Ich habe GuardDuty in meiner Umgebung aktiviert, aber GuardDuty hat keine Ergebnistypen generiert.

Lesedauer: 3 Minute

Ich habe Amazon GuardDuty in meiner Umgebung aktiviert, aber GuardDuty hat keine Ergebnistypen generiert. Wie kann ich dieses Problem beheben?

Kurzbeschreibung

Die Aktivierung von GuardDuty beginnt sofort mit der Überwachung auf Sicherheitsbedrohungen. Wenn GuardDuty ein Sicherheitsproblem entdeckt, wird ein Ergebnistyp generiert. Wenn GuardDuty keine Sicherheitsbedrohungen erkennt, werden keine Ergebnistypen generiert.

Auflösung

Um zu ermitteln, warum GuardDuty keine Ergebnistypen generiert hat, überprüfen Sie die folgenden Konfigurationen:

Die Datenquellen
Der GuardDuty-Status
Die Listen der vertrauenswürdigen IP-Adressen

Datenquellen

GuardDuty verwendet seine Datenquellen, um nicht autorisierte und unerwartete Aktivitäten mit Ressourcentypen für einige AWS-Services zu erkennen. Zu den Datenquellen gehören:

AWS-CloudTrail-Management-Ereignisprotokolle.
Flussprotokolle der Virtual Private Cloud (Amazon VPC).
DNS-Protokolle.
CloudTrail-Datenereignisse für Amazon Simple Storage Service (Amazon S3)
Kubernetes-Auditprotokoll
Ein Amazon Elastic Block Store (Amazon EBS)-Volumen.

Es ist eine bewährte Methode, GuardDuty Kubernetes Protection, Amazon S3-Schutz und Malware-Schutz zu aktivieren, die nicht standardmäßig aktiviert sind.

Hinweis: GuardDuty verarbeitet DNS-Protokolle nur, wenn Sie den Standard-VPC-DNS-Resolver verwenden. Alle anderen Arten von DNS-Resolvern generieren keine DNS-basierten Ergebnisse.

GuardDuty-Status

GuardDuty muss aktiviert sein, um zu generierende Typen zu finden. Wenn GuardDuty ausgesetzt oder deaktiviert ist, werden keine Ergebnistypen generiert. Es ist eine bewährte Methode, GuardDuty in allen unterstützten AWS-Regionen zu aktivieren. Auf diese Weise kann GuardDuty auch in Regionen, die Sie nicht aktiv nutzen, Ergebnistypen für nicht autorisierte oder ungewöhnliche Aktivitäten generieren.

Vertrauenswürdige IP-Listen

Sie können IP-Adressen, denen Sie für die Kommunikation in Ihrer AWS-Umgebung vertrauen, zu vertrauenswürdigen IP-Listen hinzufügen. Vertrauenswürdige IP-Listen verhindern, dass GuardDuty Ergebnistypen für Ereignisse generiert, die von vertrauenswürdigen IP-Adressen aus aufgetreten sind.

Es empfiehlt sich, eine Unterdrückungsregel anstelle einer Liste vertrauenswürdiger IP-Adressen zu verwenden, um auf erkannte Probleme in Ihrer Umgebung aufmerksam zu machen. Die Unterdrückungsregel reduziert die Anzahl der Benachrichtigungen der Ergebnistypen. Eine Unterdrückungsregel archiviert automatisch neue von GuardDuty generierte Ergebnisse, die bestimmten Kriterien entsprechen. Sie können unterdrückte Ergebnisse in der GuardDuty-Konsole überprüfen, indem Sie das Dropdown-Menü der Ergebnisansicht von Aktuell in Archiviert ändern.

Um GuardDuty-Ergebnisse für Tests zu erstellen, führen Sie einen der folgenden Schritte aus:

Erstellen Sie Beispielergebnisse über die GuardDuty-Konsole oder -API.
Generieren Sie automatisch allgemeine GuardDuty-Ergebnisse mithilfe des Skripts guardduty_tester.sh.

Weitere Informationen finden Sie unter Wie richte ich eine Liste vertrauenswürdiger IP-Adressen für GuardDuty ein?

Relevante Informationen

Erste Schritte mit GuardDuty

Warum schickte mir GuardDuty Warnmeldungen für eine vertrauenswürdige IP-Listenadresse?

Themen

Sicherheit, Identität & Konformität

Relevanter Inhalt

Warum habe ich von Amazon GuardDuty einen Denial of Service (DoS)-Erkenntnistyp für meine Amazon-EC2-Instance erhalten?
AWS OFFICIALAktualisiert vor einem Jahr
Warum hat mir GuardDuty Warnmeldungen für eine Liste vertrauenswürdiger IP-Adressen geschickt?
AWS OFFICIALAktualisiert vor 2 Jahren
Warum habe ich von Amazon GuardDuty einen Erkenntnistyp CryptoCurrency:EC2/BitcoinTool.B!DNS für meine Amazon EC2-Instance erhalten?
AWS OFFICIALAktualisiert vor 2 Jahren
Warum habe ich bei GuardDuty den AWS-Konto-ID-Status „Überprüfung fehlgeschlagen“ erhalten?
AWS OFFICIALAktualisiert vor einem Jahr