Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Grundlegendes zur Seite „Erkenntnisgruppen“ Auf der Seite „Suchgruppen“ werden alle Suchgruppen aufgeführt, die Amazon Detective anhand Ihres Verhaltensdiagramms gesammelt hat. Beachten Sie beim Auffinden von Gruppen die folgenden Eigenschaften: **Schweregrad einer Gruppe** Jeder Ergebnisgruppe wird ein Schweregrad zugewiesen, der auf dem ASFF-Schweregrad (AWS Security Finding Format) der zugehörigen Ergebnisse basiert. Die Schweregradwerte der ASFF-Erkenntnisse lauten **Kritisch**, **Hoch**, **Mittel**, **Niedrig** oder **Informativ**, vom höchsten bis zum geringsten Schweregrad. Der Schweregrad einer Gruppierung entspricht der Erkenntnis mit dem höchsten Schweregrad unter den Erkenntnissen in dieser Gruppierung. Gruppen, die aus Erkenntnissen mit **kritischem** oder **hohem** Schweregrad bestehen, die sich auf eine große Anzahl von Entitäten auswirken, sollten bei Untersuchungen bevorzugt werden, da es sich bei ihnen eher um Sicherheitsprobleme mit schwerwiegenden Auswirkungen handelt. **Gruppentitel** In der **Titelspalte** hat jede Gruppe eine eindeutige ID und einen nicht eindeutigen Titel. Diese basieren auf dem ASFF-Namespace für die Gruppe und der Anzahl der Erkenntnisse innerhalb dieses Namespaces im Cluster. Wenn eine Gruppierung beispielsweise den Titel: Gruppe mit: **TTP (2), Effekt (1) und Ungewöhnlichem Verhalten (2),** umfasst sie insgesamt fünf Erkenntnisse, bestehend aus zwei Erkenntnisse im **TTP-Namespace**, einer Erkenntnis im **Effekt-Namespace** und zwei Erkenntnissen im Namespace **Ungewöhnliches Verhalten**. [Eine vollständige Liste der Namespaces finden Sie unter Typen-Taxonomie für ASFF.](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format-type-taxonomy.html) **Taktiken in einer Gruppe** In der Spalte **Taktiken** in einer Gruppe wird angegeben, in welche Taktikkategorie die Aktivität fällt. Die Kategorien Taktiken, Techniken und Verfahren in der folgenden Liste entsprechen der [MITRE ATT&CK-Matrix](https://attack.mitre.org/matrices/enterprise/). Sie können eine Taktik in der Kette auswählen, um eine Beschreibung der Taktik zu erhalten. Unter der Kette befindet sich eine Liste der innerhalb der Gruppe erkannten Taktiken. Diese Kategorien und die Aktivitäten, für die sie typischerweise stehen, lauten wie folgt: + **Erster Zugriff** – Ein Angreifer versucht, in das Netzwerk einer anderen Person einzudringen. + **Ausführung** – Ein Angreifer versucht, in das Netzwerk einer anderen Person einzudringen. + **Beharrlichkeit** – Ein Angreifer versucht, seine Stellung zu halten. + **Eskalation von Rechten** – Ein Angreifer versucht, Berechtigungen auf höherer Ebene zu erlangen. + **Umgehung der Verteidigung** – Ein Angreifer versucht zu vermeiden, entdeckt zu werden. + **Zugriff auf Anmeldeinformationen** – Ein Angreifer versucht, Kontonamen und Passwörter zu stehlen. + **Entdeckung** – Ein Angreifer versucht, eine Umgebung zu verstehen und etwas über sie zu erfahren. + **Seitliche Bewegung** – Ein Angreifer versucht, sich in einer Umgebung zu bewegen. + **Erfassung** – Ein Angreifer versucht, Daten zu sammeln, die für sein Ziel von Interesse sind. + **Befehl und Steuerung** – Ein Angreifer versucht, in das Netzwerk einer anderen Person einzudringen. + **Exfiltration** – Ein Angreifer versucht, Daten zu stehlen. + **Auswirkung** – Ein Angreifer versucht, Ihre Systeme und Daten zu manipulieren, zu unterbrechen oder zu zerstören. + **Andere** – Weist auf eine Aktivität aufgrund einer Erkenntnis hin, das nicht mit den in der Matrix aufgeführten Taktiken übereinstimmt. **Entitäten innerhalb einer Gruppe** Die Spalte **Entitäten** enthält Details zu den spezifischen Entitäten, die innerhalb dieser Gruppierung erkannt wurden. Wählen Sie diesen Wert für eine Aufschlüsselung der Entitäten auf Grundlage der Kategorien: **Identität**, **Netzwerk**, **Speicher** und **Datenverarbeitung**. Beispiele für Entitäten in jeder Kategorie sind: + **Identität** — IAM-Prinzipale und AWS-Konten, wie Benutzer und Rolle + **Netzwerk** – IP-Adresse oder andere Netzwerk- und VPC-Entitäten + **Speicher** — Amazon S3 S3-Buckets oder DDBs + EC2 Amazon-Instances oder Kubernetes-Container **berechnen** **Konten innerhalb einer Gruppe** In der Spalte **Konten** erfahren Sie, welche AWS Konten Entitäten besitzen, die an den Ergebnissen in der Gruppe beteiligt waren. Die AWS Konten sind nach Namen und AWS ID aufgelistet, sodass Sie Untersuchungen von Aktivitäten, die kritische Konten betreffen, priorisieren können. **Erkenntnisse innerhalb einer Gruppe** In der Spalte **Erkenntnisse** werden die Entitäten innerhalb einer Gruppe nach Schweregrad aufgelistet. Zu den Ergebnissen gehören GuardDuty Ergebnisse von Amazon, Amazon Inspector,AWS Sicherheitserkenntnisse und Beweise von Detective. Sie können das Diagramm auswählen, um eine genaue Anzahl der Erkenntnisse nach Schweregrad anzuzeigen. GuardDuty Die Ergebnisse sind Teil des Detective-Kernpakets und werden standardmäßig aufgenommen. Alle anderen AWS Sicherheitsergebnisse, die von Security Hub CSPM aggregiert werden, werden als optionale Datenquelle aufgenommen. Weitere Informationen finden Sie unter [In einem Verhaltensdiagramm verwendete Quelldaten](https://docs.aws.amazon.com//detective/latest/userguide/detective-source-data-about.html).