann GuardDuty erkennen?

Mit GuardDuty erhalten Sie Zugang zu integrierten Erkennungsverfahren, die für die Cloud entwickelt und optimiert wurden. Die Erkennungsalgorithmen werden von GuardDuty Engineers gepflegt und fortlaufend verbessert. Zu den wichtigsten Erkennungskategorien zählen folgende:

  • Reconnaissance: Aktivitäten, die auf Aufklärungsversuche („Reconnaissance“) durch einen Angreifer hindeuten. Dies kann beispielsweise ungewöhnliche API-Aktivität, ein Port-Scanning zwischen VPCs, ungewöhnliche Muster fehlgeschlagener Anmeldeanforderungen oder nicht geblockte Port-Spionage durch eine bekanntermaßen böswillige IP umfassen.
  • Kompromittierung von Instances: Aktivitäten, die auf die Kompromittierung einer Instance hindeuten, beispielsweise das Mining von Kryptowährungen, Malware mit Domänen-Generation-Algorithmen (DGAs), nach außen gerichtete Denial-of-Service-Aktivität, ein ungewöhnlich hohes Aufkommen an Netzwerkdatenverkehr, ungewöhnliche Netzwerkprotokolle, abgehende Instance-Kommunikation mit einer bekanntermaßen schädlichen IP, von einer externen IP-Adresse verwendete temporäre EC2-Anmeldeinformationen und Datenausschleusung unter Verwendung von DNS.
  • Kompromittierung von Konten: Zu allgemeinen Mustern, die auf die Kompromittierung eines Kontos hindeuten, gehören beispielsweise API-Aufrufe von einem ungewöhnlichen geografischen Standort oder anonymisierenden Proxy, die versuchte Deaktivierung der CloudTrail-Protokollierung, ungewöhnliche Instances oder Infrastrukturstartvorgängen, Infrastrukturbereitstellungen in einer unüblichen Region, die Exfiltration von Anmeldeinformation und API-Aufrufe von bekanntermaßen schädlichen IP-Adressen.
  • Kompromittierung von Buckets: Aktivität, die auf eine Bucket-Kompromittierung hinweist, wie z. B. verdächtige Datenzugriffsmuster, die auf den Missbrauch von Berechtigungsnachweisen hindeuten, ungewöhnliche S3-API-Aktivität von einem Remote-Host, nicht autorisierter S3-Zugriff von bekannten böswilligen IP-Adressen und API-Aufrufe zum Abrufen von Daten in S3 Buckets von einem Benutzer, die noch nie zuvor auf den Bucket zugegriffen oder ihn von einem ungewöhnlichen Ort aus aufgerufen haben. GuardDuty überwacht und analysiert kontinuierlich CloudTrail S3-Datenereignisse (wie z. B. GetObject, ListObjects, DeleteObject), um verdächtige Aktivitäten in allen Ihren S3-Buckets zu erkennen.
  • Malware-Erkennung: GuardDuty startet einen Malware-Erkennungsscan, wenn es verdächtiges Verhalten identifiziert, das auf bösartige Software in EC2-Instanzen oder Container-Workloads hinweist. GuardDuty erstellt temporäre Replikate von EBS-Volumes, die mit solchen EC2-Instances oder Container-Workloads verbunden sind, und scannt die Volume-Replikate nach Trojanern, Würmern, Crypto-Minern, Rootkits, Bots usw., die dazu verwendet werden könnten, die Workloads zu kompromittieren, Ressourcen für böswillige Zwecke umzuwidmen und unbefugten Zugriff auf Daten zu erhalten. GuardDuty Malware Protection generiert kontextbezogene Ergebnisse, mit denen die Quelle des verdächtigen Verhaltens überprüft werden kann. Diese Erkenntnisse können an die zuständigen Administratoren weitergeleitet werden und automatische Abhilfemaßnahmen einleiten.
  • Container-Kompromittierung: Aktivitäten, die ein mögliches bösartiges oder verdächtiges Verhalten in Container-Workloads erkennen lassen, werden durch die kontinuierliche Überwachung und Profilierung von Amazon-EKS-Clustern durch die Analyse der EKS-Audit-Protokolle erkannt.

F: Was sind GuardDuty-Bedrohungsinformationen?

Die GuardDuty-Bedrohungsinformationen bestehen aus IP-Adressen und Domänen, die bekanntermaßen von Angreifern verwendet werden. GuardDuty Threat Intelligence wird bereitgestellt von AWS und Drittanbietern wie Proofpoint und CrowdStrike. Diese Feeds mit Bedrohungsinformationen sind bereits in GuardDuty integriert und werden kostenlos laufend aktualisiert.

F: Kann ich eigene Bedrohungsinformationen angeben?

Ja, GuardDuty ermöglicht es Ihnen, Ihre eigene Liste mit Bedrohungsinformationen oder vertrauenswürdigen IP-Adressen hochzuladen. Wenn diese Funktion verwendet wird, werden die betreffenden Listen nur für Ihr Konto übernommen und nicht an andere Kunden weitergegeben.

F: Wie werden Sicherheitserkenntnisse bereitgestellt?

Wenn GuardDuty eine mögliche Bedrohung erkennt, wird eine ausführliche Sicherheitserkenntnis in der GuardDuty-Konsole und in EventBridge bereitgestellt. Dadurch sind die Maßnahmen besser umsetzbar und lassen sich leichter in bestehende Ereignisverwaltungs- oder Workflow-Systeme integrieren. Die Erkenntnisse beinhalten die Kategorie, betroffene Ressourcen und Metadaten in Verbindung mit der Ressource sowie den Schweregrad.

F: Welches Format haben die GuardDuty-Erkenntnisse?

Die GuardDuty-Erkenntnisse haben ein gängiges JSON-Format (JavaScript Object Notation), das auch von Macie und Amazon Inspector verwendet wird. Dadurch können Kunden und Partner die Sicherheitserkenntnisse von allen drei Services leichter nutzen und diese in ein breiteres Spektrum an Ereignisverwaltungs-, Workflow- oder Sicherheitslösungen einbinden.

F: Wie lange stehen die Sicherheitserkenntnisse in GuardDuty zur Verfügung?

Die Sicherheitserkenntnisse werden 90 Tage lang aufbewahrt und über die GuardDuty-Konsole und APIs zur Verfügung gestellt. Nach 90 Tagen werden die Erkenntnisse gelöscht. Falls sie länger als 90 Tage aufbewahrt werden sollen, können Sie EventBridge für die automatische Übertragung der Erkenntnisse in ein S3-Bucket oder einen sonstigen Datenspeicher zur Langzeitspeicherung aktivieren.

F: Kann ich GuardDuty-Ergebnisse aggregieren?

Ja, Sie haben die Möglichkeit, die von GuardDuty erzeugten Sicherheitserkenntnisse mit Hilfe von EventBridge regionsübergreifend zu aggregieren oder die Ergebnisse in Ihren Datenspeicher (z.B. S3) zu übertragen und dann nach Belieben zu aggregieren. Sie können GuardDuty-Ergebnisse auch an Security Hub senden und dessen regionsübergreifende Aggregationsfunktion nutzen.

F: Kann ich mit GuardDuty automatisierte vorbeugende Maßnahmen ergreifen?

Mit GuardDuty, EventBridge und AWS Lambda bleiben Sie flexibel und können auf der Grundlage einer Sicherheitserkenntnis automatisierte Abhilfemaßnahmen einrichten. Sie können beispielsweise eine Lambda-Funktion erstellen, mit der Ihre AWS-Sicherheitsgruppenregeln auf der Grundlage von Sicherheitserkenntnissen geändert werden. Wenn Sie eine GuardDuty-Erkenntnis erhalten, die vermuten lässt, dass eine Ihrer EC2-Instances von einer bekanntermaßen schädlichen IP ausspioniert wird, können Sie diesem Umstand mit einer EventBridge-Regel begegnen, die eine Lambda-Funktion zur automatischen Änderung Ihrer Sicherheitsgruppenregeln und Einschränkung des Zugriffs an dem betreffenden Port initiiert.

F: Wie werden GuardDuty-Erkennungen entwickelt und verwaltet?

GuardDuty verfügt über ein eigenes Team, das sich voll und ganz auf das Engineering, Verwaltung und Iteration von Erkennungen konzentriert. Dies führt zu einem ständigen Fluss neuer Erkennungen im Service und einer kontinuierlichen Iteration bei bestehenden Erkennungen. Der Service enthält verschiedene Feedback-Mechanismen, mit denen beispielsweise jede Sicherheitserkenntnis in der GuardDuty-Benutzeroberfläche (UI) positiv oder negativ bewertet werden kann. So können Sie ein eigenes Feedback bereitstellen, das in künftige Iterationen von GuardDuty-Erkennungen einfließen kann.

F: Kann ich benutzerdefinierte Erkennungen in Amazon GuardDuty schreiben?

Nein, mit GuardDuty gehören die aufwändigen Verfahren und komplexen Vorgänge für die Entwicklung und Pflege von eigenen benutzerdefinierten Regelsätzen der Vergangenheit an. Neue Erkennungen werden kontiniuerlich auf der Basis von Kundenfeedback und Forschungsergebnissen der AWS-Sicherheitsfachleute und des GuardDuty-Engineering-Teams hinzugefügt. Kunden können jedoch Anpassungen konfigurieren, indem sie eigene Bedrohungs- und Liste vertrauenswürdiger IP-Adressen hinzufügen.

GuardDuty S3 Protection

Wie kann ich mit S3 Protection beginnen, wenn ich bereits GuardDuty verwende?

Bei aktuellen GuardDuty-Konten kann S3 Protection in der Konsole oder über die API aktiviert werden. In der GuardDuty-Konsole können Sie die S3-Protection-Konsolenseite aufrufen und diese Funktion für Ihre Konten aktivieren. Damit beginnt ein 30-tägiger kostenloser Testzeitraum von der GuardDuty-S3-Protection-Funktion.

F: Gibt es eine kostenlose Testversion von GuardDuty für S3 Protection?

Ja, es gibt eine 30-tägige kostenlose Testversion. Jedes Konto in jeder Region erhält eine kostenlose 30-Tage-Testversion von GuardDuty, die die S3-Protection-Funktion umfasst. Konten, für die GuardDuty bereits aktiviert ist, erhalten bei der ersten Aktivierung der Funktion S3 Protection eine 30-tägige kostenlose Testversion.

F: Ich bin ein neuer Benutzer von GuardDuty. Ist S3 Protection standardmäßig für meine Konten aktiviert?

Ja. Bei allen neuen Konten, die GuardDuty über die Konsole oder API aktivieren, ist S3 Protection ebenfalls standardmäßig aktiviert. Bei neuen GuardDuty-Konten, die mit der Funktion automatische Aktivierung von AWS Organizations erstellt werden, ist S3 Protection nicht standardmäßig aktiviert, es sei denn die Option automatische Aktivierung für S3 ist aktiviert.

F: Kann ich GuardDuty S3 Protection aktivieren, ohne den vollständigen GuardDuty-Service (einschließlich der Analyse von VPC-Flow-Protokollen, DNS-Abfrageprotokollen und CloudTrail-Verwaltungsereignissen) zu aktivieren?

Nein, der GuardDuty-Service muss aktiviert werden, um S3 Protection zu nutzen. Aktuelle GuardDuty-Konten haben die Möglichkeit, S3 Protection zu aktivieren, und neue GuardDuty-Konten verfügen standardmäßig über diese Funktion, sobald der GuardDuty-Dienst aktiviert ist.

F: Überwacht GuardDuty alle Buckets in meinem Konto, um meine S3-Bereitstellung zu schützen?

Ja, S3 Protection überwacht standardmäßig alle S3-Buckets in Ihrer Umgebung.

F: Muss ich die CloudTrail-S3-Datenereignisprotokollierung für S3 Protection einschalten?

Nein, GuardDuty hat direkten Zugriff auf die Ereignisprotokolle von CloudTrail S3-Daten. Sie sind nicht verpflichtet, die Protokollierung von S3-Datenereignissen in CloudTrail zu aktivieren, so dass Ihnen die damit verbundenen Kosten nicht entstehen. Beachten Sie, dass GuardDuty die Protokolle nicht speichert und sie nur für seine Analyse verwendet.

GuardDuty EKS Protection

F: Wie funktioniert GuardDuty EKS Protection?

GuardDuty EKS Protection ist eine GuardDuty-Funktion, die die Aktivitäten der Amazon-EKS-Cluster-Kontrollebene durch die Analyse der Amazon-EKS-Audit-Protokolle überwacht. GuardDuty ist in Amazon EKS integriert und hat damit direkten Zugriff auf Amazon-EKS-Prüfungsprotokolle, ohne dass Sie diese Protokolle einschalten oder speichern müssen. Diese Prüfungsprotokolle sind sicherheitsrelevante, chronologische Aufzeichnungen zur Dokumentierung der Aktions-Sequenzen, die auf der Amazon-EKS-Steuerebene ausgeführt werden. Diese Amazon-EKS-Prüfungsprotokolle verleihen GuardDuty die notwendige Sichtbarkeit zur kontinuierlichen Überwachung von Amazon-EKS-API-Aktivitäten und nutzen bewährtes Wissen über Bedrohungen und Anomalieerkennung, um bösartige Aktivitäten oder Konfigurationsänderungen zu erkennen, die Ihre Amazon-EKS-Cluster einem unautorisiertem Zugriff aussetzten könnten. Wenn Bedrohungen erkannt werden, generiert GuardDuty Sicherheitsergebnisse mit dem Bedrohungstyp, dem Schweregrad und Details auf der Container-Ebene wie die Pod-ID, Container-Image-ID und zugeordnete Tags.

F: Welche Bedrohungstypen kann GuardDuty EKS Protection auf meinen Amazon-EKS-Workloads erkennen?

GuardDuty EKS Protection kann Bedrohungen im Zusammenhang mit Benutzer- und Anwendungsaktivitäten erkennen, die in Amazon-EKS-Audit-Protokollen erfasst werden. Zu den Amazon-EKS-Bedrohungserkennungen gehören Amazon-EKS-Cluster, auf die von bekannten böswilligen Akteuren oder von Tor-Knoten aus zugegriffen wird, API-Vorgänge, die von anonymen Benutzern durchgeführt werden und auf eine Fehlkonfiguration hindeuten könnten, sowie Fehlkonfigurationen, die zu einem nicht autorisierten Zugriff auf Amazon-EKS-Cluster führen können. Mithilfe von ML-Modellen kann GuardDuty außerdem Muster erkennen, die mit Techniken zur Berechtigungserweiterung übereinstimmen, z. B. den verdächtigen Start eines Containers mit Root-Zugriff auf den zugrunde liegenden EC2-Host. Eine vollständige Liste aller neuen Erkennungsarten finden Sie unter Amazon GuardDuty-Ergebnistypen.

F: Muss ich Amazon-EKS-Audit-Protokolle einschalten?

Nein, GuardDuty hat direkten Zugriff auf Amazon-EKS-Audit-Protokolle. Beachten Sie, dass GuardDuty diese Protokolle nur zur Analyse verwendet; es speichert sie nicht und Sie müssen nichts aktivieren und auch nichts dafür bezahlen, dass Amazon-EKS-Prüfungsprotokolle an GuardDuty freigegeben werden. Zur Preisoptimierung wendet GuardDuty intelligente Filter an, damit nur eine Teilmenge der Prüfungsprotokolle konsumiert werden, die für die Erkennung von Sicherheitsbedrohungen relevant sind.

F: Gibt es eine kostenlose Testversion von GuardDuty EKS Protection?

Ja, es gibt eine 30-tägige kostenlose Testversion. Jedes neue GuardDuty-Konto in jeder Region erhält eine 30-tägige kostenlose Testversion von GuardDuty, einschließlich GuardDuty-EKS-Protection-Funktion. Bestehende GuardDuty-Konten erhalten eine 30-tägige Testversion von GuardDuty EKS Protection ohne zusätzliche Kosten. Während des Testzeitraums können Sie die Kostenschätzung für nach dem Testzeitraum auf der Nutzungsseite der GuardDuty-Konsole anzeigen. Wenn Sie ein GuardDuty-Administrator sind, sehen Sie die geschätzten Kosten für Ihre Mitgliedskonten. Nach 30 Tagen können Sie die tatsächlichen Kosten dieser Funktion in der AWS-Fakturierungskonsole anzeigen.

Wie kann ich mit GuardDuty EKS Protection beginnen, wenn ich bereits GuardDuty verwende?

GuardDuty EKS Protection muss für jedes individuelle Konto aktiviert werden. Sie können die Funktion für Ihre Konten mit einem einzigen Klick in der GuardDuty-Konsole auf der Seite GuardDuty-EKS-Protection-Konsole aktivieren. Wenn Sie in einer GuardDuty-Konfiguration mit mehreren Konten arbeiten, können Sie GuardDuty EKS Protection für Ihr gesamtes Unternehmen über das GuardDuty-Administratorkonto die GuardDuty-EKS-Protection-Seite aktivieren. Dies wird die kontinuierliche Überwachung für Amazon EKS in allen individuellen Mitgliedskonten aktivieren. Für GuardDuty-Konten, die mithilfe der Funktion „automatische Aktivierung“ von AWS Organizations erstellt wurden, müssen Sie explizit „automatische Aktivierung für Amazon EKS“ einschalten. Sobald diese Funktion für ein Konto aktiviert ist, werden alle bestehenden und zukünftigen Amazon-EKS-Cluster im Konto auf Bedrohungen überwacht, ohne dass eine Konfiguration auf Ihren Amazon-EKS-Clustern erforderlich ist.

F: Ist GuardDuty EKS Protection standardmäßig für meine Konten aktiviert, wenn ich ein neuer GuardDuty-Benutzer bin?

Ja, bei allen neuen Konten, die GuardDuty über die Konsole oder API aktivieren, ist GuardDuty EKS Protection ebenfalls standardmäßig aktiviert. Beachten Sie, dass bei GuardDuty-Konten, die mit der Funktion „automatische Aktivierung“ von AWS Organizations erstellt werden, ist GuardDuty EKS Protection nicht standardmäßig aktiviert, es sei denn die Option „automatische Aktivierung für Amazon EKS“ ist aktiviert.

F: Wie kann ich GuardDuty EKS Protection deaktivieren?

Sie können die Funktion in der Konsole oder über die API deaktivieren. In der GuardDuty-Konsole können Sie GuardDuty EKS Protection für Ihre Konten auf der Konsolenseite GuardDuty EKS Protection deaktivieren. Wenn Sie ein GuardDuty-Administratorkonto haben, können Sie diese Funktion auch für Ihre Mitgliedskonten deaktivieren.

F: Wie kann ich GuardDuty EKS Protection erneut aktivieren, nachdem ich es deaktiviert habe?

Wenn Sie GuardDuty EKS Protection zuvor deaktiviert haben, können Sie die Funktion in der Konsole oder über die API wieder aktivieren. In der GuardDuty-Konsole können Sie GuardDuty-EKS-Protection für Ihre Konten auf der Konsolenseite GuardDuty-EKS-Protection aktivieren.

F: Muss ich GuardDuty EKS Protection auf jedem AWS-Konto und Amazon-EKS-Cluster einzeln aktivieren?

GuardDuty EKS Protection muss für jedes individuelle Konto aktiviert werden. Wenn Sie in eine Multi-Konto-Konfiguration für GuardDuty betreiben, können Sie mit einem einzelnen Klick auf der Konsolenseite von GuardDuty EKS Protection im GuardDuty-Administratorkonto die Bedrohungserkennung für Amazon EKS in Ihrer gesamten Organisation aktivieren. Dies wird die Bedrohungserkennung für Amazon EKS in allen individuellen Mitgliedskonten aktivieren. Sobald diese Funktion für ein Konto aktiviert ist, werden alle bestehenden und zukünftigen Amazon-EKS-Cluster im Konto auf Bedrohungen überwacht und es ist keine manuelle Konfiguration auf Ihren Amazon-EKS-Clustern erforderlich.

F: Werden mir Gebühren berechnet, wenn ich Amazon EKS nicht verwende und GuardDuty EKS Protection in GuardDuty aktiviere?

Es fallen keine Gebühren für GuardDuty EKS Protection an, wenn Sie Amazon EKS nicht nutzen und GuardDuty EKS Protection aktiviert haben. Wenn Sie jedoch mit der Nutzung von Amazon EKS beginnen, wird GuardDuty Ihre Cluster automatisch überwachen und Feststellungen zu erkannten Problemen treffen. Diese Überwachung ist für Sie kostenpflichtig.

F: Kann ich GuardDuty EKS Protection aktivieren, ohne den vollständigen GuardDuty-Service (VPC-Flow-Protokolle, DNS-Abfrageprotokolle und Analyse von CloudTrail-Verwaltungsereignissen) zu aktivieren?

Nein, der GuardDuty-Service muss aktiviert werden, damit GuardDuty EKS Protection auch verfügbar ist.

F: Überwacht GuardDuty EKS Protection Amazon-EKS-Audit-Protokolle für EKS-Bereitstellungen auf AWS Fargate?

Ja, GuardDuty EKS Protection überwacht Amazon-EKS-Audit-Protokolle sowohl aus Amazon-EKS-Cluster, die auf EC2-Instances bereitgestellt werden, als auch von Amazon-EKS-Cluster, die auf Fargate bereitgestellt werden.

F: Überwacht GuardDuty nicht verwaltete Amazon EKS auf EC2 oder Amazon EKS Anywhere?

Derzeit unterstützt diese Funktion nur Amazon-EKS-Bereitstellungen, die auf EC2-Instances in Ihrem Konto oder auf Fargate ausgeführt werden.

F: Wirkt sich die Nutzung von GuardDuty EKS Protection auf die Leistung oder den Preis für die Ausführung von Containern auf Amazon EKS aus?

Nein. GuardDuty EKS Protection ist so konzipiert, dass es keine Auswirkungen auf die Leistung, die Verfügbarkeit oder die Kosten von Amazon-EKS-Workloads hat.

F: Muss ich GuardDuty EKS Protection in jeder AWS-Region einzeln aktivieren?

Ja, GuardDuty ist ein regionaler Service und daher muss GuardDuty EKS Protection in jeder AWS-Region separat aktiviert werden.

GuardDuty Malware Protection

F: Wie funktioniert Amazon GuardDuty Malware Protection?

GuardDuty startet einen Malware-Erkennungsscan, wenn es verdächtiges Verhalten identifiziert, das auf bösartige Software in EC2-Instanzen oder Container-Workloads hinweist. Es scannt ein repliziertes EBS-Volume, das GuardDuty auf der Grundlage des Snapshots Ihres EBS-Volumes erstellt, auf Trojaner, Würmer, Krypto-Miner, Rootkits, Bots und mehr. GuardDuty Malware Protection generiert kontextbezogene Ergebnisse, mit denen die Quelle des verdächtigen Verhaltens überprüft werden kann. Diese Erkenntnisse können auch an die zuständigen Administratoren weitergeleitet werden und automatische Abhilfemaßnahmen einleiten.

F: Welche GuardDuty-EC2-Ergebnistypen lösen einen Malware-Scan aus?

GuardDuty-EC2-Ergebnisse, die einen Malware-Scan auslösen, sind hier aufgeführt.

F: Welche Ressourcen und Dateitypen kann GuardDuty Malware Protection scannen?

Malware Protection unterstützt die Erkennung bösartiger Dateien durch Scannen von EBS, die an EC2-Instances angeschlossen sind. Es kann jede Datei auf dem Volume scannen, und die unterstützten Dateisystemtypen finden Sie hier.

F: Welche Arten von Bedrohungen kann GuardDuty Malware Protection erkennen?

Der Malware-Schutz sucht nach Bedrohungen wie Trojanern, Würmern, Crypto-Minern, Rootkits und Bots, die dazu verwendet werden könnten, Workloads zu kompromittieren, Ressourcen für böswillige Zwecke umzuwidmen und unbefugten Zugriff auf Daten zu erlangen.

F: Muss ich die Protokollierung einschalten, damit GuardDuty Malware Protection funktioniert?

Die Serviceprotokollierung muss nicht aktiviert sein, damit GuardDuty oder die Malware-Schutzfunktion funktionieren. Die Malware-Schutzfunktion ist Teil von GuardDuty, einem AWS-Service, der Informationen aus integrierten internen und externen Quellen nutzt.

F: Wie schafft es GuardDuty Malware Protection, ohne Agenten zu scannen?

Anstatt Sicherheitsagenten zu verwenden, erstellt und scannt GuardDuty Malware Protection eine Replik, die auf dem Snapshot der EBS-Volumes basiert, die mit der potenziell infizierten EC2-Instance oder Container-Workload in Ihrem Konto verbunden sind. Die Berechtigungen, die Sie GuardDuty über eine Service-verknüpfte Rolle erteilt haben, erlauben es dem Service, ein verschlüsseltes Volume-Replikat im Servicekonto von GuardDuty aus dem Snapshot zu erstellen, der in Ihrem Konto verbleibt. GuardDuty Malware Protection scannt dann die Volume-Replik auf Malware.

F: Gibt es eine kostenlose Testversion von GuardDuty Malware Protection?

Ja, jedes neue GuardDuty-Konto in jeder Region erhält eine 30-tägige kostenlose Testversion von GuardDuty, einschließlich Malware-Protection-Funktion. Bestehende GuardDuty-Konten erhalten eine 30-tägige Testversion von Malware Protection ohne zusätzliche Kosten, wenn diese zum ersten Mal in einem Konto aktiviert wird. Während des Testzeitraums können Sie die Kostenschätzung für nach dem Testzeitraum auf der Nutzungsseite der GuardDuty-Konsole anzeigen. Wenn Sie ein GuardDuty-Administrator sind, sehen Sie die geschätzten Kosten für Ihre Mitgliedskonten. Nach 30 Tagen können Sie die tatsächlichen Kosten dieser Funktion in der AWS-Fakturierungskonsole anzeigen.

F: Ich verwende derzeit GuardDuty. Wie kann ich mit GuardDuty Malware Protection beginnen?

Sie können Malware Protection in der GuardDuty-Konsole aktivieren, indem Sie die Seite Malware Protection aufrufen oder die API verwenden. Wenn Sie in einer GuardDuty-Konfiguration mit mehreren Konten arbeiten, können Sie die Funktion für Ihr gesamtes Unternehmen auf der Konsolenseite Malware Protection des GuardDuty-Administratorkontos aktivieren. Dies wird die Überwachung für Malware in allen individuellen Mitgliedskonten aktivieren. Für GuardDuty-Konten, die mithilfe der Funktion „automatische Aktivierung“ von AWS Organizations erstellt wurden, müssen Sie explizit die Option „automatische Aktivierung für Malware Protection“ einschalten.

F: Ich bin ein neuer Benutzer von GuardDuty. Ist Malware Protection standardmäßig für meine Konten aktiviert?

Ja, bei jedem neuen Konto, das GuardDuty über die Konsole oder API aktiviert, ist standardmäßig auch GuardDuty Malware Protection aktiviert. Für neue GuardDuty-Konten, die mithilfe der Funktion „automatische Aktivierung“ von AWS Organizations erstellt wurden, müssen Sie explizit die Option„automatische Aktivierung für Malware Protection“ einschalten. 

F: Wie kann ich GuardDuty Malware Protection deaktivieren?

Sie können die Funktion in der Konsole oder über die API deaktivieren. In der GuardDuty-Konsole finden Sie auf der Konsolenseite Malware Protection eine Option zum Deaktivieren von Malware Protection für Ihre Konten. Wenn Sie ein GuardDuty-Administratorkonto haben, können Sie Malware Protection auch für Ihre Mitgliedskonten deaktivieren.

F: Wie kann ich GuardDuty Malware Protection erneut aktivieren, nachdem ich es deaktiviert habe?

Wenn Malware Protection deaktiviert war, können Sie die Funktion in der Konsole oder über die API aktivieren. Sie können Malware Protection für Ihre Konten in der GuardDuty-Konsole auf der Konsolenseite Malware Protection aktivieren.

F: Wenn während eines Abrechnungszeitraums keine GuardDuty-Malware-Scans durchgeführt werden, fallen dann Gebühren an?

Nein, es fallen keine Gebühren für Malware Protection an, wenn während eines Abrechnungszeitraums keine Scans auf Malware durchgeführt werden. Sie können die Kosten dieser Funktion in der AWS-Fakturierungskonsole anzeigen.

F: Unterstützt GuardDuty Malware Protection die Verwaltung mehrerer Konten?

Ja, GuardDuty verfügt über eine Verwaltungsfunktion für mehrere Konten, mit der Sie mehrere AWS-Konten über ein einziges Administratorkonto verknüpfen und verwalten können. GuardDuty verfügt durch die Integration mit AWS Organizations über die Verwaltung mehrere Konten. Diese Integration hilft Sicherheits- und Compliance-Teams, die vollständige Abdeckung von GuardDuty, einschließlich Malware Protection, für alle Konten in einem Unternehmen sicherzustellen.

F: Muss ich Konfigurationsänderungen vornehmen, Software bereitstellen oder meine AWS-Bereitstellungen modifizieren?

Nein. Sobald die Funktion aktiviert ist, wird GuardDuty Malware Protection einen Malware-Scan als Reaktion auf relevante EC2-Ergebnisse initiieren. Sie müssen keine Agenten einrichten, keine Protokollquellen aktivieren und keine anderen Konfigurationsänderungen vornehmen.

F: Beeinträchtigt die Verwendung von GuardDuty Malware Protection die Leistung meiner Workloads?

GuardDuty Malware Protection ist so konzipiert, dass die Leistung Ihrer Workloads nicht beeinträchtigt wird. Beispielsweise können EBS-Volume-Snapshots, die für die Malware-Analyse erstellt werden, nur einmal innerhalb von 24 Stunden erzeugt werden. GuardDuty Malware Protection behält die verschlüsselten Replikate und Snapshots nach Abschluss eines Scans noch einige Minuten lang bei. Darüber hinaus nutzt GuardDuty Malware Protection die GuardDuty-Rechenressourcen für das Scannen von Malware anstelle von Kunden-Rechenressourcen.

F: Muss ich GuardDuty Malware Protection in jeder AWS-Region einzeln aktivieren?

Ja, GuardDuty ist ein regionaler Service und die Malware Protection muss in jeder AWS-Region separat aktiviert werden.

F: Wie verwendet GuardDuty Malware Protection Verschlüsselung?

GuardDuty Malware Protection scannt eine Replik, die auf dem Snapshot der EBS-Volumes basiert, die mit der potenziell infizierten EC2-Instance oder Container-Workload in Ihrem Konto verbunden sind. Wenn Ihre EBS-Volumes mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind, haben Sie die Möglichkeit, Ihren AWS-Key-Management-Service-Schlüssel (KMS) für GuardDuty freizugeben, und der Service verwendet denselben Schlüssel zur Verschlüsselung des replizierten EBS-Volumes. Bei unverschlüsselten EBS-Volumes verwendet GuardDuty seinen eigenen Schlüssel, um das replizierte EBS-Volume zu verschlüsseln.

F: Wird das EBS-Volume-Replikat in derselben Region analysiert wie das Original-Volume?

Ja, alle Daten des replizierten EBS-Volumes (und der Snapshot, auf dem das replizierte Volume basiert) bleiben in der gleichen Region wie das ursprüngliche EBS-Volume.

F: Wie kann ich die Ausgaben für GuardDuty Malware Protection abschätzen und kontrollieren?

Jedes neue GuardDuty-Konto in jeder Region erhält eine 30-tägige kostenlose Testversion von GuardDuty, einschließlich Malware-Protection-Funktion. Bestehende GuardDuty-Konten erhalten eine 30-tägige Testversion von Malware Protection ohne zusätzliche Kosten, wenn diese zum ersten Mal in einem Konto aktiviert wird. Während des Testzeitraums können Sie die Kostenschätzung für nach dem Testzeitraum auf der Nutzungsseite der GuardDuty-Konsole abschätzen. Wenn Sie ein GuardDuty-Administrator sind, sehen Sie die geschätzten Kosten für Ihre Mitgliedskonten. Nach 30 Tagen können Sie die tatsächlichen Kosten dieser Funktion in der AWS-Fakturierungskonsole anzeigen.

Der Preis für diese Funktion basiert auf den GB an gescannten Daten in einem Volume. Sie können die Scan-Optionen in der Konsole anpassen, um einige EC2-Instanzen mit Hilfe von Tags zu markieren, die von der Überprüfung ausgenommen werden sollen, um so die Kosten zu kontrollieren. Darüber hinaus scannt GuardDuty eine EC2-Instance nur einmal alle 24 Stunden. Wenn GuardDuty innerhalb von 24 Stunden mehrere EC2-Erkenntnisse für eine EC2-Instance generiert, wird nur die erste relevante EC2-Erkenntnis überprüft. Wenn die EC2-Erkenntnisse für eine Instance 24 Stunden nach dem letzten Malware-Scan fortbestehen, wird ein neuer Malware-Scan für diese Instance eingeleitet.

F: Kann ich die von GuardDuty Malware Protection erstellten Snapshots behalten?

Ja, es gibt eine Einstellung, mit der Sie die Speicherung von Snapshots aktivieren können, wenn der Malware-Protection-Scan Malware entdeckt. Sie können diese Einstellung in der GuardDuty-Konsole auf der Seite Einstellungen aktivieren. Standardmäßig werden Snapshots einige Minuten nach Abschluss eines Scans und nach 24 Stunden, wenn der Scan nicht abgeschlossen wurde, gelöscht.

F: Wie lange wird ein repliziertes EBS-Volumen standardmäßig maximal aufbewahrt?

GuardDuty Malware Protection bewahrt jedes erzeugte und gescannte EBS-Replikat-Volume bis zu 24 Stunden lang auf. Standardmäßig werden replizierte EBS-Volumen einige Minuten nach Abschluss eines Scanvorgangs von GuardDuty Malware Protection gelöscht. In einigen Fällen kann es jedoch vorkommen, dass GuardDuty Malware Protection ein repliziertes EBS-Volumen länger als 24 Stunden aufbewahren muss, wenn ein Serviceausfall oder ein Verbindungsproblem den Malware-Scan beeinträchtigt. In diesem Fall hält GuardDuty Malware Protection das replizierte EBS-Volume bis zu sieben Tage lang zurück, um dem Service Zeit zu geben, den Ausfall oder das Verbindungsproblem zu beheben. GuardDuty Malware Protection löscht das replizierte EBS-Volume, nachdem der Ausfall oder die Störung behoben wurde oder sobald die verlängerte Aufbewahrungsfrist abgelaufen ist.

F: Werden mehrere GuardDuty-Erkenntnisse für eine einzelne EC2-Instance oder Container-Workload, die auf mögliche Malware hinweisen, mehrere Malware-Scans auslösen?

Nein, GuardDuty scannt nur einmal alle 24 Stunden eine Replik, die auf dem Snapshot der EBS-Volumen basiert, die mit der potenziell infizierten EC2-Instance oder dem Container-Workload verbunden sind. Selbst wenn GuardDuty mehrere Erkenntnisse generiert, die für einen Malware-Scan in Frage kommen, werden keine weiteren Scans initiiert, wenn seit einem früheren Scan weniger als 24 Stunden vergangen sind. Wenn GuardDuty innerhalb von 24 Stunden nach dem letzten Malware-Scan einen qualifizierten Befund generiert, wird GuardDuty Malware Protection einen neuen Malware-Scan für diesen Workload initiieren.

F: Wenn ich GuardDuty deaktiviere, muss ich dann auch die Funktion Malware Protection deaktivieren?

Nein, die Deaktivierung des GuardDuty-Service deaktiviert auch die Funktion Malware Protection.

GuardDuty RDS Protection (Vorschauversion)

F: Wie funktioniert GuardDuty RDS Protection?

GuardDuty RDS Protection lässt sich mit einem einzigen Klick in der GuardDuty-Konsole aktivieren. Sie müssen weder Agents manuell bereitstellen noch Datenquellen aktivieren oder Berechtigungen konfigurieren. GuardDuty RDS Protection nutzt speziell angepasste ML-Modelle und beginnt mit der Analyse und Erstellung von Profilen für Zugriffsversuche auf bestehende und neue Amazon-Aurora-Datenbanken. Wenn verdächtige Verhaltensweisen oder Versuche von bekannten böswilligen Akteuren identifiziert werden, sendet GuardDuty verwertbare Sicherheitsergebnisse an die GuardDuty-Konsole, die Amazon Relational Database Service (RDS)-Konsole, AWS Security Hub und Amazon EventBridge und ermöglicht so die Integration in bestehende Sicherheitsereignis-Management- oder Workflow-Systeme. Erfahren Sie mehr darüber, wie GuardDuty RDS Protection die Überwachung der RDS-Anmeldeaktivitäten nutzt.

F: Wie kann ich mit der Erkennung von Bedrohungen für Aurora-Datenbanken beginnen, wenn ich bereits GuardDuty verwende?

Bei aktuellen GuardDuty-Konten kann die Funktion in der Konsole oder über die API aktiviert werden. In der GuardDuty-Konsole können Sie die GuardDuty-RDS-Protection-Konsolenseite aufrufen und diese Funktion für Ihre Konten aktivieren. Nun beginnt der Vorschauzeitraum für die GuardDuty-RDS-Protection-Funktion für Aurora-Datenbanken. Erfahren Sie mehr über GuardDuty RDS Protection.

F: Ich bin ein neuer Benutzer von GuardDuty. Ist die Erkennung von Bedrohungen für Aurora-Datenbanken standardmäßig für meine Konten aktiviert?

Im Vorschauzeitraum ist GuardDuty RDS Protection nicht standardmäßig für neue GuardDuty-Kunden aktiviert. Nach der Aktivierung von GuardDuty können neue Kunden GuardDuty RDS Protection in der Konsole oder über die API aktivieren.

F: Kann ich GuardDuty RDS Protection aktivieren, ohne den vollständigen GuardDuty-Service (einschließlich der Analyse von Amazon Virtual Private Cloud (VPC)-Flow-Protokollen, DNS-Abfrageprotokollen und AWS-CloudTrail-Verwaltungsereignissen) zu aktivieren?

Nein, der GuardDuty-Service muss aktiviert werden, um GuardDuty RDS Protection zu nutzen.

 

F: Wird GuardDuty RDS Protection in Regionen verfügbar sein, in denen derzeit GuardDuty verfügbar ist?

Im Vorschauzeitraum wird die Bedrohungserkennung von GuardDuty für Aurora-Datenbanken in diesen fünf Regionen verfügbar sein: USA Ost (Ohio), USA Ost (Nord-Virginia), USA West (Oregon), Asien-Pazifik (Tokio) und Europa (Irland).

F: Welche Amazon-Aurora-Version(en) wird/werden von GuardDuty RDS Protection unterstützt?

Bitte sehen Sie sich die Liste der unterstützten Amazon-Aurora-Datenbankversionen an.

F: Wirkt sich die Nutzung von GuardDuty RDS Protection auf die Leistung oder den Preis für die Ausführung von Aurora-Datenbanken aus?

Nein. Die Bedrohungserkennung von GuardDuty für Aurora-Datenbanken wurde speziell so entwickelt, dass sie keine Auswirkungen auf die Leistung, die Verfügbarkeit oder die Kosten Ihrer Amazon-Aurora-Datenbanken hat.
 

Weitere Informationen über die Produktpreise

Siehe Preisbeispiele und Informationen zu kostenlosen Testversionen

Weitere Informationen 
Registrieren Sie sich für eine kostenlose Testversion

Erhalten Sie Zugang zur kostenlosen Testversion von Amazon GuardDuty. 

Die kostenlose Testversion starten 
Beginnen Sie mit der Entwicklung in der Konsole

Beginnen Sie mit Amazon GuardDuty in der AWS-Konsole.

Anmelden