Amazon GuardDuty – Häufig gestellte Fragen

Übersicht über den Service

GuardDuty ist ein intelligenter Service zur Bedrohungserkennung, der Ihre AWS-Konten, Workloads, Laufzeitaktivitäten und Daten kontinuierlich auf bösartige Aktivitäten überwacht. Wenn potenziell bösartige Aktivitäten wie anomales Verhalten, die Exfiltration von Anmeldeinformationen oder die Kommunikation mit der Command-and-Control-Infrastruktur (C2) entdeckt werden, generiert GuardDuty detaillierte Sicherheitserkenntnisse, die für die Sicherheitstransparenz und zur Unterstützung bei der Behebung von Problemen genutzt werden können.

GuardDuty macht es leichter, eine kontinuierliche Überwachung Ihrer AWS-Konten, -Workloads und -Laufzeitaktivitäten zu ermöglichen. GuardDuty ist so konzipiert, dass es völlig unabhängig von Ihren Ressourcen funktioniert und keine Auswirkungen auf die Leistung oder Verfügbarkeit Ihrer Workloads hat. Der Service und seine integrierten Bedrohungsinformationen, die Anomalieerkennung. das Machine Learning und das Malware-Scanning sind vollständig verwaltet. GuardDuty stellt detaillierte und umsetzbare Warnungen zur Verfügung, die so konzipiert sind, dass sie in bestehende Ereignisverwaltungs- und Workflowsysteme integriert werden können. Für das Produkt fallen keine Vorlaufkosten an und Sie bezahlen nur für die analysierten Ereignisse. Es sind weder Softwarebereitstellungen noch Abonnements von Feeds mit Bedrohungsinformationen erforderlich.

GuardDuty ist ein Pay-as-you-go-Dienst, und Sie zahlen nur für die Nutzung, die Ihnen entsteht. Die Preise für GuardDuty basieren auf dem Volumen der analysierten Serviceprotokolle, virtuellen CPUs (vCPUs) oder Aurora Serverless v2 Instance Aurora Capacity Units (ACUs) für die Amazon RDS Ereignisanalyse, der Anzahl und Größe der Arbeitslasten von Amazon Elastic Kubernetes Service (Amazon EKS) oder Amazon Elastic Container Service (Amazon ECS), die zur Laufzeit überwacht werden, und dem Volumen der auf Malware gescannten Daten.

Die analysierten Serviceprotokolle werden zur Kostenoptimierung gefiltert und direkt in GuardDuty integriert, sodass Sie sie nicht separat aktivieren oder bezahlen müssen. Wenn EKS Runtime Monitoring für Ihr Konto aktiviert ist, werden Ihnen keine Kosten für die Analyse von VPC-Flow-Protokollen aus Instances berechnet, in denen der GuardDuty-Agent bereitgestellt und aktiv ist. Der Agent der Laufzeit-Sicherheit liefert uns ähnliche (und mehr kontextuelle) Netzwerk-Telemetriedaten. Um Kunden doppelte Gebühren zu vermeiden, berechnen wir daher keine Gebühren für VPC-Ablaufprotokolle von Amazon Elastic Compute Cloud (Amazon EC2)-Instances, auf denen der Agent installiert ist.

Unter Preise von Amazon GuardDuty finden Sie zusätzliche Informationen und Preisbeispiele.

Die geschätzten Kosten stellen die Kosten für das individuelle Zahlungskonto dar, und Sie sehen die abgerechnete Nutzung und die durchschnittlichen täglichen Kosten für jedes Mitgliedskonto im GuardDuty-Administratorkonto. Sie müssen zum individuellen Konto gehen, wenn Sie die detaillierten Nutzungsinformationen sehen möchten.

Ja. Jeder Neukunde von GuardDuty kann den Service 30 Tage lang kostenlos testen. Während der kostenlosen Testphase können Sie den gesamten Funktionsumfang und das ganze Erkennungsspektrum nutzen. Während des Testzeitraums können Sie die Kostenschätzung für nach dem Testzeitraum auf der Nutzungsseite der GuardDuty-Konsole anzeigen. Wenn Sie ein GuardDuty-Administrator sind, sehen Sie die geschätzten Kosten für Ihre Mitgliedskonten. Nach 30 Tagen können Sie die tatsächlichen Kosten dieser Funktion in der AWS-Fakturierungskonsole anzeigen.

Neue und vorhandene GuardDuty-Kontobesitzer, die ein GuardDuty-Feature noch nicht aktiviert haben, können dies 30 Tage lang kostenlos im Rahmen des kostenlosen AWS-Kontingents testen (für das Feature Malware Protection ist die kostenlose Testversion nur für von GuardDuty initiierte Malware-Scans für Amazon-EBS-Daten-Volumes verfügbar. Es gibt keine kostenlose Testversion für Malware Protection für Amazon S3). Während der kostenlosen Testphase und danach können Sie Ihre geschätzten monatlichen Ausgaben jederzeit auf der Seite zur Nutzung der GuardDuty-Konsole nach Datenquellen aufgeschlüsselt verfolgen.

GuardDuty bietet eine umfassende Sicherheitsüberwachung Ihrer AWS-Konten, -Workloads und -Daten, um Bedrohungen zu erkennen, wie z. B. die Aufklärung durch Angreifer, die Kompromittierung von Instances, Konten, Buckets oder Amazon-EKS-Clustern, sowie Malware. Macie ist ein vollständig verwalteter Service zum Auffinden sensibler Daten, der ML und Mustervergleiche verwendet, um Ihre sensiblen Daten in Amazon Simple Storage Service (Amazon S3) zu finden.

Bei GuardDuty handelt es sich um einen regionalen Service. Selbst wenn mehrere Konten aktiviert sind und mehrere AWS-Regionen verwendet werden, verbleiben die Sicherheitserkenntnisse von GuardDuty in den Regionen, in denen die zugrunde liegenden Daten generiert wurden. Dadurch ist sichergestellt, dass sich alle analysierten Daten nur in ihren Regionen befinden und die regionalen AWS-Grenzen nicht überschreiten. Sie haben jedoch die Möglichkeit, die von GuardDuty erzeugten Sicherheitserkenntnisse mit Hilfe von Amazon EventBridge regionsübergreifend zu aggregieren oder die Ergebnisse in Ihren Datenspeicher (z. B. S3) zu übertragen und dann nach Belieben zu aggregieren. Sie können GuardDuty-Ergebnisse auch an AWS Security Hub senden und dessen regionsübergreifende Aggregationsfunktion nutzen.

Die regionale Verfügbarkeit von GuardDuty ist in der Liste regionaler AWS-Services aufgeführt. Eine vollständige Liste der Regionen, in denen GuardDuty-Features verfügbar sind, finden Sie unter Regionale Verfügbarkeit von Features.

Zahlreiche Technologiepartner haben GuardDuty bereits integriert und setzen auf dieses Produkt. Auch Anbieter von Beratungsdiensten sowie Service-Provider für Systemintegration und verwaltete Sicherheit besitzen Erfahrung mit GuardDuty. Weitere Informationen finden Sie auf der Seite Amazon-GuardDuty-Partner.

Foregenix veröffentlichte ein Whitepaper, das eine detaillierte Bewertung der Wirksamkeit von GuardDuty bei der Erfüllung von Anforderungen wie PCI DSS 11.4 enthält, die Techniken zur Erkennung von Eindringlingen an kritischen Punkten im Netzwerk erfordert.

Aktivierung von GuardDuty

Sie können GuardDuty in wenigen Schritten in der AWS-Managementkonsole einrichten und bereitstellen. GuardDuty beginnt direkt nach seiner Aktivierung mit der Analyse fortlaufender Aktivitätsströme bei Konten und Netzwerken, die nahezu in Echtzeit erfolgt und richtig dimensioniert ist. Sie müssen keine zusätzlichen Sicherheitssoftwareprodukte, Sensoren oder Netzwerk-Appliances bereitstellen oder verwalten. Die Bedrohungsinformationen sind bereits im Service integriert und werden kontinuierlich aktualisiert und gepflegt.

Ja, GuardDuty verfügt über eine Verwaltungsfunktion für mehrere Konten, mit der Sie mehrere AWS-Konten über ein einziges Administratorkonto verknüpfen und verwalten können. Wird diese Funktion genutzt, werden sämtliche Sicherheitserkenntnisse zur Prüfung und Ergreifung von Abhilfemaßnahmen beim Administrator gesammelt. EventBridge-Events werden bei dieser Konfiguration auch auf das GuardDuty-Administratorkonto aggregiert. Außerdem ist GuardDuty in AWS Organizations integriert, so dass Sie ein Administratorkonto für GuardDuty für Ihre Organisation delegieren können. Dieses delegierte Administrator (DA)-Konto ist ein zentrales Konto, dass alle Ergebnisse zusammenfasst und alle Mitgliedskonten konfigurieren kann.

Zu den grundlegenden Datenquellen, die GuardDuty analysiert, gehören: AWS CloudTrail-Verwaltungsereignisprotokolle, CloudTrail-Verwaltungsereignisse sowie Amazon-EC2-VPC-Flow-Protokolle und DNS-Abfrageprotokolle. GuardDuty-Schutzpläne überwachen andere Ressourcentypen, darunter CloudTrail-S3-Datenereignisse (S3 Protection), Amazon EKS-Auditprotokolle und Laufzeitaktivitäten für Amazon EKS (EKS Protection), Amazon-ECS-Laufzeitaktivitäten (ECS-Laufzeitüberwachung), Amazon-EC2-Laufzeitaktivitäten (EC2-Laufzeitüberwachung), Amazon-EBS-Volumendaten (Malware-Schutz), Amazon-Aurora-Anmeldeereignisse (RDS-Schutz) und Netzwerkaktivitätsprotokolle (Lambda Protection). Der Service wurde für die Verarbeitung von großen Datenmengen optimiert, sodass eine Verarbeitung von sicherheitsrelevanten Erkennungen nahezu in Echtzeit möglich ist. Mit GuardDuty erhalten Sie Zugang zu integrierten Erkennungsverfahren, die für die Cloud entwickelt und optimiert wurden. Diese Verfahren werden von GuardDuty Engineering verwaltet und fortlaufend verbessert.

GuardDuty beginnt nach seiner Aktivierung mit der Analyse, um schädliche oder unbefugte Aktivität aufzuspüren. Wann genau Sie die ersten Erkenntnisse erhalten, hängt von dem Ausmaß der Aktivität bei Ihrem Konto ab. GuardDuty prüft nur Aktivitäten, die nach seiner Aktivierung stattfinden. Historische Daten werden nicht berücksichtigt. Falls GuardDuty mögliche Bedrohungen findet, erhalten Sie in der GuardDuty-Konsole ein entsprechendes Ergebnis.

Nein. GuardDuty extrahiert unabhängige Datenströme direkt aus CloudTrail, VPC-Flow-Protokollen, DNS-Abfrageprotokollen und Amazon EKS. Sie müssen die Amazon-S3-Bucket-Richtlinien oder die Art und Weise, wie Sie Protokolle erfassen und speichern, nicht verwalten. GuardDuty-Berechtigungen werden als serviceverknüpfte Rollen verwaltet. Sie können GuardDuty jederzeit deaktivieren, wodurch alle GuardDuty-Berechtigungen entfernt werden. Dies erleichtert Ihnen die Aktivierung des Services, da eine komplexe Konfiguration vermieden wird. Die mit dem Service verknüpften Rollen verhindern auch, dass eine Fehlkonfiguration der AWS Identity and Access Management (IAM)-Berechtigung oder eine Änderung der S3-Bucket-Richtlinie den Servicebetrieb beeinträchtigt. Und schließlich machen die serviceverknüpften Rollen GuardDuty extrem effizient bei der Nutzung großer Datenmengen in nahezu Echtzeit mit minimalen bis gar keinen Auswirkungen auf die Leistung und Verfügbarkeit Ihres Kontos oder Ihrer Workloads.

Wenn Sie GuardDuty zum ersten Mal aktivieren, funktioniert es völlig unabhängig von Ihren AWS-Ressourcen. Wenn Sie GuardDuty Runtime Monitoring so konfigurieren, dass der GuardDuty Security Agent automatisch bereitgestellt wird, kann dies zu einer zusätzlichen Ressourcenauslastung führen und erzeugt außerdem VPC-Endpunkte in VPCs, die für den Betrieb von überwachten Workloads verwendet werden.

Nein, Ihre Protokolle werden von GuardDuty weder verwaltet noch aufbewahrt. Sämtliche Daten, die von GuardDuty verbraucht werden, werden danach nahezu in Echtzeit analysiert und gelöscht. Dadurch kann GuardDuty äußerst effizient und kostengünstig agieren. Zudem wird das Risiko einer Datenremanenz verringert. Für die Bereitstellung und Aufbewahrung von Protokollen sollten Sie die AWS-Services für Protokollierung und Überwachung direkt verwenden. Diese enthalten Bereitstellungs- und Aufbewahrungsoptionen mit umfangreichen Funktionen.

Sie können jederzeit veranlassen, dass GuardDuty die Analyse Ihrer Datenquellen beendet. Hierfür müssen Sie lediglich den Service in den allgemeinen Einstellungen aussetzen. Daraufhin beendet der Service umgehend die Datenanalyse, Ihre bestehenden Erkenntnisse oder Konfigurationen bleiben jedoch erhalten. Sie können den Service auch in den allgemeinen Einstellungen deaktivieren. Dadurch werden alle verbleibenden Daten, einschließlich Ihrer vorhandenen Erkenntnisse und Konfigurationen, gelöscht, bevor die Berechtigungen des Services aufgegeben und der Service zurückgesetzt wird. Sie können auch Funktionen wie GuardDuty S3 Protection oder GuardDuty EKS Protection über die Managementkonsole oder über die AWS CLI selektiv deaktivieren.

Aktivierung von GuardDuty

Mit GuardDuty erhalten Sie Zugang zu integrierten Erkennungsverfahren, die für die Cloud entwickelt und optimiert wurden. Die Erkennungsalgorithmen werden von GuardDuty Engineers gepflegt und fortlaufend verbessert. Zu den wichtigsten Erkennungskategorien zählen folgende:

  • Aufklärung: Aktivitäten, die auf Aufklärungsversuche durch einen Angreifer hindeuten. Dies kann beispielsweise ungewöhnliche API-Aktivität, ein Port-Scanning zwischen VPCs, ungewöhnliche Muster fehlgeschlagener Anmeldeanforderungen oder nicht geblockte Port-Spionage durch eine bekanntermaßen böswillige IP umfassen.
  • Kompromittierung von Instances: Aktivitäten, die auf die Kompromittierung einer Instance hindeuten, beispielsweise das Mining von Kryptowährungen, Malware mit Domänen-Generation-Algorithmen (DGAs), nach außen gerichtete Denial-of-Service-Aktivität, ein ungewöhnlich hohes Aufkommen an Netzwerkdatenverkehr, ungewöhnliche Netzwerkprotokolle, abgehende Instance-Kommunikation mit einer bekanntermaßen schädlichen IP, von einer externen IP-Adresse verwendete temporäre Amazon-EC2-Anmeldeinformationen und Datenausschleusung unter Verwendung von DNS.
  • Kompromittierung von Konten: Häufige Muster, die auf eine Kontokompromittierung hindeuten, einschließlich API-Aufrufe von einem ungewöhnlichen geografischen Standort oder einem anonymisierenden Proxy, Versuche, die CloudTrail-Protokollierung zu deaktivieren, ungewöhnliche Instance- oder Infrastrukturstarts, Infrastrukturbereitstellungen in einer ungewöhnlichen Region, die Exfiltration von Anmeldeinformationen, verdächtige Datenbankanmeldeaktivitäten und API-Aufrufe von bekannten bösartigen IP-Adressen.
  • Kompromittierung von Buckets: Aktivität, die auf eine Bucket-Kompromittierung hinweist, wie z. B. verdächtige Datenzugriffsmuster, die auf den Missbrauch von Berechtigungsnachweisen hindeuten, ungewöhnliche S3-API-Aktivität von einem Remote-Host, nicht autorisierter S3-Zugriff von bekannten böswilligen IP-Adressen und API-Aufrufe zum Abrufen von Daten in S3 Buckets von einem Benutzer, der noch nie zuvor auf den Bucket zugegriffen oder ihn von einem ungewöhnlichen Ort aus aufgerufen hat. GuardDuty überwacht und analysiert kontinuierlich CloudTrail S3-Datenereignisse (wie z. B. GetObject, ListObjects, DeleteObject), um verdächtige Aktivitäten in allen Ihren Amazon-S3-Buckets zu erkennen.
  • Malware: GuardDuty kann das Vorhandensein von Malware – etwa Trojaner, Würmer, Krypto-Miner, Rootkits oder Bots – erkennen, die verwendet werden können, um Ihre Amazon-EC2-Instance oder Container-Workloads zu gefährden oder die in Ihre Amazon-S3-Buckets hochgeladen wird.
  • Container-Kompromittierung: Aktivitäten, die mögliches bösartiges oder verdächtiges Verhalten in Container-Workloads identifizieren, werden durch kontinuierliche Überwachung und Profilierung von Amazon-EKS-Clustern durch Analyse ihrer Amazon-EKS-Überwachungsprotokolle und der Container-Laufzeitaktivität in Amazon EKS oder Amazon ECS erkannt. 

Hier finden Sie eine vollständige Liste der GuardDuty-Erkenntnistypen.

Die GuardDuty-Bedrohungsinformationen bestehen aus IP-Adressen und Domänen, die bekanntermaßen von Angreifern verwendet werden. GuardDuty Threat Intelligence wird bereitgestellt von AWS und Drittanbietern wie Proofpoint und CrowdStrike. Diese Feeds mit Bedrohungsinformationen sind bereits in GuardDuty integriert und werden kostenlos laufend aktualisiert.

Ja, GuardDuty ermöglicht es Ihnen, Ihre eigene Liste mit Bedrohungsinformationen oder vertrauenswürdigen IP-Adressen hochzuladen. Wenn diese Funktion verwendet wird, werden die betreffenden Listen nur für Ihr Konto übernommen und nicht an andere Kunden weitergegeben.

Wenn GuardDuty eine mögliche Bedrohung erkennt, wird eine ausführliche Sicherheitserkenntnis in der GuardDuty-Konsole und in EventBridge bereitgestellt. Dadurch sind die Maßnahmen besser umsetzbar und lassen sich leichter in bestehende Ereignisverwaltungs- oder Workflow-Systeme integrieren. Die Erkenntnisse beinhalten die Kategorie, betroffene Ressourcen und Metadaten in Verbindung mit der Ressource sowie den Schweregrad.

Die GuardDuty-Erkenntnisse haben ein gängiges JSON-Format, das auch von Macie und Amazon Inspector verwendet wird. Dadurch können Kunden und Partner die Sicherheitserkenntnisse von allen drei Services leichter nutzen und diese in ein breiteres Spektrum an Ereignisverwaltungs-, Workflow- oder Sicherheitslösungen einbinden.

Die Sicherheitserkenntnisse werden 90 Tage lang aufbewahrt und über die GuardDuty-Konsole und APIs zur Verfügung gestellt. Nach 90 Tagen werden die Erkenntnisse gelöscht. Falls sie länger als 90 Tage aufbewahrt werden sollen, können Sie EventBridge für die automatische Übertragung der Erkenntnisse in ein S3-Bucket oder einen sonstigen Datenspeicher zur Langzeitspeicherung aktivieren.

Ja, Sie haben die Möglichkeit, die von GuardDuty erzeugten Sicherheitserkenntnisse mit Hilfe von EventBridge regionsübergreifend zu aggregieren oder die Ergebnisse in Ihren Datenspeicher (z B. S3) zu übertragen und dann nach Belieben zu aggregieren. Sie können GuardDuty-Ergebnisse auch an Security Hub senden und dessen regionsübergreifende Aggregationsfunktion nutzen.

Mit GuardDuty, EventBridge und AWS Lambda bleiben Sie flexibel und können auf der Grundlage einer Sicherheitserkenntnis automatisierte Abhilfemaßnahmen einrichten. Sie können beispielsweise eine Lambda-Funktion erstellen, mit der Ihre AWS-Sicherheitsgruppenregeln auf der Grundlage von Sicherheitserkenntnissen geändert werden. Wenn Sie eine GuardDuty-Erkenntnis erhalten, die vermuten lässt, dass eine Ihrer EC2-Instances von einer bekanntermaßen schädlichen IP ausspioniert wird, können Sie diesem Umstand mit einer EventBridge-Regel begegnen, die eine Lambda-Funktion zur automatischen Änderung Ihrer Sicherheitsgruppenregeln und Einschränkung des Zugriffs an dem betreffenden Port initiiert.

GuardDuty verfügt über ein eigenes Team, das sich voll und ganz auf das Engineering, Verwaltung und Iteration von Erkennungen konzentriert. Dies führt zu einem ständigen Fluss neuer Erkennungen im Service und einer kontinuierlichen Iteration bei bestehenden Erkennungen. Der Service enthält verschiedene Feedback-Mechanismen, mit denen beispielsweise jede Sicherheitserkenntnis in der GuardDuty-Benutzeroberfläche (UI) positiv oder negativ bewertet werden kann. So können Sie ein eigenes Feedback bereitstellen, das in künftige Iterationen von GuardDuty-Erkennungen einfließen kann.

Nein, mit GuardDuty gehören die aufwändigen Verfahren und komplexen Vorgänge für die Entwicklung und Pflege von eigenen benutzerdefinierten Regelsätzen der Vergangenheit an. Neue Erkennungen werden kontiniuerlich auf der Basis von Kundenfeedback und Forschungsergebnissen der AWS-Sicherheitsfachleute und des GuardDuty-Engineering-Teams hinzugefügt. Kunden können jedoch Anpassungen konfigurieren, indem sie eigene Bedrohungs- und Liste vertrauenswürdiger IP-Adressen hinzufügen.

GuardDuty S3 Protection

Für aktuelle GuardDuty-Konten kann S3 Protection in der Konsole auf der Seite S3 Protection oder über die API aktiviert werden. Damit starten Sie einen kostenlosen 30-Tage-Test der GuardDuty S3 Protection-Funktion.

Ja, es gibt eine 30-tägige kostenlose Testversion. Jedes Konto in jeder Region erhält eine kostenlose 30-Tage-Testversion von GuardDuty, die die S3-Protection-Funktion umfasst. Konten, für die GuardDuty bereits aktiviert ist, erhalten bei der ersten Aktivierung der Funktion S3 Protection eine 30-tägige kostenlose Testversion.

Ja. Bei allen neuen Konten, die GuardDuty über die Konsole oder API aktivieren, ist S3 Protection ebenfalls standardmäßig aktiviert. Bei neuen GuardDuty-Konten, die mit der Funktion automatische Aktivierung von AWS Organizations erstellt werden, ist S3 Protection nicht standardmäßig aktiviert, es sei denn die Option automatische Aktivierung für S3 ist aktiviert.

Nein, der GuardDuty-Service muss aktiviert werden, um S3 Protection zu nutzen. Aktuelle GuardDuty-Konten haben die Möglichkeit, S3 Protection zu aktivieren, und neue GuardDuty-Konten verfügen standardmäßig über diese Funktion, sobald der GuardDuty-Dienst aktiviert ist.

Ja, S3 Protection überwacht standardmäßig alle S3-Buckets in Ihrer Umgebung.

Nein, GuardDuty hat direkten Zugriff auf die Ereignisprotokolle von CloudTrail S3-Daten. Sie sind nicht verpflichtet, die Protokollierung von S3-Datenereignissen in CloudTrail zu aktivieren, so dass Ihnen die damit verbundenen Kosten nicht entstehen. Beachten Sie, dass GuardDuty die Protokolle nicht speichert und sie nur für seine Analyse verwendet.

GuardDuty EKS Protection

GuardDuty EKS Protection ist ein GuardDuty-Feature, die die Aktivitäten der Amazon-EKS-Cluster-Steuerebene durch die Analyse der Amazon-EKS-Audit-Protokolle überwacht. GuardDuty ist in Amazon EKS integriert und hat damit direkten Zugriff auf Amazon-EKS-Prüfungsprotokolle, ohne dass Sie diese Protokolle einschalten oder speichern müssen. Diese Prüfungsprotokolle sind sicherheitsrelevante, chronologische Aufzeichnungen zur Dokumentierung der Aktions-Sequenzen, die auf der Amazon-EKS-Steuerebene ausgeführt werden. Diese Amazon-EKS-Prüfungsprotokolle verleihen GuardDuty die notwendige Sichtbarkeit zur kontinuierlichen Überwachung von Amazon-EKS-API-Aktivitäten und nutzen bewährtes Wissen über Bedrohungen und Anomalieerkennung, um bösartige Aktivitäten oder Konfigurationsänderungen zu erkennen, die Ihre Amazon-EKS-Cluster einem unautorisiertem Zugriff aussetzten könnten. Wenn Bedrohungen erkannt werden, generiert GuardDuty Sicherheitsergebnisse mit dem Bedrohungstyp, dem Schweregrad und Details auf der Container-Ebene wie die Pod-ID, Container-Image-ID und zugeordnete Tags.

GuardDuty EKS Protection kann Bedrohungen im Zusammenhang mit Benutzer- und Anwendungsaktivitäten erkennen, die in Amazon-EKS-Audit-Protokollen erfasst werden. Zu den Amazon-EKS-Bedrohungserkennungen gehören Amazon-EKS-Cluster, auf die von bekannten böswilligen Akteuren oder von Tor-Knoten aus zugegriffen wird, API-Vorgänge, die von anonymen Benutzern durchgeführt werden und auf eine Fehlkonfiguration hindeuten könnten, sowie Fehlkonfigurationen, die zu einem nicht autorisierten Zugriff auf Amazon-EKS-Cluster führen können. Mithilfe von ML-Modellen kann GuardDuty außerdem Muster erkennen, die mit Techniken zur Berechtigungserweiterung übereinstimmen, z. B. den verdächtigen Start eines Containers mit Root-Zugriff auf den zugrunde liegenden EC2-Host. Eine vollständige Liste aller neuen Erkennungen finden Sie unter Amazon-GuardDuty-Erkenntnistypen.

Nein, GuardDuty hat direkten Zugriff auf Amazon-EKS-Audit-Protokolle. Beachten Sie, dass GuardDuty diese Protokolle nur zur Analyse verwendet; es speichert sie nicht und Sie müssen nichts aktivieren und auch nichts dafür bezahlen, dass Amazon-EKS-Prüfungsprotokolle an GuardDuty freigegeben werden. Zur Preisoptimierung wendet GuardDuty intelligente Filter an, damit nur eine Teilmenge der Prüfungsprotokolle konsumiert werden, die für die Erkennung von Sicherheitsbedrohungen relevant sind.

Ja, es gibt eine 30-tägige kostenlose Testversion. Jedes neue GuardDuty-Konto in jeder Region erhält eine 30-tägige kostenlose Testversion von GuardDuty, einschließlich GuardDuty-EKS-Protection-Funktion. Bestehende GuardDuty-Konten erhalten eine 30-tägige Testversion von GuardDuty EKS Protection ohne zusätzliche Kosten. Während des Testzeitraums können Sie die Kostenschätzung für nach dem Testzeitraum auf der Nutzungsseite der GuardDuty-Konsole anzeigen. Wenn Sie ein GuardDuty-Administrator sind, sehen Sie die geschätzten Kosten für Ihre Mitgliedskonten. Nach 30 Tagen können Sie die tatsächlichen Kosten dieser Funktion in der AWS-Fakturierungskonsole anzeigen.

GuardDuty EKS Protection muss für jedes individuelle Konto aktiviert werden. Sie können die Funktion für Ihre Konten mit einer einzigen Aktion in der GuardDuty-Konsole auf der Seite GuardDuty EKS-Schutz-Konsole aktivieren. Wenn Sie in einer GuardDuty-Multi-Account-Konfiguration arbeiten, können Sie den GuardDuty EKS-Schutz für Ihr gesamtes Unternehmen über das GuardDuty Administratorkonto auf der GuardDuty EKS-Schutz-Seite aktivieren. Dadurch wird die kontinuierliche Überwachung für Amazon EKS in allen individuellen Mitgliedskonten aktiviert. Für GuardDuty-Konten, die mit der Funktion zur automatischen Aktivierung von AWS-Organisationen erstellt wurden, müssen Sie explizit die automatische Aktivierung für Amazon EKS aktivieren. Nach der Aktivierung für ein Konto werden alle bestehenden und zukünftigen Amazon EKS-Cluster des Kontos auf Bedrohungen überwacht, ohne dass eine Konfiguration auf Ihren Amazon EKS-Clustern erforderlich ist.

Ja, bei allen neuen Konten, die GuardDuty über die Konsole oder API aktivieren, ist GuardDuty EKS Protection ebenfalls standardmäßig aktiviert. Für neue GuardDuty-Konten, die mithilfe der Funktion „automatische Aktivierung“ von AWS Organizations erstellt wurden, müssen Sie explizit die Option Automatische Aktivierung für Malware Protection einschalten. 

Sie können die Funktion in der Konsole oder über die API deaktivieren. In der GuardDuty-Konsole können Sie GuardDuty EKS Protection für Ihre Konten auf der Konsolenseite GuardDuty EKS Protection deaktivieren. Wenn Sie ein GuardDuty-Administratorkonto haben, können Sie diese Funktion auch für Ihre Mitgliedskonten deaktivieren.

Wenn Sie GuardDuty EKS Protection zuvor deaktiviert haben, können Sie die Funktion in der Konsole oder über die API wieder aktivieren. In der GuardDuty-Konsole können Sie GuardDuty-EKS-Protection für Ihre Konten auf der Konsolenseite GuardDuty-EKS-Protection aktivieren.

GuardDuty EKS Protection muss für jedes individuelle Konto aktiviert werden. Wenn Sie in eine Multi-Konto-Konfiguration für GuardDuty betreiben, können Sie mit einem einzelnen Klick auf der Konsolenseite von GuardDuty EKS Protection im GuardDuty-Administratorkonto die Bedrohungserkennung für Amazon EKS in Ihrer gesamten Organisation aktivieren. Dies wird die Bedrohungserkennung für Amazon EKS in allen individuellen Mitgliedskonten aktivieren. Sobald diese Funktion für ein Konto aktiviert ist, werden alle bestehenden und zukünftigen Amazon-EKS-Cluster im Konto auf Bedrohungen überwacht und es ist keine manuelle Konfiguration auf Ihren Amazon-EKS-Clustern erforderlich.

Es fallen keine Gebühren für GuardDuty EKS Protection an, wenn Sie Amazon EKS nicht nutzen und GuardDuty EKS Protection aktiviert haben. Wenn Sie jedoch mit der Nutzung von Amazon EKS beginnen, wird GuardDuty Ihre Cluster automatisch überwachen und Feststellungen zu erkannten Problemen treffen. Diese Überwachung ist für Sie kostenpflichtig.

Nein, der GuardDuty-Service muss aktiviert werden, damit GuardDuty EKS Protection auch verfügbar ist.

Ja, GuardDuty EKS Protection überwacht Amazon-EKS-Audit-Protokolle sowohl aus Amazon-EKS-Clustern, die auf EC2-Instances bereitgestellt werden, als auch von Amazon-EKS-Clustern, die auf Fargate bereitgestellt werden.

Derzeit unterstützt diese Funktion nur Amazon-EKS-Bereitstellungen, die auf EC2-Instances in Ihrem Konto oder auf Fargate ausgeführt werden.

Nein. GuardDuty EKS Protection ist so konzipiert, dass es keine Auswirkungen auf die Leistung, die Verfügbarkeit oder die Kosten von Amazon-EKS-Workloads hat.

Ja, GuardDuty ist ein regionaler Service und daher muss GuardDuty EKS Protection in jeder AWS Region separat aktiviert werden.

GuardDuty EKS Runtime Monitoring

GuardDuty Runtime Monitoring verwendet einen schlanken, vollständig verwalteten Sicherheitsagenten, der die Runtime-Aktivitäten wie Dateizugriff, Prozessausführung und Netzwerkverbindungen auf Pod- oder Instance-Ebene für Ihre abgedeckten Ressourcen transparent macht. Der Security Agent wird automatisch als Daemon-Set bereitgestellt, das Laufzeitereignisse sammelt und sie zur Verarbeitung von Sicherheitsanalysen an GuardDuty übermittelt. Auf diese Weise kann GuardDuty bestimmte Instances oder Container in Ihrer AWS-Umgebung identifizieren, die potenziell gefährdet sind, und Versuche erkennen, Rechte auf die breitere AWS-Umgebung auszudehnen. Wenn GuardDuty eine potenzielle Bedrohung erkennt, wird ein Sicherheitsergebnis generiert, das den Metadatenkontext enthält, der Instance-, Container-, Pod- und Prozessdetails umfasst. 

Runtime Monitoring ist für Amazon EKS-Ressourcen verfügbar, die auf Amazon EC2 laufen, Amazon ECS-Cluster, die auf Amazon EC2 oder AWS Fargate ausgeführt werden, und Amazon EC2-Instances. 

Für bestehende GuardDuty-Konten kann das Feature über die GuardDuty-Konsole auf der Seite Runtime Monitoring oder über die API aktiviert werden. Erfahren Sie mehr über GuardDuty Runtime Monitoring.

Nein. GuardDuty Runtime Monitoring ist der einzige Schutzplan, der nicht standardmäßig aktiviert ist, wenn Sie GuardDuty zum ersten Mal einschalten. Die Funktion kann über die GuardDuty-Konsole auf der Runtime-Monitoring-Seite oder über die API aktiviert werden. Für neue GuardDuty-Konten, die mit der Funktion zur automatischen Aktivierung von AWS-Organisationen erstellt wurden, ist Runtime Monitoring standardmäßig nicht aktiviert, es sei denn, die Option zur automatischen Aktivierung von Runtime Monitoring ist aktiviert.

Wenn Sie Amazon ECS Runtime Monitoring aktivieren, ist GuardDuty bereit, die Laufzeitereignisse einer Aufgabe zu verarbeiten. Diese Aufgaben werden innerhalb der Amazon ECS-Cluster ausgeführt, die wiederum auf AWS Fargate-Instances ausgeführt werden. Damit GuardDuty diese Laufzeitereignisse empfängt, müssen Sie die automatisierte Agentenkonfiguration verwenden.

Wenn Sie Runtime Monitoring für Amazon EC2 oder Amazon EKS aktivieren, haben Sie die Möglichkeit, den GuardDuty Security Agent entweder manuell bereitzustellen oder GuardDuty zu gestatten, ihn in Ihrem Namen mit der automatisierten Agentenkonfiguration zu verwalten.

Weitere Informationen finden Sie unter Wichtige Konzepte — Ansätze zur Verwaltung des GuardDuty-Sicherheitsagenten im GuardDuty-Benutzerhandbuch.
 

Nein, der GuardDuty-Dienst muss aktiviert sein, um GuardDuty Runtime Monitoring verwenden zu können.

Eine vollständige Liste der Regionen, in denen Runtime Monitoring verfügbar ist, finden Sie unter Regionale Verfügbarkeit der Funktionen.

GuardDuty Runtime Monitoring muss für jedes einzelne Konto aktiviert sein. Wenn Sie in einer GuardDuty-Konfiguration mit mehreren Konten arbeiten, können Sie diese in einem einzigen Schritt auf der GuardDuty Runtime Monitoring-Konsolenseite des GuardDuty-Administratorkontos für Ihr gesamtes Unternehmen aktivieren. Dadurch wird die Laufzeitüberwachung für gewünschte Workloads in allen individuellen Mitgliedskonten aktiviert. Nach der Aktivierung für ein Konto werden alle bestehenden und zukünftigen ausgewählten Workloads in diesem Konto auf Laufzeitbedrohungen überwacht, und es ist keine manuelle Konfiguration erforderlich.

Mit GuardDuty Runtime Monitoring können Sie selektiv konfigurieren, welche Amazon EKS- oder Amazon ECS-Cluster zur Bedrohungserkennung überwacht werden sollen. Mit der Konfigurierbarkeit auf Clusterebene können Sie bestimmte Cluster selektiv für die Erkennung von Bedrohungen überwachen oder weiterhin die Konfigurierbarkeit auf Kontoebene nutzen, um jeweils alle EKS- oder ECS- Cluster in einem bestimmten Konto und einer bestimmten Region zu überwachen.

Wie alle Sicherheits-, Beobachtbarkeits- und anderen Anwendungsfälle, die einen Kundendienstmitarbeiter auf dem Host erfordern, führt der GuardDuty-Sicherheitsagent zu einem Overhead bei der Ressourcennutzung. Der GuardDuty-Sicherheitsagent ist leichtgewichtig und wird von GuardDuty sorgfältig überwacht, um die Auslastung und die Kostenauswirkungen auf die abgedeckten Workloads zu minimieren. Die genauen Kennzahlen zur Ressourcennutzung werden Anwendungs- und Sicherheitsteams zur Überwachung in Amazon CloudWatch zur Verfügung gestellt.

Wenn Sie GuardDuty Runtime Monitoring so konfigurieren, dass der GuardDuty Security Agent automatisch bereitgestellt wird, kann dies zu einer zusätzlichen Ressourcenauslastung führen und erzeugt außerdem VPC-Endpunkte in VPCs, die für den Betrieb von AWS-Workloads verwendet werden. 

Es fallen keine GuardDuty Runtime Monitoring-Gebühren an, wenn Sie GuardDuty Runtime Monitoring für einen Workload aktiviert haben, den Sie nicht ausführen. Wenn Sie jedoch beginnen, Amazon EKS, Amazon ECS oder Amazon EC2 zu verwenden und GuardDuty Runtime Monitoring für diesen Workload aktiviert ist, werden Ihnen Gebühren berechnet, wenn GuardDuty Ihre Cluster, Aufgaben und Instances automatisch überwacht und Ergebnisse für festgestellte Probleme generiert. 

GuardDuty Runtime Monitoring kann für ein AWS-Konto oder eine Organisation auf der Seite GuardDuty-Konsole Runtime Monitoring deaktiviert werden. Wenn der Security Agent automatisch von GuardDuty eingesetzt wurde, entfernt GuardDuty den Security Agent auch, wenn die Funktion deaktiviert ist.

Wenn Sie sich dafür entschieden haben, den GuardDuty-Agenten manuell bereitzustellen (gilt nur für EKS Runtime Monitoring und EC2 Runtime Monitoring), müssen Sie ihn manuell entfernen und alle VPC-Endpunkte, die erstellt wurden, müssen manuell gelöscht werden. Schritte zum manuellen Entfernen von EKS Runtime Monitoring und EC2 Runtime Monitoring sind im GuardDuty-Benutzerhandbuch detailliert beschrieben. 

GuardDuty Malware Protection

Amazon-EBS-Daten-Volumes: Wenn Sie diese Datenquelle für Malware Protection aktiviert haben, startet GuardDuty einen Malware-Erkennungsscan, wenn es verdächtiges Verhalten erkennt, das auf schädliche Software in Amazon-EC2-Instances oder Container-Workloads hinweist. Es scannt ein repliziertes EBS-Volume, das GuardDuty auf der Grundlage des Snapshots Ihres EBS-Volumes erstellt, auf Trojaner, Würmer, Krypto-Miner, Rootkits, Bots und mehr. GuardDuty Malware Protection generiert kontextbezogene Ergebnisse, mit denen die Quelle des verdächtigen Verhaltens überprüft werden kann. Diese Erkenntnisse können auch an die zuständigen Administratoren weitergeleitet werden und automatische Abhilfemaßnahmen einleiten.

S3-Objektscan: Sobald ein Bucket für den Malware-Schutz konfiguriert ist, scannt GuardDuty automatisch neu hochgeladene Dateien und generiert bei Erkennung von Malware eine Amazon-EventBridge-Benachrichtigung mit Details zur Malware. Dies ermöglicht die Integration in vorhandene Sicherheitsereignis-Management- oder Workflow-Systeme. Sie können die automatische Quarantäne für Malware konfigurieren, indem Sie das Objekt in einen isolierten Bucket in Ihrem Konto verschieben, oder Sie können Objekt-Tags verwenden, um die Disposition des Scan-Ergebnisses hinzuzufügen. Auf diese Weise können Sie die gescannten Objekte anhand der Tags besser identifizieren und kategorisieren.

Die Ergebnisse von GuardDuty für Amazon EC2, die einen Malware-Scan einleiten, finden Sie im GuardDuty-Benutzerhandbuch.

Malware Protection unterstützt die Erkennung bösartiger Dateien durch Scannen von EBS, die an EC2-Instances angeschlossen sind. Unterstützte Dateisystemtypen finden Sie im GuardDuty-Benutzerhandbuch.

Malware Protection für S3 kann mit der Malware-Scan-Engine von GuardDuty Dateien der meisten synchronen S3-Speicherklassen scannen, wie etwa S3 Standard, S3 Intelligent-Tiering, S3 Standard-IA, S3 One Zone-IA und Amazon S3 Glacier Instant Retrieval.  Es scannt die Dateiformate, die bekanntermaßen zur Verbreitung oder Speicherung von Malware verwendet werden, einschließlich ausführbarer Dateien, PDF-Dateien, Archiven, Binärdateien, gepackten Dateien, Skripten, Installationsprogrammen, E-Mail-Datenbanken, einfachen E-Mails, Images und verschlüsselten Objekten.

Der Malware-Schutz sucht nach Bedrohungen wie Trojanern, Würmern, Crypto-Minern, Rootkits und Bots, die dazu verwendet werden könnten, Workloads zu kompromittieren, Ressourcen für böswillige Zwecke umzuwidmen und unbefugten Zugriff auf Daten zu erlangen.

Eine umfassende Liste der Erkenntnistypen finden Sie im GuardDuty-Benutzerhandbuch.

Die Serviceprotokollierung muss nicht aktiviert sein, damit GuardDuty oder die Malware-Schutzfunktion funktionieren. Die Malware-Schutzfunktion ist Teil von GuardDuty, einem AWS-Service, der Informationen aus integrierten internen und externen Quellen nutzt.

Anstatt Sicherheitsagenten zu verwenden, erstellt und scannt GuardDuty Malware Protection eine Replikation, die auf dem Snapshot der EBS-Volumes basiert, die mit der potenziell infizierten EC2-Instance oder Container-Workload in Ihrem Konto verbunden sind. Die Berechtigungen, die Sie GuardDuty über eine Service-verknüpfte Rolle erteilt haben, erlauben es dem Service, ein verschlüsseltes Volume-Replikat im Servicekonto von GuardDuty aus dem Snapshot zu erstellen, der in Ihrem Konto verbleibt. GuardDuty Malware Protection scannt dann die Volume-Replik auf Malware.

Für Objekte in Amazon S3 beginnt GuardDuty mit dem Lesen, Entschlüsseln und Scannen von Objekten, die in Buckets hochgeladen wurden, die Sie für GuardDuty Malware Protection konfiguriert haben. Sie können den Umfang der zu scannenden Objekte in einem Bucket einschränken, indem Sie festlegen, dass nur Objekte mit bestimmten Präfixen gescannt werden. GuardDuty scannt hochgeladene Objekte, die mit diesen definierten Präfixen übereinstimmen, und generiert eine Sicherheitserkenntnis und eine Amazon-EventBridge-Benachrichtigung mit einem detaillierten Scan-Ergebnis: Infiziert, Sauber, Übersprungen oder Fehlgeschlagen. Die Benachrichtigung enthält auch Scan-Metriken, die sich auf die Anzahl der gescannten Objekte und Bytes beziehen. Sie können auch Aktionen nach dem Scan definieren, die GuardDuty basierend auf dem Scan-Ergebnis für das Objekt ausführt, z. B. automatische Quarantäne oder Objektkennzeichnung.

Ja, jedes neue GuardDuty-Konto in jeder Region erhält eine 30-tägige kostenlose Testversion von GuardDuty, einschließlich des Features Malware Protection (nur für das von GuardDuty initiierte Scannen von EBS-Daten-Volumes verfügbar. Es gibt keine kostenlose Testversion für GuardDuty Malware Protection für Amazon S3). Bestehende GuardDuty-Konten erhalten eine 30-tägige Testversion von Malware Protection ohne zusätzliche Kosten, wenn diese zum ersten Mal in einem Konto aktiviert wird. Während des Testzeitraums können Sie die Kostenschätzung für nach dem Testzeitraum auf der Nutzungsseite der GuardDuty-Konsole anzeigen. Wenn Sie ein GuardDuty-Administrator sind, sehen Sie die geschätzten Kosten für Ihre Mitgliedskonten. Nach 30 Tagen können Sie die tatsächlichen Kosten dieser Funktion in der AWS-Fakturierungskonsole anzeigen.

Sie können Malware Protection in der GuardDuty-Konsole aktivieren, indem Sie die Seite Malware Protection aufrufen oder die API verwenden. Wenn Sie in einer GuardDuty-Konfiguration mit mehreren Konten arbeiten, können Sie die Funktion für Ihr gesamtes Unternehmen auf der Konsolenseite Malware Protection des GuardDuty-Administratorkontos aktivieren. Dies wird die Überwachung für Malware in allen individuellen Mitgliedskonten aktivieren. Für GuardDuty-Konten, die mithilfe des Features „automatische Aktivierung“ von AWS Organizations erstellt wurden, müssen Sie explizit die Option „automatische Aktivierung für Malware-Schutz“ einschalten.

Für Malware Protection für S3 können Sie in zwei Schritten Malware-Scans in Ihre Anwendungen integrieren. Zunächst müssen Sie als Anwendungsbesitzer die Bucket-Schutzkonfiguration für die Buckets einrichten, die Sie überwachen möchten. Sie können dies programmgesteuert in der GuardDuty-Konsole für einen vorhandenen Bucket oder beim Erstellen eines neuen Buckets einrichten. GuardDuty sendet für jeden geschützten S3-Bucket Scan-Metriken an Ihre EventBridge-Ereignisse. So können Sie Alarme einrichten und Aktionen nach dem Scan definieren, z. B. Objektkennzeichnung oder das Kopieren des schädlichen Objekts in einen Quarantäne-Bucket, den GuardDuty basierend auf dem Scan-Ergebnis ausführt. Wenn GuardDuty für Ihr Konto aktiviert ist, wird auch in GuardDuty eine Sicherheitserkenntnis generiert.

Ja, bei jedem neuen Konto, das GuardDuty über die Konsole oder API aktiviert, ist standardmäßig auch Malware Protection für GuardDuty aktiviert (zum Scannen von EBS-Volumes). Für neue GuardDuty-Konten, die mithilfe der Funktion „automatische Aktivierung“ von AWS Organizations erstellt wurden, müssen Sie explizit die Option„automatische Aktivierung für Malware Protection“ einschalten. 

Sie können die Funktion in der Konsole oder über die API deaktivieren. In der GuardDuty-Konsole finden Sie auf der Konsolenseite Malware Protection eine Option zum Deaktivieren von Malware Protection für Ihre Konten. Wenn Sie ein GuardDuty-Administratorkonto haben, können Sie Malware Protection auch für Ihre Mitgliedskonten deaktivieren.

Wenn Malware Protection deaktiviert war, können Sie die Funktion in der Konsole oder über die API aktivieren. Sie können Malware Protection für Ihre Konten in der GuardDuty-Konsole auf der Konsolenseite Malware Protection aktivieren.

Nein, es fallen keine Gebühren für Malware Protection an, wenn während eines Abrechnungszeitraums keine Scans auf Malware durchgeführt werden. Sie können die Kosten dieser Funktion in der AWS-Fakturierungskonsole anzeigen.

Ja, GuardDuty verfügt über eine Verwaltungsfunktion für mehrere Konten, mit der Sie mehrere AWS-Konten über ein einziges Administratorkonto verknüpfen und verwalten können. GuardDuty verfügt durch die Integration mit AWS Organizations über die Verwaltung mehrere Konten. Diese Integration hilft Sicherheits- und Compliance-Teams, die vollständige Abdeckung von GuardDuty, einschließlich Malware Protection, für alle Konten in einem Unternehmen sicherzustellen.

Nein. Sobald das Feature aktiviert ist, wird GuardDuty Malware Protection einen Malware-Scan als Reaktion auf relevante Amazon-EC2-Erkenntnisse initiieren. Sie müssen keine Agenten einrichten, keine Protokollquellen aktivieren und keine anderen Konfigurationsänderungen vornehmen.

GuardDuty Malware Protection ist so konzipiert, dass die Leistung Ihrer Workloads nicht beeinträchtigt wird. Beispielsweise können EBS-Volume-Snapshots, die für die Malware-Analyse erstellt werden, nur einmal innerhalb von 24 Stunden erzeugt werden. GuardDuty Malware Protection behält die verschlüsselten Replikate und Snapshots nach Abschluss eines Scans noch einige Minuten lang bei. Darüber hinaus nutzt GuardDuty Malware Protection die GuardDuty-Rechenressourcen für das Scannen von Malware anstelle von Kunden-Rechenressourcen.

Ja, GuardDuty ist ein regionaler Service und die Malware Protection muss in jeder AWS-Region separat aktiviert werden.

GuardDuty Malware Protection scannt eine Replik, die auf dem Snapshot der EBS-Volumes basiert, die mit der potenziell infizierten EC2-Instance oder Container-Workload in Ihrem Konto verbunden sind. Wenn Ihre EBS-Volumes mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind, haben Sie die Möglichkeit, Ihren AWS-Key-Management-Service-Schlüssel (KMS) für GuardDuty freizugeben, und der Service verwendet denselben Schlüssel zur Verschlüsselung des replizierten EBS-Volumes. Bei unverschlüsselten EBS-Volumes verwendet GuardDuty seinen eigenen Schlüssel, um das replizierte EBS-Volume zu verschlüsseln.

Ja, alle Daten des replizierten EBS-Volumes (und der Snapshot, auf dem das replizierte Volume basiert) bleiben in der gleichen Region wie das ursprüngliche EBS-Volume.

Jedes neue GuardDuty-Konto in jeder Region erhält eine kostenlose 30-tägige Testversion von GuardDuty, einschließlich des Features Malware Protection (nur für EBS-Daten-Volume-Scans, die von GuardDuty initiiert werden. Es gibt keine kostenlose Testversion für Malware Protection für Amazon S3). Bestehende GuardDuty-Konten erhalten eine 30-tägige Testversion von Malware Protection ohne zusätzliche Kosten, wenn diese zum ersten Mal in einem Konto aktiviert wird. Während des Testzeitraums können Sie auf der Nutzungsseite der GuardDuty-Konsole die Kosten für die Zeit nach dem Testzeitraum schätzen. Wenn Sie ein GuardDuty-Administrator sind, sehen Sie die geschätzten Kosten für Ihre Mitgliedskonten. Nach 30 Tagen können Sie die tatsächlichen Kosten dieser Funktion in der AWS-Fakturierungskonsole anzeigen.

Die Preise für das Scannen von EBS-Volumes auf Malware basieren auf der Anzahl der GB an Daten, die in einem Volume gescannt werden. Sie können die Scan-Optionen in der Konsole anpassen, um einige EC2-Instances mit Hilfe von Tags zu markieren, die von der Überprüfung ausgenommen werden sollen, um so die Kosten zu kontrollieren. Darüber hinaus scannt GuardDuty eine EC2-Instance nur einmal alle 24 Stunden. Wenn GuardDuty innerhalb von 24 Stunden mehrere EC2-Erkenntnisse für eine EC2-Instance generiert, wird nur die erste relevante EC2-Erkenntnis überprüft. Wenn die EC2-Erkenntnisse für eine Instance 24 Stunden nach dem letzten Malware-Scan fortbestehen, wird ein neuer Malware-Scan für diese Instance eingeleitet.

Die Preise für Malware-Scans von Speicherobjekten in S3-Buckets basieren auf den GB der gescannten Daten sowie der Anzahl der gescannten Dateien in einem bestimmten S3-Bucket, der für Malware-Scans konfiguriert ist. GuardDuty scannt nur nach neu hochgeladenen Dateien in konfigurierten Buckets. Es werden keine vorhandenen Dateien oder Dateien in Buckets gescannt, die nicht für Malware-Scans vorgesehen sind.

Ja, es gibt eine Einstellung, mit der Sie die Speicherung von Snapshots aktivieren können, wenn der Malware-Protection-Scan Malware entdeckt. Sie können diese Einstellung in der GuardDuty-Konsole auf der Seite Einstellungen aktivieren. Standardmäßig werden Snapshots einige Minuten nach Abschluss eines Scans und nach 24 Stunden, wenn der Scan nicht abgeschlossen wurde, gelöscht.

GuardDuty Malware Protection bewahrt jedes erzeugte und gescannte EBS-Replikat-Volume bis zu 24 Stunden lang auf. Standardmäßig werden replizierte EBS-Volumen einige Minuten nach Abschluss eines Scanvorgangs von GuardDuty Malware Protection gelöscht. In einigen Fällen kann es jedoch vorkommen, dass GuardDuty Malware Protection ein repliziertes EBS-Volumen länger als 24 Stunden aufbewahren muss, wenn ein Serviceausfall oder ein Verbindungsproblem den Malware-Scan beeinträchtigt. In diesem Fall hält GuardDuty Malware Protection das replizierte EBS-Volume bis zu sieben Tage lang zurück, um dem Service Zeit zu geben, den Ausfall oder das Verbindungsproblem zu beheben. GuardDuty Malware Protection löscht das replizierte EBS-Volume, nachdem der Ausfall oder die Störung behoben wurde oder sobald die verlängerte Aufbewahrungsfrist abgelaufen ist.

Nein, GuardDuty scannt nur einmal alle 24 Stunden eine Replik, die auf dem Snapshot der EBS-Volumen basiert, die mit der potenziell infizierten EC2-Instance oder dem Container-Workload verbunden sind. Selbst wenn GuardDuty mehrere Erkenntnisse generiert, die für einen Malware-Scan in Frage kommen, werden keine weiteren Scans initiiert, wenn seit einem früheren Scan weniger als 24 Stunden vergangen sind. Wenn GuardDuty innerhalb von 24 Stunden nach dem letzten Malware-Scan einen qualifizierten Befund generiert, wird GuardDuty Malware Protection einen neuen Malware-Scan für diesen Workload initiieren.

Nein, wenn Sie den GuardDuty-Dienst deaktivieren, wird auch die Funktion zum Schutz vor Malware deaktiviert.

Nein, GuardDuty S3 Malware Protection bietet Ihnen Flexibilität und ermöglicht es Anwendungsbesitzern, Malware Protection für ihre S3-Buckets einzurichten, auch wenn das grundlegende GuardDuty für das Konto nicht aktiviert ist. Basis-GuardDuty beinhaltet die Standardüberwachung grundlegender Quellen wie AWS-CloudTrail-Verwaltungsereignisse, VPC-Ablaufprotokolle und DNS-Abfrageprotokolle.

GuardDuty RDS Protection

Der GuardDuty RDS-Schutz kann mit einer einzigen Aktion in der GuardDuty-Konsole aktiviert werden, ohne dass Agenten manuell bereitgestellt, keine Datenquellen aktiviert und keine Berechtigungen konfiguriert werden müssen. Unter Verwendung maßgeschneiderter ML-Modelle beginnt die GuardDuty Malware Protection mit der Analyse und Profilerstellung von Anmeldeversuchen bei bestehenden und neuen Amazon Aurora-Datenbanken. Wenn verdächtige Verhaltensweisen oder Versuche von bekannten böswilligen Akteuren identifiziert werden, sendet GuardDuty verwertbare Sicherheitsergebnisse an die GuardDuty-Konsole, die Amazon Relational Database Service (RDS)-Konsole, AWS Security Hub und Amazon EventBridge und ermöglicht so die Integration in bestehende Sicherheitsereignis-Management- oder Workflow-Systeme. Erfahren Sie mehr darüber, wie GuardDuty RDS Protection die Überwachung der RDS-Anmeldeaktivitäten nutzt.

Für aktuelle GuardDuty-Konten kann die Funktion über die GuardDuty-Konsole auf der RDS-Schutzseite oder über die API aktiviert werden. Erfahren Sie mehr über GuardDuty RDS Protection.

Ja. Bei allen neuen Konten, die GuardDuty über die Konsole oder API aktivieren, ist der RDS-Schutz ebenfalls standardmäßig aktiviert. Bei neuen GuardDuty-Konten, die mit der Funktion automatische Aktivierung von AWS Organizations erstellt werden, ist der RDS-Schutz nicht standardmäßig aktiviert, es sei denn die Option automatische Aktivierung für RDS ist aktiviert.

Nein, der GuardDuty-Service muss aktiviert werden, um den GuardDuty RDS-Schutz zu nutzen.

Eine vollständige Liste der Regionen, in denen RDS Protection verfügbar ist, finden Sie unter Verfügbarkeit von regionsspezifischen Features.

Bitte sehen Sie sich die Liste der unterstützten Amazon-Aurora-Datenbankversionen an.

Nein. Die Bedrohungserkennung von GuardDuty für Aurora-Datenbanken wurde speziell so entwickelt, dass sie keine Auswirkungen auf die Leistung, die Verfügbarkeit oder die Kosten Ihrer Amazon-Aurora-Datenbanken hat.

GuardDuty Lambda Protection

GuardDuty Lambda Protection überwacht kontinuierlich Netzwerkaktivitätsprotokolle, die bei der Ausführung von AWS-Lambda-Funktionen generiert werden, um Bedrohungen für Lambda zu erkennen. Dazu gehören z. B. Funktionen, die in böswilliger Absicht für unbefugtes Krypto-Mining umfunktioniert wurden, oder kompromittierte Lambda-Funktionen, die mit Servern bekannter Bedrohungen kommunizieren. GuardDuty Lambda Protection kann mit wenigen Schritten in der GuardDuty-Konsole aktiviert und mithilfe von AWS Organizations zentral für alle vorhandenen und neuen Konten in einer Organisation aktiviert werden. Nach der Aktivierung beginnt es automatisch mit der Überwachung der Netzwerkaktivitätsdaten aller vorhandenen und neuen Lambda-Funktionen in einem Konto.

Für aktuelle GuardDuty-Konten kann die Funktion über die GuardDuty-Konsole auf der Seite für Lambda Protection oder über die API aktiviert werden. Erfahren Sie mehr über GuardDuty Lambda Protection.

Ja. Bei allen neuen Konten, die GuardDuty über die Konsole oder API aktivieren, ist Lambda Protection ebenfalls standardmäßig aktiviert. Bei neuen GuardDuty-Konten, die mit der Funktion automatische Aktivierung von AWS Organizations erstellt werden, ist Lambda Protection nicht standardmäßig aktiviert, es sei denn die Option automatische Aktivierung für Lambda ist aktiviert.

Eine vollständige Liste der Regionen, in denen Lambda Protection verfügbar ist, finden Sie unter Verfügbarkeit regionsspezifischer Funktionen.

Nein, GuardDuty Lambda Protection ist so konzipiert, dass es keine Auswirkungen auf Leistung, Verfügbarkeit oder Kosten auf Ihre Lambda-Workloads hat.