Übersicht

Amazon GuardDuty ist ein intelligenter Bedrohungserkennungsservice, mit dem Kunden ihre AWS-Konten und -Workloads genauer und einfacher dauerhaft überwachen und schützen können. GuardDuty analysiert Milliarden von Ereignissen bei Ihren AWS-Konten mithilfe von AWS CloudTrail (AWS-Benutzeraktivität und API-Aktivität in Ihren Konten), Amazon VPC Flow Logs (Daten des Netzwerkdatenverkehrs) und DNS-Protokollen (Namensabfragemuster).

Die Amazon GuardDuty-Bedrohungserkennung spürt Aktivität auf, die mit einer Kompromittierung von Konten oder Instances sowie mit böswilligen Aufklärungsversuchen in Zusammenhang stehen könnte. So erkennt GuardDuty beispielsweise ungewöhnliche API-Aufrufe, verdächtige abgehende Kommunikation mit bekanntermaßen schädlichen IP-Adressen oder möglichen Datendiebstahl, bei dem DNS-Abfragen als Transportmechanismus genutzt werden. GuardDuty liefert durch Machine Learning, das um Bedrohungsinformationen wie Listen schädlicher IPs und Domänen ergänzt wird, präzisere Erkenntnisse.

Mit nur wenigen Mausklicks in der AWS-Managementkonsole kann Amazon GuardDuty aktiviert werden, damit Kunden eine intelligentere und kostengünstigere Option zur Bedrohungserkennung in der AWS Cloud erhalten.

Präzise Bedrohungserkennung auf Kontoebene

Mit Amazon GuardDuty erhalten Sie eine präzise Bedrohungserkennung im Zusammenhang mit der Kompromittierung von Konten, deren schnelle Erkennung besonders schwierig sein kann, wenn Sie das System nicht ständig quasi in Echtzeit im Hinblick auf bestimmte Faktoren überwachen. GuardDuty kann Anzeichen eines angegriffenen Kontos erkennen. Ein Beispiel hierfür ist der Zugriff auf AWS-Ressourcen von einem ungewöhnlichen geografischen Standpunkt aus, der zu einer unüblichen Tageszeit erfolgt. Bei programmgesteuerten AWS-Konten prüft GuardDuty, ob ungewöhnliche API-Aufrufe ausgegeben werden; dies können beispielsweise Versuche sein, die Kontoaktivität zu verschleiern, indem die CloudTrail-Protokollierung deaktiviert wird. Auch das Erstellen von Snapshots einer Datenbank von einer schädlichen IP-Adresse aus ist ein typisches Beispiel.

Kontinuierliche Überwachung mehrerer AWS-Konten ohne Mehrkosten und -aufwand

Amazon GuardDuty überwacht und analysiert fortlaufend die in AWS CloudTrail, VPC Flow Logs und DNS-Protokollen gefundenen Ereignisdaten zu Ihren AWS-Konten und Workloads. Die Bereitstellung und Wartung zusätzlicher Sicherheitssoftware oder -infrastruktur ist nicht erforderlich. Durch die Verknüpfung Ihrer AWS-Konten können Sie die Bedrohungserkennung zusammenführen und müssen nicht mehr kontenspezifisch agieren. Außerdem erübrigen sich die Sammlung, Analyse und Korrelierung hoher AWS-Datenmengen aus mehreren Konten. Dadurch können Sie sich darauf konzentrieren, wie Sie schnell reagieren und Ihr Unternehmen dauerhaft schützen können. Sie können sich auch weiterhin ganz der Skalierung und Entwicklung von Innovationen in der AWS Cloud zuwenden.

Für die Cloud entwickelte und optimierte Bedrohungserkennungen

Mit Amazon GuardDuty erhalten Sie Zugang zu integrierten Erkennungsverfahren, die für die Cloud entwickelt und optimiert wurden. Die Erkennungsalgorithmen werden von AWS Security gepflegt und fortlaufend verbessert. Zu den wichtigsten Erkennungskategorien zählen folgende:

Reconnaissance -- Aktivitäten, die auf Aufklärungsversuche ("Reconnaissance") durch einen Angreifer hindeuten. Dies kann beispielsweise ungewöhnliche API-Aktivität, ein Port-Scanning zwischen VPCs, ungewöhnliche Muster fehlgeschlagener Anmeldeanforderungen oder nicht geblockte Port-Spionage durch eine bekanntermaßen böswillige IP umfassen.

Kompromittierung von Instances -- Aktivitäten, die auf die Kompromittierung einer Instance hindeuten, beispielsweise das Mining von Kryptowährungen, Backdoor Command and Control (C&C) -Aktivitäten, Malware mit Domain-Generation-Algorithmen (DGAs), nach außen gerichtete Denial-of-Service-Aktivität, ein ungewöhnlich hohes Aufkommen an Netzwerkdatenverkehr, ungewöhnliche Netzwerkprotokolle, abgehende Instance-Kommunikation mit einer bekanntermaßen schädlichen IP, von einer externen IP-Adresse verwendete temporäre Amazon EC2-Anmeldeinformationen und Datenausschleusung unter Verwendung von DNS.

Kompromittierung von Konten -- Zu allgemeinen Mustern, die auf die Kompromittierung eines Kontos hindeuten, gehören beispielsweise API-Aufrufe von einem ungewöhnlichen geografischen Standort oder anonymisierenden Proxy, die versuchte Deaktivierung der AWS CloudTrail-Protokollierung, Veränderungen, die die Kennwortrichtlinie des Kontos schwächen, ungewöhnliche Vorkommen von Infrastrukturstartvorgängen, Infrastrukturbereitstellungen in einer unüblichen Region und API-Aufrufe von bekanntermaßen schädlichen IP-Adressen.

Klicken Sie, um eine vollständige Liste der GuardDuty-Suchtypen zu erhalten.

GuardDuty bietet solch ausgereifte Erkennungen durch die Nutzung von maschinellem Lernen und Anomalieerkennung. Damit können Bedrohungen wie etwa ungewöhnliche API-Aufrufmuster oder böswilliges IAM-Benutzerverhalten, die früher schwierig zu ermitteln waren, aufgespürt werden. Zudem verfügt GuardDuty über integrierte Bedrohungsinformationen, darunter Listen mit schädlichen Domänen oder IP-Adressen von AWS Security und branchenführenden Drittanbietern im Sicherheitsbereich wie Proofpoint und CrowdStrike.

GuardDuty stellt eine Alternative zur Erstellung von lokalen Lösungen dar. Überlassen Sie GuardDuty die Pflege von komplexen benutzerdefinierten Regeln oder die Entwicklung Ihrer Bedrohungsinformationen mit bekannten schädlichen IP-Adressen. Mit GuardDuty gehören die mühsamen Aufgaben und unnötige Komplexität, die mit der Überwachung und dem Schutz Ihrer AWS-Konten und -Workloads einhergehen, der Vergangenheit an.

Schweregrade von Bedrohungen für eine effiziente Priorisierung

Amazon GuardDuty gibt drei Schweregrade an ("Niedrig", "Mittel" und "Hoch"), damit Kunden ihre Reaktion auf mögliche Bedrohungen entsprechend priorisieren können. Der Schweregrad "Niedrig" weist auf verdächtige oder böswillige Aktivität hin, die vor einem erfolgreichen Angriff auf Ihre Ressource abgeblockt werden konnte. Der Schweregrad "Mittel" weist auf verdächtige Aktivität hin. Dies kann beispielsweise eine hohe Menge an Datenverkehr sein, die an einen fernen Host übermittelt wird, der sich hinter dem Tor-Netzwerk verbirgt, oder eine Aktivität, die vom üblichen Verhalten abweicht. Der Schweregrad "Hoch" weist darauf hin, dass die fragliche Ressource (z. B. eine EC2-Instance oder eine Gruppe von IAM-Benutzeranmeldeinformationen) erfolgreich angegriffen wurde und aktiv für unbefugte Zwecke verwendet wird.

Automatisierte Reaktion auf Bedrohungen und Abhilfemaßnahmen

Amazon GuardDuty bietet für automatisierte sicherheitsrelevante Reaktionen auf Sicherheitserkenntnisse HTTPS-APIs, CLI-Tools und AWS CloudWatch Events. Sie können beispielsweise den Reaktionsworkflow automatisieren, indem Sie CloudWatch Events als Ereignisquelle für die Auslösung einer AWS Lambda-Funktion verwenden.

Hochverfügbare Bedrohungserkennung

Amazon GuardDuty wurde für eine automatische Verwaltung der Ressourcennutzung konzipiert, die auf dem Gesamtaktivitätsgrad bei Ihren AWS-Konten und -Workloads basiert. GuardDuty fügt die Erkennungskapazität nur dann hinzu, wenn sie tatsächlich benötigt wird, während die Nutzung verringert wird, wenn die Kapazität nicht mehr erforderlich ist. Ab sofort verfügen Sie über eine preiswerte Architektur, die bei minimalen Kosten dafür sorgt, dass Ihnen die benötigte Verarbeitungsleistung für Ihre Sicherheit zur Verfügung steht. Sie müssen nur für die tatsächlich genutzte Erkennungskapazität zahlen. Mit GuardDuty erhalten Sie unabhängig von Ihrer Größe die richtig dimensionierte Sicherheit.

Bereitstellung mit nur einem Mausklick ohne Bereitstellung und Verwaltung zusätzlicher Software oder Infrastruktur

Mit nur einem Mausklick in der AWS-Managementkonsole oder einem einzelnen API-Aufruf können Sie Amazon GuardDuty für ein Einzelkonto aktivieren. Zur Aktivierung von GuardDuty für mehrere Konten sind nur einige weitere Mausklicks in der Konsole erforderlich. GuardDuty beginnt direkt nach seiner Aktivierung mit der Analyse fortlaufender Aktivitätsströme bei Konten und Netzwerken, die nahezu in Echtzeit erfolgt und richtig dimensioniert ist. Sie müssen keine zusätzlichen Sicherheitssoftwareprodukte, Sensoren oder Netzwerk-Appliances bereitstellen oder verwalten. Die Bedrohungsinformationen sind bereits im Service integriert und werden kontinuierlich aktualisiert und gepflegt.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Mehr über die Produktpreise erfahren

Siehe Preisbeispiele und Informationen zu kostenlosen Testversionen

Weitere Informationen 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Registrieren Sie sich für eine kostenlose Testversion

Erhalten Sie Zugang zur kostenlosen Testversion von Amazon GuardDuty. 

Das kostenlose Testprogramm starten 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Mit der Entwicklung in der Konsole beginnen

Beginnen Sie mit Amazon GuardDuty in der AWS-Konsole.

Anmelden