Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwaltung der GuardDuty Amazon-Ergebnisse
GuardDuty bietet mehrere wichtige Funktionen, mit denen Sie Ihre Ergebnisse sortieren, speichern und verwalten können. Diese Funktionen helfen Ihnen dabei, die Ergebnisse an Ihre spezifische Umgebung anzupassen, den Lärm aufgrund von Ergebnissen mit geringem Wert zu reduzieren und sich auf Bedrohungen für Ihre individuelle AWS Umgebung zu konzentrieren. Lesen Sie die Themen auf dieser Seite, um zu erfahren, wie Sie diese Funktionen nutzen können, um den Wert von Sicherheitsergebnissen in Ihrer Umgebung zu erhöhen.
**Themen:**
[Übersichts-Dashboard in Amazon GuardDuty](guardduty-summary.md)
Erfahren Sie mehr über die Komponenten des Übersichts-Dashboards, das in der GuardDuty Konsole verfügbar ist.
[Ergebnisse filtern in GuardDuty](guardduty_filter-findings.md)
Erfahren Sie, wie Sie GuardDuty Ergebnisse anhand der von Ihnen angegebenen Kriterien filtern können.
[Unterdrückungsregeln in GuardDuty](findings_suppression-rule.md)
Erfahren Sie, wie Sie mithilfe von Unterdrückungsregeln die Ergebnisse, auf die Sie GuardDuty aufmerksam gemacht werden, automatisch filtern können. Mithilfe von Unterdrückungsregeln werden Erkenntnisse automatisch auf der Grundlage von Filtern archiviert.
[Anpassen der Bedrohungserkennung mit Entitätenlisten und IP-Adresslisten](guardduty_upload-lists.md)
Passen Sie den GuardDuty Überwachungsbereich mithilfe von IP-Listen und Bedrohungslisten an, die auf öffentlich routbaren IP-Adressen basieren. Vertrauenswürdige IP-Listen verhindern, dass aus IP-Adressen, die Sie für vertrauenswürdig halten, Ergebnisse generiert werden, die nichts mit DNS GuardDuty zu tun haben, während Intel-Bedrohungslisten Sie vor benutzerdefinierten Aktivitäten warnen. IPs
[Generierte Ergebnisse nach Amazon S3 exportieren](guardduty_exportfindings.md)
Exportieren Sie die generierten Ergebnisse in einen Amazon S3 S3-Bucket, sodass Sie Aufzeichnungen über die 90-tägige Aufbewahrungsfrist für Ergebnisse hinaus verwalten können. GuardDuty Verwenden Sie diese historischen Daten, um potenzielle verdächtige Aktivitäten in Ihrem Konto nachzuverfolgen und zu bewerten, ob die empfohlenen Abhilfemaßnahmen erfolgreich waren.
[Bearbeitung von GuardDuty Ergebnissen mit Amazon EventBridge](guardduty_findings_eventbridge.md)
Richten Sie automatische Benachrichtigungen für GuardDuty Ergebnisse im Rahmen von EventBridge Amazon-Veranstaltungen ein. Sie können auch andere Aufgaben automatisieren EventBridge , um auf Ergebnisse zu reagieren.
[Grundlegendes zu CloudWatch Protokollen und Gründen für das Überspringen von Ressourcen beim Scan von Malware Protection for EC2](malware-protection-auditing-scan-logs.md)
Erfahren Sie, wie Sie die CloudWatch Logs for GuardDuty Malware Protection for EC2 überprüfen können und aus welchen Gründen Ihre betroffenen Amazon EC2 EC2-Instance- oder Amazon EBS-Volumes während des Scanvorgangs möglicherweise übersprungen wurden.
[Meldung von Fehlalarmen im Malware-Schutz für EC2](malware-protection-false-positives.md)
Erfahren Sie, wie Sie potenzielle falsch positive Bedrohungserkennungen in Malware Protection for EC2 melden können.
[S3-Objektscanergebnis in Malware Protection for S3 als falsch positiv meldenFalsch positives S3-Objektscanergebnis melden](report-malware-protection-s3-false-positives.md)
Erfahren Sie, wie Sie potenzielle falsch positive Bedrohungserkennungen in Malware Protection for S3 melden können.
[Falschmeldungen in Malware Protection for Backup melden](malware-protection-backup-false-positives.md)
Erfahren Sie, wie Sie potenzielle falsch positive Bedrohungserkennungen in Malware Protection for Backup melden können.
# Übersichts-Dashboard in Amazon GuardDuty
Das GuardDuty **Übersichts-Dashboard** bietet eine aggregierte Ansicht der GuardDuty Ergebnisse, die AWS-Konto in Ihrer aktuellen AWS-Region Version generiert wurden.
Wenn Sie ein GuardDuty Administratorkonto verwenden, bietet das Dashboard aggregierte Statistiken und Daten für Ihr Konto und Ihre Mitgliedskonten in Ihrer Organisation.
**Übersichts-Dashboard anzeigen**
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
GuardDuty zeigt standardmäßig das **Übersichts-Dashboard** an, wenn Sie die Konsole öffnen.
1. Wählen Sie auf der **Übersichtsseite** in der Regionsauswahl oben rechts in der Konsole die gewünschte Option AWS-Region aus.
1. Wählen Sie im Auswahlmenü für den Zeitraum den Zeitraum aus, für den Sie die Zusammenfassung anzeigen möchten. Standardmäßig zeigt das Dashboard die Daten für den heutigen Tag, den **heutigen** Tag, an.
**Anmerkung**
Wenn im ausgewählten Zeitraum keine Ergebnisse generiert wurden, enthält das Dashboard keine Daten zur Anzeige. Sie können das Dashboard aktualisieren oder den Datumsbereich anpassen.
**Topics**
+ [-Übersicht](#understanding-guardduty-summary-overview)
+ [Ergebnisse](#understanding-guardduty-summary-findings-widget)
+ [Die häufigsten Arten von Erkenntnissen](#understanding-guardduty-summary-most-common-finding-types)
+ [Erkenntnisse nach Schweregrad](#understanding-guardduty-summary-findings-by-sev)
+ [Konten mit den meisten Erkenntnissen](#understanding-guardduty-summary-account-with-findings)
+ [Ressourcen mit Erkenntnissen](#understanding-guardduty-summary-resources-with-findings)
+ [Am wenigsten auftretende Erkenntnisse](#understanding-guardduty-summary-least-occurring-findings)
+ [Geltungsbereich der Schutzpläne](#understanding-guardduty-summary-protection-plans-coverage)
## -Übersicht
Diese Einstellung bietet die folgenden Optionen:
+ **Angriffssequenzen**: Gibt die Anzahl der Ergebnisse der Angriffssequenz an, die in Ihrem Konto in der aktuellen Region GuardDuty generiert wurden.
GuardDuty erkennt potenzielle mehrstufige Angriffe auf Ihr Konto. Sie können die *Nummer* unter **Angriffssequenzen** auswählen, um die Details auf der Seite **Ergebnisse** einzusehen.
+ **Erkenntnisse insgesamt**: Gibt die Gesamtzahl von Erkenntnissen an, die in Ihrem Konto in der aktuellen Region generiert wurden. Dies umfasst sowohl einzelne Ergebnisse als auch Ergebnisse der Angriffssequenz.
+ **Ressourcen mit Ergebnissen**: Gibt die Anzahl der Ressourcen an, die mit einem Ergebnis verknüpft sind und potenziell gefährdet wurden.
+ **Konten mit Erkenntnissen**: Gibt die Anzahl der Konten an, in denen mindestens eine Erkenntnis generiert wurde. Wenn Sie ein eigenständiges Konto haben, ist der Wert in diesem Feld **1**.
Für die Zeitbereiche **Letzte 7 Tage** und **Letzte 30 Tage** kann im Bereich **Übersicht** der prozentuale Unterschied zwischen den generierten Erkenntnissen von Woche zu Woche (WoW) bzw. Monat zu Monat (MoM) angezeigt werden. Wenn in der Woche oder im Monat zuvor keine Erkenntnisse generiert wurden und keine Vergleichsdaten vorliegen, ist die prozentuale Differenz möglicherweise nicht verfügbar.
![\[Abschnitt „Übersicht“ im GuardDuty Übersichts-Dashboard.\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/images/attack-sequence-summary-overview-console.png)
Wenn Sie ein GuardDuty Administratorkonto haben, enthalten all diese Felder die zusammengefassten Daten aller Mitgliedskonten in Ihrer Organisation.
## Ergebnisse
Das **Ergebnis-Widget** zeigt bis zu acht Top-Ergebnisse an. Diese Ergebnisse werden nach ihrem Schweregrad aufgelistet, wobei *Kritische* Ergebnisse zuerst angezeigt werden.
Standardmäßig können Sie alle Ergebnisse anzeigen. Um nur Daten zu Ergebnissen der Angriffssequenz anzuzeigen, aktivieren Sie „**Nur Top-Angriffssequenzen**“.
In dieser Liste können Sie ein beliebiges Ergebnis auswählen, um dessen Details anzuzeigen.
![\[Widget „Ergebnisse“ im GuardDuty Übersichts-Dashboard.\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/images/attack-sequence-summary-finding-widget-console.png)
## Die häufigsten Arten von Erkenntnissen
Dieser Abschnitt enthält ein Kreisdiagramm, das die fünf häufigsten Ergebnisarten veranschaulicht, die in der aktuellen Region generiert wurden. Wenn Sie den Mauszeiger über die einzelnen Sektoren des Kreisdiagramms bewegen, können Sie Folgendes beobachten:
+ **Anzahl der Ergebnisse**: Gibt an, wie oft dieses Ergebnis im ausgewählten Zeitraum generiert wurde.
+ **Schweregrad**: Gibt den Schweregrad des Ergebnisses an.
+ **Prozentsatz**: Gibt den Anteil dieses Ergebnistyps im Verhältnis zum Gesamtwert an.
+ **Zuletzt generiert**: Gibt an, wie viel Zeit vergangen ist, seit dieser Befundtyp zuletzt erkannt wurde.
## Erkenntnisse nach Schweregrad
In diesem Abschnitt wird ein Balkendiagramm angezeigt, das die Gesamtzahl der Ergebnisse im ausgewählten Zeitraum anzeigt. Das Diagramm unterteilt die Ergebnisse nach Schweregrad (*Kritisch*, *Hoch*, *Mittel* und *Niedrig*) und hilft Ihnen dabei, die Anzahl der Ergebnisse für bestimmte Daten innerhalb des Bereichs anzuzeigen.
Um die Anzahl für jeden Schweregrad an einem bestimmten Datum anzuzeigen, bewegen Sie den Mauszeiger über den entsprechenden Balken im Diagramm.
## Konten mit den meisten Erkenntnissen
Diese Einstellung bietet die folgenden Optionen:
+ **Konto**: Gibt die AWS-Konto ID an, unter der das Ergebnis generiert wurde.
+ **Anzahl** der Erkenntnisse: Gibt an, wie oft eine Erkenntnis für diese Konto-ID generiert wurde.
+ **Zuletzt generiert**: Gibt an, wie viel Zeit seit der letzten Generierung dieses Erkenntnistyps vergangen ist.
+ **Filter für Schweregrad**: Standardmäßig werden die Daten für die Arten von Ergebnissen mit hohem Schweregrad angezeigt. Mögliche Optionen für dieses Feld sind **Gesamter Schweregrad, **Kritischer Schweregrad****, **Hoher Schweregrad** und **Mittlerer Schweregrad**.
## Ressourcen mit Erkenntnissen
Diese Einstellung bietet die folgenden Optionen:
+ **Ressource**: Zeigt den potenziell betroffenen Ressourcentyp an. Wenn diese Ressource zu Ihrem Konto gehört, können Sie auf den Quicklink zugreifen, um die Ressourcendetails einzusehen. Wenn Sie ein GuardDuty Administratorkonto haben, können Sie die Details der potenziell betroffenen Ressource einsehen, indem Sie mit den Anmeldeinformationen des Besitzer-Mitgliedskontos auf die GuardDuty Konsole zugreifen.
+ **Konto**: Gibt die AWS-Konto ID an, zu der diese Ressource gehört.
+ **Anzahl** der Erkenntnisse: Gibt an, wie oft diese Ressource mit einer Erkenntnis verknüpft wurde.
+ **Zuletzt generiert**: Gibt an, wie viel Zeit seit der letzten Generierung dieses Erkenntnistyps vergangen ist.
+ **Ressourcentypfilter**: Standardmäßig werden die Daten für alle Ressourcentypen angezeigt. Mithilfe dieses Filters können Sie wählen, ob Sie die Daten für einen bestimmten Ressourcentyp wie **Instance **AccessKey****, **Lambda** und andere anzeigen möchten.
+ **Schweregradfilter**: Standardmäßig werden die Daten für „**Gesamter Schweregrad**“ angezeigt. Mithilfe dieses Filters können Sie wählen, ob Sie die Daten für andere Schweregrade anzeigen möchten. Mögliche Optionen sind **Kritischer Schweregrad**, **Hoher Schweregrad**, **Mittlerer Schweregrad** und **Gesamter Schweregrad**.
## Am wenigsten auftretende Erkenntnisse
In diesem Abschnitt wird das Auffinden von Typen beschrieben, die in Ihrer AWS Umgebung selten vorkommen. Dieses Widget soll Ihnen helfen, potenzielle neu auftretende Bedrohungsmuster zu identifizieren und zu untersuchen.
Dieses Widget zeigt die folgenden Daten an:
+ **Suchtyp**: Zeigt den Namen des Suchtyps an.
+ **Anzahl der Erkenntnisse**: Gibt an, wie oft diese Erkenntnis im ausgewählten Zeitraum generiert wurde.
+ **Zuletzt generiert**: Gibt an, wie viel Zeit seit der letzten Generierung dieses Erkenntnistyps vergangen ist.
+ **Filter für Schweregrad**: Standardmäßig werden die Daten für die Typen mit hohem Schweregrad angezeigt. Mögliche Optionen für dieses Feld sind **Kritischer Schweregrad, **Hoher Schweregrad****, **Mittlerer Schweregrad** und **Gesamter Schweregrad**.
## Geltungsbereich der Schutzpläne
In diesem Abschnitt werden Statistiken für die Mitgliedskonten in Ihrer Organisation angezeigt. Er zeigt die Anzahl der Mitgliedskonten, die in der aktuellen Region aktiviert wurden GuardDuty (grundlegende Bedrohungserkennung). Nur ein delegierter GuardDuty Administrator kann die Statistiken für die Mitgliedskonten innerhalb seiner Organisation einsehen. Wenn Sie eine neue AWS Organisation erstellen, kann es bis zu 24 Stunden dauern, bis die Statistiken für die gesamte Organisation generiert sind.
**Wie benutzt man dieses Widget**
+ **Konfiguration**: Wenn kein Schutzplan konfiguriert ist, wählen Sie in der Spalte **Aktionen** die Option **Konfigurieren** aus.
+ **Aktivierte Konten anzeigen**: Bewegen Sie den Mauszeiger über die Leiste in der Spalte **Aktivierte Konten**, um zu sehen, für wie viele Konten die einzelnen Schutzpläne aktiviert wurden. Um weitere Kontodetails einzusehen, klicken Sie auf den grünen Balken und wählen Sie **Konten anzeigen** aus.
![\[Den Status der Aktivierung von Schutzplänen für Mitgliedskonten können Sie im GuardDuty Übersichts-Dashboard einsehen.\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/images/guardduty-summary-protection-plans-console.png)
# Ergebnisse filtern in GuardDuty
Mit einem Erkenntnisfilter können Sie Erkenntnisse anzeigen, die den von Ihnen angegebenen Kriterien entsprechen, und alle nicht übereinstimmenden Erkenntnisse herausfiltern. Sie können Suchfilter ganz einfach mit der GuardDuty Amazon-Konsole oder mit der [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html)API mithilfe von JSON erstellen. Lesen Sie die folgenden Abschnitte, um zu erfahren, wie Sie einen Filter in der Konsole erstellen. Informationen zur Verwendung dieser Filter zur automatischen Archivierung eingehender Erkenntnisse finden Sie unter [Unterdrückungsregeln in GuardDuty](findings_suppression-rule.md).
Beachten Sie bei der Erstellung von Filtern die folgende Liste:
+ Sie können mindestens ein Attribut oder maximal 50 Attribute als Kriterien für einen bestimmten Filter angeben.
+ Wenn Sie den Operator „**Gleich**“ oder „**Entspricht nicht**“ verwenden, um nach einem Attributwert wie der Konto-ID zu filtern, können Sie maximal 50 Werte angeben.
+ Jedes Filterkriterienattribut wird als `AND`-Operator ausgewertet. Mehrere Werte für dasselbe Attribut werden als `AND/OR` ausgewertet.
+ Informationen zur maximalen Anzahl von gespeicherten Filtern, die Sie AWS-Konto in jedem Filter erstellen können AWS-Region, finden Sie unter. [GuardDuty Kontingente](guardduty_limits.md)
Die folgenden Abschnitte enthalten Anweisungen zum Erstellen und Speichern von Filtern mithilfe von GuardDuty Konsolen-, API- und CLI-Befehlen. Wählen Sie Ihre bevorzugte Zugriffsmethode, um fortzufahren.
## Filtersatz in der GuardDuty Konsole erstellen und speichern
Suchfilter können über die GuardDuty Konsole erstellt und getestet werden. Sie können über die Konsole erstellte Filter speichern, um sie in Unterdrückungsregeln oder zukünftigen Filtervorgängen zu verwenden. Ein Filter besteht aus mindestens einem Filterkriterium, das aus einem Filterattribut in Kombination mit mindestens einem Wert besteht.
**Um Filterkriterien zu erstellen und zu speichern (Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im linken Navigationsbereich **Findings** aus.
1. Wählen Sie auf der Seite **Ergebnisse** die Leiste *Ergebnisse filtern* neben dem Menü **Gespeicherte Regeln** aus. Daraufhin wird eine erweiterte Liste von **Eigenschaftenfiltern** angezeigt.
![\[Auswahl von Eigenschaftsfiltern, um Ergebnisse in der GuardDuty Konsole zu filtern.\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/images/guardduty-findings-page-console.png)
1. Wählen Sie aus der erweiterten Filterliste ein Attribut aus, auf dessen Grundlage Sie die Ergebnistabelle filtern möchten.
**Um beispielsweise Ergebnisse anzuzeigen, bei denen es sich bei der potenziell betroffenen Ressource um einen **S3-Bucket** handelt, wählen Sie Ressourcentyp aus.**
1. Wählen Sie für **Operatoren** einen Operator aus, der Ihnen hilft, die Ergebnisse zu filtern, um das gewünschte Ergebnis zu erzielen. Um mit dem Beispiel aus dem vorherigen Schritt fortzufahren, wählen Sie **Ressourcentyp =**. Daraufhin wird eine Liste der Ressourcentypen in angezeigt GuardDuty.
![\[Wählen Sie den Operator ist gleich oder ungleich, um die Ergebnisse in GuardDuty der Konsole zu filtern.\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/images/guardduty-findings-page-filters-operator-console.png)
**Wenn Ihr Anwendungsfall das Ausschließen bestimmter Ergebnisse erfordert, können Sie „**Entspricht nicht“ oder „\$1**“ wählen. **= Operator.
1. Geben Sie den Wert für den ausgewählten Eigenschaftenfilter an. Wählen Sie bei Bedarf **Anwenden** aus. Um mit dem Beispiel aus dem vorherigen Schritt fortzufahren, können Sie **S3Bucket** wählen.
Dadurch werden die Ergebnisse angezeigt, die mit den angewendeten Filtern übereinstimmen.
1. Um mehr als ein Filterkriterium hinzuzufügen, wiederholen Sie die Schritte 3-6.
Eine vollständige Liste der Attribute finden Sie unter[Eigenschaftsfilter in GuardDuty](#filter_criteria).
1.
**(Optional) Speichern Sie die angegebenen Attribute und Werte als Filter**
Um diese Filterkombination in future erneut anzuwenden, können Sie die angegebenen Attribute und ihre Werte als Filtersatz speichern.
1. Nachdem Sie ein Filterkriterium mit einem oder mehreren Eigenschaftsfiltern erstellt haben, wählen Sie den *Pfeil* im Menü **Filter löschen** aus.
![\[Speichern Sie einen Filtersatz in der GuardDuty Konsole, um die Ergebnisse erneut filtern zu können.\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/images/guardduty-findings-page-filters-console.png)
1. Geben Sie den **Namen des Filtersatzes ein**. Der Name muss 3-64 Zeichen lang sein. Gültige Zeichen sind a-z, A-Z, 0-9, Punkt (.), Bindestrich (-) und Unterstrich (\$1).
1. Die **Beschreibung** ist optional. Wenn Sie eine Beschreibung eingeben, kann diese bis zu 512 Zeichen lang sein.
1. Wählen Sie **Erstellen** aus.
## Filtersatz mithilfe von GuardDuty API und CLI erstellen und speichern
Sie können die Suchfilter entweder mithilfe von API- oder CLI-Befehlen erstellen und testen. Ein Filter besteht aus mindestens einem Filterkriterium, das aus einem Filterattribut in Kombination mit mindestens einem Wert besteht. Sie können Filter speichern, um sie später zu erstellen [Unterdrückungsregeln](findings_suppression-rule.md) oder andere Filtervorgänge auszuführen.
**So erstellen Sie Suchfilter mit API/CLI**
+ Führen Sie die [CreateFilter](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html)API aus, indem Sie die regionale Detektor-ID des AWS-Konto Standorts verwenden, für den Sie einen Filter erstellen möchten.
Den `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
+ Alternativ können Sie die [Create-Filter-CLI verwenden, um den Filter](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/create-filter.html) zu erstellen und zu speichern. Sie können ein oder mehrere Filterkriterien von verwenden. [Eigenschaftsfilter in GuardDuty](#filter_criteria)
Verwenden Sie die folgenden Beispiele, indem Sie die rot markierten Platzhalterwerte ersetzen.
**Beispiel 1**: Erstellen Sie einen neuen Filter, um alle Ergebnisse anzuzeigen, die einem bestimmten Befundtyp entsprechen
Im folgenden Beispiel wird ein Filter erstellt, der allen `PortScan` Ergebnissen für eine Instanz entspricht, die aus einem bestimmten Bild erstellt wurde. Die Platzhalterwerte werden rot angezeigt. Ersetzen Sie diese Werte durch geeignete Werte für Ihr Konto. Ersetzen Sie sie beispielsweise *12abc34d567e8fa901bc2d34EXAMPLE* durch Ihre regionale Melder-ID.
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
--name FilterExampleName \
--finding-criteria '{"Criterion": {"type": {"Equals": ["Recon:EC2/Portscan"]}, "resource.instanceDetails.imageId": {"Equals":["ami-0a7a207083example"]}} }'
```
**Beispiel 2**: Erstellen Sie einen neuen Filter, um alle Ergebnisse anzuzeigen, die den Schweregraden entsprechen
Im folgenden Beispiel wird ein Filter erstellt, der allen Ergebnissen entspricht, die mit den `HIGH` Schweregraden verknüpft sind. Die Platzhalterwerte werden rot dargestellt. Ersetzen Sie diese Werte durch geeignete Werte für Ihr Konto. Ersetzen Sie sie beispielsweise *12abc34d567e8fa901bc2d34EXAMPLE* durch Ihre regionale Melder-ID.
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
--name FilterExampleName \
--finding-criteria '{"Criterion": {"severity": {"Equals": ["7", "8"]}} }'
```
+ Für API/CLI [Schweregrade der Ergebnisse](guardduty_findings-severity.md) werden sie als Zahlen dargestellt. Verwenden Sie die folgenden Werte, um die Ergebnisse nach Schweregrad zu filtern:
+ Verwenden Sie für `LOW` Schweregrade `{ "severity": { "Equals": ["1", "2", "3"] } }`
+ Verwenden Sie für `MEDIUM` Schweregrade `{ "severity": { "Equals": ["4", "5", "6"] } }`
+ Verwenden Sie für `HIGH` Schweregrade `{ "severity": { "Equals": ["7", "8"] } }`
+ Verwenden Sie für `CRITICAL` Schweregrade `{ "severity": { "Equals": ["9", "10"] } }`
+ Verwenden Sie für Ergebnisse mit mehreren Schweregraden Platzhalterwerte, die dem folgenden Beispiel ähneln: `{ "severity": { "Equals": ["7", "8", "9", "10"] } }`
In diesem Beispiel werden die Ergebnisse angezeigt, die entweder einen `HIGH` oder einen `CRITICAL` Schweregrad haben.
**Anmerkung**
Wenn Sie ein Beispiel mit nur einem numerischen Wert anstelle aller numerischen Werte angeben, die einem Schweregrad zugeordnet sind, zeigen die API und die CLI möglicherweise die gefilterten Ergebnisse an. Wenn Sie diesen gespeicherten Filtersatz in der GuardDuty Konsole verwenden, funktioniert er nicht wie erwartet. Das liegt daran, dass die GuardDuty Konsole die Filterwerte als`CRITICAL`, `HIGH``MEDIUM`, und betrachtet`LOW`. Beispielsweise `{ "severity": { "Equals": ["9"] } }` wird erwartet, dass ein Filter, der mit einem CLI-Befehl erstellt wurde, der Folgendes enthält, eine entsprechende Ausgabe in API/CLI anzeigt. Dieser gespeicherte Filter enthält jedoch bei Verwendung in der GuardDuty Konsole einen teilweisen Schweregrad und zeigt keine erwartete Ausgabe an. Dies macht es erforderlich, dass die API und die CLI alle Werte angeben, die jedem Schweregrad zugeordnet sind.
## Eigenschaftsfilter in GuardDuty
Wenn Sie Filter erstellen oder Erkenntnisse mithilfe der API-Vorgänge sortieren, müssen Sie Filterkriterien in JSON angeben. Diese Filterkriterien korrelieren mit den JSON-Details einer Erkenntnis. Die folgende Tabelle enthält eine Liste der Konsolenanzeigenamen für Filterattribute und die entsprechenden JSON-Feldnamen.
| Konsolen-Feldname | JSON-Feldname |
| --- | --- |
| Konto-ID | accountId |
| Die ID des Ergebnisses | id |
| Region | Region |
| Schweregrad | severity Sie können die Befundtypen auf der Grundlage des Schweregrads der Befundtypen filtern. Weitere Informationen zu Schweregradwerten finden Sie unter[Schweregrad der Ergebnisse GuardDuty](guardduty_findings-severity.md). Wenn Sie `severity` zusammen mit API AWS CLI, oder verwenden CloudFormation, wird ihr ein numerischer Wert zugewiesen. Weitere Informationen finden Sie unter [FindingCriteria](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html#guardduty-CreateFilter-request-findingCriteria) in der *Amazon GuardDuty API-Referenz*. |
| Ergebnistyp | type |
| Aktualisiert um | updatedAt |
| Access Key ID | Ressource. accessKeyDetails. accessKeyId |
| Haupt-ID | Ressource. accessKeyDetails. principalId |
| Username | Ressource. accessKeyDetails. userName |
| Benutzertyp | Ressource. accessKeyDetails. Benutzertyp |
| ID des IAM-Instance-Profils | Ressource.Instanzdetails. iamInstanceProfile.id |
| Instance-ID | resource.instanceDetails.instanceId |
| ID des Instance-Image | resource.instanceDetails.imageId |
| Instance-Tag-Schlüssel | resource.instanceDetails.tags.key |
| Instance-Tag-Wert | resource.instanceDetails.tags.value |
| IPv6 Adresse | resource.instanceDetails.networkInterfaces.ipv6Addresses |
| Private IPv4 Adresse | Resource.Instanzdetails.Netzwerkschnittstellen. privateIpAddresses. privateIpAddress |
| Öffentlicher DNS-Name | Resource.InstanceDetails.Netzwerkschnittstellen. publicDnsName |
| Öffentliche IP | resource.instanceDetails.networkInterfaces.publicIp |
| Sicherheitsgruppen-ID | resource.instanceDetails.networkInterfaces.securityGroups.groupId |
| Name der Sicherheitsgruppe | resource.instanceDetails.networkInterfaces.securityGroups.groupName |
| Subnetz-ID | resource.instanceDetails.networkInterfaces.subnetId |
| VPC-ID | resource.instanceDetails.networkInterfaces.vpcId |
| Outpost-ARN | resource.instanceDetails.outpostARN |
| Ressourcentyp | resource.resourceType |
| Bucket-Berechtigungen | resource.s3 .publicAccess.EffectivePermission BucketDetails |
| Bucket-Name | resource.s3 BucketDetails .name |
| Bucket-Tag-Schlüssel | resource.s3 BucketDetails .tags.key |
| Bucket-Tag-Wert | resource.s3 BucketDetails .tags.value |
| Bucket-Typ | resource.s3 BucketDetails .type |
| Aktionstyp | service.action.actionType |
| Aufgerufene API | dienste.aktion. awsApiCallAktion.API |
| API-Aufrufertyp | Service.Aktion. awsApiCallAktion.Anrufertyp |
| API-Fehlercode | dienst.aktion. awsApiCallAktion.Fehlercode |
| Stadt des API-Aufrufers | Service.Aktion. awsApiCallAktion. remoteIpDetails.Stadt.Stadtname |
| Land des API-Aufrufers | dienst.aktion. awsApiCallAktion. remoteIpDetails. Land.Ländername |
| Adresse des API-Anrufers IPv4 | service.action. awsApiCallAktion. remoteIpDetails.IP-Adresse v4 |
| Adresse des API-Anrufers IPv6 | service.action. awsApiCallAktion. remoteIpDetails.IP-Adresse V6 |
| ASN-ID des API-Aufrufers | dienst.aktion. awsApiCallAktion. remoteIpDetails.organization.asn |
| ASN-Name des API-Aufrufers | dienste.aktion. awsApiCallAktion. remoteIpDetails. Organisation. ASNORG |
| Servicename des API-Aufrufers | Service.Aktion. awsApiCallAktion.Dienstname |
| DNS-Anforderungs-Domain | dienst.aktion. dnsRequestAction.domäne |
| Domainsuffix der DNS-Anforderung | service.action. dnsRequestAction. domainWithSuffix |
| Netzwerkverbindung blockiert | Service.Aktion. networkConnectionAction. blockiert |
| Netzwerkverbindungsrichtung | Service.Aktion. networkConnectionAction. Verbindungsrichtung |
| Netzwerkverbindung lokaler Port | dienst.aktion. networkConnectionAction. localPortDetails. Hafen |
| Netzwerkverbindungsprotokoll | Service.Aktion. networkConnectionAction. Protokoll |
| Netzwerkverbindung Stadt | Service.Aktion. networkConnectionAction. remoteIpDetails.Stadt.Stadtname |
| Netzwerkverbindung Land | dienst.aktion. networkConnectionAction. remoteIpDetails. Land.Landesname |
| Remote-Adresse der Netzwerkverbindung IPv4 | service.action. networkConnectionAction. remoteIpDetails. IP-Adresse v4 |
| Remote-Adresse der Netzwerkverbindung IPv6 | service.action. networkConnectionAction. remoteIpDetails. IP-Adresse v6 |
| Remote IP ASN-ID der Netzwerkverbindung | dienst.aktion. networkConnectionAction. remoteIpDetails.organisation.asn |
| Remote IP ASN-Name der Netzwerkverbindung | dienste.aktion. networkConnectionAction. remoteIpDetails. Organisation. ASNORG |
| Remote-Port der Netzwerkverbindung | Service.Aktion. networkConnectionAction. remotePortDetails. Hafen |
| Remote-Konto zugeordnet | Service.Aktion. awsApiCallAktion. remoteAccountDetails. angegliedert |
| Adresse des Kubernetes-API-Anrufers IPv4 | service.action. kubernetesApiCallAktion. remoteIpDetails.IP-Adresse v4 |
| Adresse des Kubernetes-API-Aufrufers IPv6 | service.action. kubernetesApiCallAktion. remoteIpDetails.IP-Adresse V6 |
| Kubernetes-Namespace | dienst.aktion. kubernetesApiCallAktion.Namespace |
| ASN-ID des Kubernetes-API-Aufrufers | dienst.aktion. kubernetesApiCallAktion. remoteIpDetails.organization.asn |
| URI für die Kubernetes-API-Aufrufanforderung | dienste.aktion. kubernetesApiCallAktion.Anforderungs-URI |
| Kubernetes-API-Statuscode | dienst.aktion. kubernetesApiCallAktion.Statuscode |
| Lokale Adresse der Netzwerkverbindung IPv4 | service.action. networkConnectionAction. localIpDetails. IP-Adresse v4 |
| Lokale Adresse der Netzwerkverbindung IPv6 | service.action. networkConnectionAction. localIpDetails. IP-Adresse v6 |
| Protocol (Protokoll) | dienst.aktion. networkConnectionAction. Protokoll |
| Servicename des API-Aufrufs | Service.Aktion. awsApiCallAktion.Dienstname |
| Konto-ID des API-Aufrufers | dienst.aktion. awsApiCallAktion. remoteAccountDetails. accountId |
| Name der Bedrohungsliste | Service. Zusätzliche Informationen. threatListName |
| Ressourcenrolle | service.resourceRole |
| EKS-Cluster-Name | Ressource. eksClusterDetails.name |
| Name des Kubernetes-Workloads | Resource.KubernetesEinzelheiten. kubernetesWorkloadDetails.name |
| Namespace des Kubernetes-Workloads | Resource.KubernetesEinzelheiten. kubernetesWorkloadDetails. Namespace |
| Kubernetes-Benutzername | Resource.KubernetesEinzelheiten. kubernetesUserDetails. Nutzername |
| Kubernetes-Container-Image | Resource.KubernetesEinzelheiten. kubernetesWorkloadDetails.containers.image |
| Kubernetes-Container-Image-Präfix | Resource.KubernetesEinzelheiten. kubernetesWorkloadDetails.containers.imagePräfix |
| Scan-ID | Dienst. ebsVolumeScanEinzelheiten. ScanID |
| Name der Bedrohung durch EBS Volume Scan | Dienst. ebsVolumeScanEinzelheiten. Erkennungen scannen. threatDetectedByName.Bedrohungsnames.Name |
| Name der Bedrohung durch S3-Objektscan | Dienst. malwareScanDetails.bedrohungen.name |
| Schweregrad der Bedrohung | Dienst. ebsVolumeScanEinzelheiten. Erkennungen scannen. threatDetectedByName.Bedrohungsnames.Schweregrad |
| Datei-SHA | Dienst. ebsVolumeScanEinzelheiten. Erkennungen scannen. threatDetectedByName.Bedrohungsnames.FilePaths.Hash |
| ECS-Cluster-Name | Ressource. ecsClusterDetails.name |
| ECS-Container-Image | Ressource. ecsClusterDetails.taskdetails.containers.image |
| ARN der ECS-Aufgabendefinition | Ressource. ecsClusterDetails.taskdetails.definitionARN |
| Eigenständiges Container-Image | resource.containerDetails.image |
| Datenbank-Instance-ID | Ressource. rdsDbInstanceEinzelheiten. dbInstanceIdentifier |
| Datenbank-Cluster-ID | Ressource. rdsDbInstanceEinzelheiten. dbClusterIdentifier |
| Datenbank-Engine | Ressource. rdsDbInstanceEinzelheiten. Motor |
| Datenbankbenutzer | Ressource. rdsDbUserEinzelheiten. Benutzer |
| Tag-Schlüssel der Datenbank-Instance | Ressource. rdsDbInstancedetails.tags.key |
| Tag-Wert der Datenbank-Instance | Ressource. rdsDbInstanceDetails.Tags.Wert |
| Ausführbare SHA-256 | service.runtimeDetails.process.executableSha256 |
| Prozessname | service.runtimeDetails.process.name |
| Pfad der ausführbaren Datei | service.runtimeDetails.process.executablePath |
| Lambda-Funktionsname | resource.lambdaDetails.functionName |
| ARN der Lambda-Funktion | resource.lambdaDetails.functionArn |
| Lambda-Funktions-Tag-Schlüssel | resource.lambdaDetails.tags.key |
| Tag-Wert der Lambda-Funktion | resource.lambdaDetails.tags.value |
| DNS-Anforderungs-Domain | Service.Aktion. dnsRequestAction. domainWithSuffix |
# Unterdrückungsregeln in GuardDuty
Eine Unterdrückungsregel ist eine Reihe von Kriterien, die zum Filtern von Erkenntnissen verwendet werden, indem neue Erkenntnisse, die den angegebenen Kriterien entsprechen, automatisch archiviert werden. Unterdrückungsregeln können verwendet werden, um Ergebnisse mit niedrigem Wert, falsch positive Ergebnisse oder Bedrohungen zu filtern, auf die Sie nicht reagieren möchten, sodass die Sicherheitsbedrohungen mit den meisten Auswirkungen auf Ihre Umgebung leichter zu erkennen sind.
Nachdem Sie eine Unterdrückungsregel erstellt haben, werden neue Ergebnisse, die den in der Regel definierten Kriterien entsprechen, automatisch archiviert, solange die Unterdrückungsregel gültig ist. Sie können einen vorhandenen Filter verwenden, um eine Unterdrückungsregel zu erstellen, oder einen neuen Filter für die Unterdrückungsregel definieren, während Sie sie erstellen. Sie können Unterdrückungsregeln so konfigurieren, dass ganze Ergebnistypen unterdrückt werden, oder detailliertere Filterkriterien definieren, damit nur bestimmte Instances eines bestimmten Ergebnistyps unterdrückt werden. Sie können die Unterdrückungsregeln jederzeit bearbeiten.
Unterdrückte Ergebnisse werden nicht an Amazon Simple Storage Service AWS Security Hub CSPM, Amazon Detective oder Amazon gesendet, wodurch der Geräuschpegel reduziert wird EventBridge, wenn Sie GuardDuty Ergebnisse über Security Hub CSPM, ein SIEM eines Drittanbieters oder andere Alarm- und Ticketing-Anwendungen nutzen. Wenn Sie diese Option aktiviert haben[Malware-Schutz für EC2](malware-protection.md), wird aufgrund der unterdrückten GuardDuty Ergebnisse kein Malware-Scan ausgelöst.
GuardDuty generiert weiterhin Ergebnisse, auch wenn sie Ihren Unterdrückungsregeln entsprechen. Diese Ergebnisse werden jedoch automatisch als **archiviert** markiert. Das archivierte Ergebnis wird 90 Tage lang gespeichert und kann in GuardDuty diesem Zeitraum jederzeit eingesehen werden. Sie können unterdrückte Ergebnisse in der GuardDuty Konsole anzeigen, indem Sie in der Tabelle mit den Ergebnissen die Option **Archiviert** auswählen, oder Sie können die GuardDuty API über die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html)API aufrufen, wobei das `findingCriteria` Kriterium „wahr“ `service.archived` lautet.
**Anmerkung**
In einer Umgebung mit mehreren Konten kann nur der GuardDuty Administrator Unterdrückungsregeln erstellen.
## Verwenden von Unterdrückungsregeln mit Extended Threat Detection
GuardDuty Extended Threat Detection erkennt automatisch mehrstufige Angriffe, die sich über Datenquellen, mehrere AWS Ressourcentypen und einen Zeitraum innerhalb eines AWS-Konto Zeitraums erstrecken. Es korreliert Ereignisse aus verschiedenen Datenquellen, um Szenarien zu identifizieren, die eine potenzielle Bedrohung für Ihre AWS Umgebung darstellen, und generiert dann eine Feststellung der Angriffssequenz. Weitere Informationen finden Sie unter [So funktioniert Extended Threat Detection](guardduty-extended-threat-detection.md#extended-threat-detection-how-it-works).
Wenn Sie Unterdrückungsregeln erstellen, die Ergebnisse archivieren, kann Extended Threat Detection diese archivierten Ergebnisse nicht verwenden, um Ereignisse für Angriffssequenzen zu korrelieren. Umfassende Unterdrückungsregeln können sich auf die Fähigkeit auswirken, Verhaltensweisen GuardDuty zu erkennen, die auf die Erkennung mehrstufiger Angriffe abgestimmt sind. Ergebnisse, die aufgrund von Unterdrückungsregeln archiviert werden, gelten nicht als Signale für Angriffssequenzen. Wenn Sie beispielsweise eine Unterdrückungsregel erstellen, die alle Ergebnisse archiviert, die sich auf den EKS-Cluster beziehen, anstatt auf bestimmte bekannte Aktivitäten abzuzielen, können Sie diese Ergebnisse GuardDuty nicht verwenden, um eine Angriffssequenz zu erkennen, bei der ein Bedrohungsakteur einen Container ausnutzt, privilegierte Token erhält und auf vertrauliche Ressourcen zugreift.
Beachten Sie die folgenden Empfehlungen von: GuardDuty
+ Verwenden Sie weiterhin Unterdrückungsregeln, um Warnmeldungen aufgrund bekannter vertrauenswürdiger Aktivitäten zu reduzieren.
+ Konzentrieren Sie sich bei den Unterdrückungsregeln auf bestimmte Verhaltensweisen, für die Sie keine Ergebnisse generieren GuardDuty möchten.
## Häufige Anwendungsfälle für Unterdrückungsregeln und Beispiele
Die folgenden Befundtypen haben häufig Anwendungsfälle für die Anwendung von Unterdrückungsregeln. Wählen Sie den Namen des Befundes aus, um mehr über dieses Ergebnis zu erfahren. Lesen Sie die Beschreibung des Anwendungsfalls, um zu entscheiden, ob Sie eine Unterdrückungsregel für diesen Befundtyp erstellen möchten.
**Wichtig**
GuardDuty empfiehlt, dass Sie Unterdrückungsregeln reaktiv und nur für Ergebnisse erstellen, für die Sie in Ihrer Umgebung wiederholt falsch positive Ergebnisse festgestellt haben.
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws) – Verwenden Sie eine Unterdrückungsregel, die automatisch Erkenntnisse archiviert, die generiert werden, falls das VPC-Netzwerk so konfiguriert ist, dass der Internet-Datenverkehr über ein On-Premises-Gateway anstelle eines VPC-Internet-Gateways weitergeleitet wird.
Diese Erkenntnis wird generiert, wenn das Netzwerk so konfiguriert ist, dass der Internetverkehr von einem On-Premises-Gateway und nicht von einem VPC Internet Gateway (IGW) ausgeht. Geläufige Konfigurationen, z. B. die Verwendung von [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/), oder VPC-VPN-Verbindungen, können dazu führen, dass Datenverkehr auf diese Weise weitergeleitet wird. Wenn dieses Verhalten zu erwarten ist, empfiehlt es sich, Unterdrückungsregeln zu verwenden und eine Regel zu erstellen, die aus zwei Filterkriterien besteht. Das erste Kriterium ist der **Erkenntnistyp**, der `UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS` sein sollte. Das zweite Filterkriterium ist die ** IPv4 API-Anruferadresse** mit der IP-Adresse oder dem CIDR-Bereich Ihres lokalen Internet-Gateways. Das folgende Beispiel stellt den Filter dar, den Sie verwenden würden, um diesen Erkenntnistyp auf der Grundlage der IP-Adresse des API-Aufrufers zu unterdrücken.
```
Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6
```
**Anmerkung**
Um mehrere API-Aufrufer einzubeziehen, können IPs Sie für jeden einen neuen IPv4 API-Anrufer-Adressfilter hinzufügen.
+ [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan) – Verwenden Sie eine Unterdrückungsregel, um Erkenntnisse automatisch zu aktivieren, wenn Sie eine Anwendung für Schwachstellenanalysen verwenden.
Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut **Ergebnistyp** mit dem Wert `Recon:EC2/Portscan` verwenden. Das zweite Filterkriterium sollte den Instances entsprechen, die diese Tools zur Schwachstellenanalyse hosten. Sie können entweder das Attribut **Instance-Image-ID** oder das Attribut **Tag** verwenden, abhängig davon, welches Kriterium mit den Instances identifiziert werden kann, die diese Tools hosten. Das folgende Beispiel stellt den Filter dar, den Sie verwenden würden, um diesen Erkenntnistyp auf der Grundlage von Instances mit einem bestimmten AMI zu unterdrücken.
```
Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999
```
+ [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce) – Verwenden Sie eine Unterdrückungsregel, um Erkenntnisse, die sich auf Bastion-Instances beziehen, automatisch zu archivieren.
Wenn das Ziel des Brute-Force-Versuchs ein Bastion-Host ist, kann dies das erwartete Verhalten für Ihre Umgebung darstellen. AWS In diesem Fall sollten Sie für diese Erkenntnis eine Unterdrückungsregel einrichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut **Ergebnistyp** mit dem Wert `UnauthorizedAccess:EC2/SSHBruteForce` verwenden. Das zweite Filterkriterium sollte der oder den Instances entsprechen, die als Bastion-Host eingesetzt werden. Sie können entweder das Attribut **Instance-Image-ID** oder das Attribut **Tag** verwenden, abhängig davon, welches Kriterium mit den Instances identifiziert werden kann, die diese Tools hosten. Das folgende Beispiel stellt den Filter dar, den Sie verwenden würden, um diesen Erkenntnistyp auf der Grundlage von Instances mit einem bestimmten Instance-Tag-Wert zu unterdrücken.
```
Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops
```
+ [Recon:EC2/PortProbeUnprotectedPort](guardduty_finding-types-ec2.md#recon-ec2-portprobeunprotectedport) – Verwenden Sie eine Unterdrückungsregel, um Erkenntnisse automatisch zu archivieren, wenn sie auf absichtlich exponierte Instances ausgerichtet ist.
In einigen Fällen werden Instances absichtlich exponiert, weil sie beispielsweise Webserver hosten. Wenn dies in Ihrer AWS Umgebung der Fall ist, empfehlen wir Ihnen, eine Unterdrückungsregel für dieses Ergebnis einzurichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut **Ergebnistyp** mit dem Wert `Recon:EC2/PortProbeUnprotectedPort` verwenden. Das zweite Filterkriterium sollte der oder den Instances entsprechen, die als Bastion-Host eingesetzt werden. Sie können entweder das Attribut **Instance-Image-ID** oder das Attribut **Tag** verwenden, abhängig davon, welches Kriterium mit den Instances identifiziert werden kann, die diese Tools hosten. Das folgende Beispiel stellt den Filter dar, den Sie verwenden würden, um diesen Erkenntnistyp auf der Grundlage von Instances mit einem bestimmten Instance-Tag-Schlüssel in der Konsole zu unterdrücken.
```
Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod
```
### Empfohlene Unterdrückungsregeln für Ergebnisse von Runtime Monitoring
+ [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed) wird generiert, wenn ein Prozess in einem Container mit dem Docker-Socket kommuniziert. Möglicherweise gibt es Container in Ihrer Umgebung, die aus legitimen Gründen auf den Docker-Socket zugreifen müssen. Der Zugriff von solchen Containern generiert PrivilegeEscalation:Runtime/DockerSocketAccessed-Erkenntnisse. Wenn dies in Ihrer AWS Umgebung der Fall ist, empfehlen wir Ihnen, eine Unterdrückungsregel für diesen Befundtyp einzurichten. Das erste Kriterium sollte das Attribut **Erkenntnistyp** mit dem Wert `PrivilegeEscalation:Runtime/DockerSocketAccessed` verwenden. Das zweite Filterkriterium ist das Feld **Ausführbarer Pfad** mit einem Wert, der dem Wert des Prozesses `executablePath` in der generierten Erkenntnis entspricht. Alternativ kann das zweite Filterkriterium das Feld **Ausführbare SHA-256** verwenden, dessen Wert dem `executableSha256` des Prozesses in der generierten Erkenntnis entspricht.
+ Kubernetes-Cluster führen ihre eigenen DNS-Server als Pods aus, z. B. `coredns`. Daher werden bei jeder DNS-Suche in einem Pod zwei DNS-Ereignisse GuardDuty erfasst — eines vom Pod und das andere vom Server-Pod. Dadurch können Duplikate für die folgenden DNS-Erkenntnisse generiert werden:
+ [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns)
+ [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation)
+ [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation)
+ [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation)
+ [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation)
+ [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns)
+ [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns)
+ [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns)
+ [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns)
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns)
Die doppelten Erkenntnisse umfassen Pod-, Container- und Prozessdetails, die Ihrem DNS-Server-Pod entsprechen. Sie können mithilfe dieser Felder eine Unterdrückungsregel einrichten, um diese doppelten Erkenntnisse zu unterdrücken. Die ersten Filterkriterien sollten das Feld **Erkenntnistyp** verwenden, dessen Wert einem DNS-Erkenntnistyp aus der Liste der Erkenntnisse entspricht, die weiter oben in diesem Abschnitt bereitgestellt wurde. Das zweite Filterkriterium könnte entweder **ausführbarer Pfad** mit einem Wert sein, der dem Wert Ihres DNS-Servers entspricht, `executablePath` oder **Ausführbare SHA-256** mit einem Wert, der dem Wert Ihres DNS-Servers `executableSHA256` in der generierten Erkenntnis entspricht. Als optionales drittes Filterkriterium können Sie das Feld **Kubernetes-Container-Image** verwenden, dessen Wert dem Container-Image Ihres DNS-Server-Pods in der generierten Erkenntnis entspricht.
# Unterdrückungsregeln erstellen in GuardDuty
Eine Unterdrückungsregel besteht aus einer Reihe von Kriterien, zu denen die Verwendung von Filterattributen und die Angabe von Werten gehören, für die Sie keinen Befundtyp generieren GuardDuty möchten. Die Befundtypen, die diesen Kriterien entsprechen, werden automatisch archiviert. Um das Rauschen zu reduzieren, werden die unterdrückten Ergebnisse nicht an ein System gesendet, AWS-Services mit dem Sie eine Integration vornehmen können. Weitere Hinweise zu häufigen Anwendungsfällen für die Erstellung von Unterdrückungsregeln finden Sie unter[Unterdrückungsregeln](findings_suppression-rule.md).
Mithilfe der Seite Unterdrückungsregeln in der GuardDuty Konsole können Sie **Unterdrückungsregeln** visualisieren, erstellen und verwalten. Unterdrückungsregeln können auch aus Ihren vorhandenen gespeicherten Filtern generiert werden. Weitere Informationen zum Erstellen von Filtern finden Sie unter [Ergebnisse filtern in GuardDuty](guardduty_filter-findings.md).
Die Filterkriterien können eine exakte Übereinstimmung mit **Gleichheitszahlen** und **NotEquals**Operatoren, eine **Platzhalterübereinstimmung** mit den Operatoren **Treffer** und **NotMatches**Operatoren oder eine **Vergleichsübereinstimmung** mit den Operatoren **GreaterThan**GreaterThanEquals****, **LessThan**und **LessThanEquals**beinhalten. Weitere Informationen zu den verfügbaren Operatoren finden Sie auf der [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Condition.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Condition.html)Seite.
Wählen Sie Ihre bevorzugte Zugriffsmethode, um eine Unterdrückungsregel für die GuardDuty Suche nach Typen zu erstellen.
------
#### [ Console ]
**So erstellen Sie mit der Konsole eine Unterdrückungsregel:**
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Klicken Sie auf der Seite **Unterdrückungsregeln** auf **Unterdrückungsregel erstellen**, um das Formular **Unterdrückungsregel erstellen** zu öffnen.
1. Geben Sie einen **Namen** für die Unterdrückungsregel ein. Der Name muss 3-64 Zeichen lang sein. Gültige Zeichen sind a-z, A-Z, 0-9, Punkt (.), Bindestrich (-) und Unterstrich (\$1).
1. Die **Beschreibung** ist optional. Wenn Sie eine Beschreibung eingeben, kann diese bis zu 512 Zeichen lang sein. Gültige Zeichen sind a-z, A-Z, 0-9, Punkt (.), Bindestrich (-), Doppelpunkt (:), Klammern (\$1\$1()[]), Schrägstrich (/) und Leerzeichen.
1. Der **Rang** ist optional. Dabei kann es sich um einen numerischen Wert von 1 bis zur Gesamtzahl der Filter und Unterdrückungsregeln plus 1 handeln.
1. Wählen Sie im Bereich **Attribute** einen **Schlüssel** und einen **Operator** aus der Drop-down-Liste aus.
1. Geben Sie je nach ausgewähltem Schlüssel entweder den Wert „Zeichenfolge“ oder „Datum“ aus der Datepicker ein. Wenn es sich um einen Zeichenkettenwert handelt, geben Sie den Text ein und drücken Sie die Eingabetaste. Bei Zeichenkettenwerten können mehrere Werte hinzugefügt werden.
1. Zusätzliche Kriterien können hinzugefügt werden, indem **Sie Kriterien hinzufügen** auswählen, um einen weiteren Satz von **Schlüsseln**, **Operatoren** **und Werten hinzuzufügen**.
1. Wählen Sie **Unterdrückungsregel** erstellen aus, um die Unterdrückungsregel zu erstellen und zu speichern.
Sie können auch eine Unterdrückungsregel aus einem vorhandenen gespeicherten Filter erstellen. Weitere Informationen zum Erstellen von Filtern finden Sie unter [Ergebnisse filtern in GuardDuty](guardduty_filter-findings.md).
**So erstellen Sie eine Unterdrückungsregel aus einem gespeicherten Filter:**
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie auf der Seite **Ergebnisse** im Menü **Gespeicherte Regeln** eine gespeicherte Filtersatzregel aus. Dadurch werden automatisch der Filtersatz und die Ergebnisse angezeigt, die den Kriterien entsprechen.
1. Sie können dieser gespeicherten Regel auch weitere Filterkriterien hinzufügen. Wenn Sie keine zusätzlichen Filterkriterien benötigen, überspringen Sie diesen Schritt. Um ein oder mehrere Filterkriterien hinzuzufügen, folgen Sie den Schritten 3 bis 7 unter[Adding filters on Findings page](guardduty_filter-findings.md#guardduty-add-filters-findings-page), und fahren Sie dann mit den folgenden Schritten fort.
1. Nachdem Sie die Filterkriterien hinzugefügt und bestätigt haben, dass die gefilterten Ergebnisse Ihren Anforderungen entsprechen, wählen Sie **Unterdrückungsregel erstellen** aus.
1. Geben Sie einen **Namen** für die Unterdrückungsregel ein. Der Name muss 3-64 Zeichen lang sein. Gültige Zeichen sind a-z, A-Z, 0-9, Punkt (.), Bindestrich (-) und Unterstrich (\$1).
1. **Die Beschreibung ist optional.** Wenn Sie eine Beschreibung eingeben, kann diese bis zu 512 Zeichen lang sein.
1. Wählen Sie **Erstellen** aus.
1. Wenn Sie der gespeicherten Regel keine zusätzlichen Filterkriterien hinzufügen müssen, führen Sie die Schritte 4 bis 7 aus, um den Filter zu erstellen.
------
#### [ API/CLI ]
**So erstellen Sie eine Unterdrückungsregel mithilfe der API:**
1. Sie können Unterdrückungsregeln auch über die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html)-API erstellen. Geben Sie dazu die Filterkriterien in einer JSON-Datei an und folgen Sie dabei dem Format des unten beschriebenen Beispiels. Im folgenden Beispiel werden alle nicht archivierten Ergebnisse mit geringem Schweregrad unterdrückt, die eine DNS-Anfrage an die `test.example.com` Domain enthalten. Bei Ergebnissen mit mittlerem Schweregrad lautet die Eingabeliste. `["4", "5", "7"]` Bei Befunden mit hohem Schweregrad wird die Eingabeliste wie folgt lauten`["6", "7", "8"]`. Für Ergebnisse mit kritischem Schweregrad lautet die Eingabeliste`["9", "10"]`. Sie können auch auf der Grundlage eines beliebigen Werts in der Liste filtern.
Im folgenden Beispiel wird ein Filter für Ergebnisse mit niedrigem Schweregrad für Lambda-Funktionen mit dem Funktionsnamenpräfix "MyFunc" und einem Funktions-Tag mit dem Präfix nicht als "" TestTag hinzugefügt
```
{
"Criterion": {
"service.action.dnsRequestAction.domain": {
"Equals": [
"test.example.com"
]
},
"severity": {
"Equals": [
"1",
"2",
"3"
]
}
}
}
```
Sie können Unterdrückungsregeln mit den Platzhalterzeichen \$1 und? erstellen . Platzhalter in Filtern werden nur bei Verwendung von ****NotMatches**Treffern** und Operatoren unterstützt. Um einer beliebigen Anzahl von Zeichen zu entsprechen, können Sie \$1 im Attributwert verwenden, und um einem einzelnen Zeichen zuzuordnen, können Sie? im Attributwert. Filter unterstützen maximal 5 Attribute unter einer einzigen Platzhalterbedingung und maximal 5 Platzhalterzeichen innerhalb eines einzelnen Attributs. Das folgende Beispiel fügt einen Filter für einen Lambda-Namen hinzu, der dem Präfix „MyFunc" entspricht, aber keine Lambda-Funktionen mit Tags mit "TestTag" als Präfix gefolgt von 0-2 Zeichen.
```
{
"Criterion": {
"resource.lambdaDetails.functionName": {
"Matches": [
"MyFunc*"
]
},
"resource.lambdaDetails.tags.key": {
"NotMatches": [
"TestTag??"
]
}
}
}
```
Eine Liste der JSON-Feldnamen und deren Konsolenäquivalent finden Sie unter [Eigenschaftsfilter in GuardDuty](guardduty_filter-findings.md#filter_criteria).
Verwenden Sie zum Testen Ihrer Filterkriterien dasselbe JSON-Kriterium in der [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html)-API und vergewissern Sie sich, dass die richtigen Erkenntnisse ausgewählt wurden. Um Ihre Filterkriterien zu testen, AWS CLI folgen Sie dem Beispiel mit Ihrer eigenen detectorId- und .json-Datei.
Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen“** in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die API aus. [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)
```
aws guardduty list-detector
```
```
aws guardduty list-findings \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--finding-criteria file://criteria.json
```
**Anmerkung**
Übereinstimmende Platzhalter sind für ListFindings und GetFindingsStatistics nicht verfügbar. Kriterien, die Platzhalter enthalten, können nicht mit ListFindings und überprüft werden. GetFindingsStatistics
1. Laden Sie Ihren Filter, der als Unterdrückungsregel verwendet werden soll, mit der [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html)-API oder über die AWS -CLI hoch, indem Sie dem unten stehenden Beispiel folgen und Ihre eigene Detektor-ID, einen Namen für die Unterdrückungsregel und eine JSON-Datei angeben.
Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--action ARCHIVE \
--name yourfiltername \
--finding-criteria file://criteria.json
```
Mit der [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFilter.html)-API können Sie sich programmgesteuert eine Liste Ihrer Filter anzeigen lassen. Sie können die Details eines einzelnen Filters anzeigen, indem Sie der [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFilter.html)-API den Filternamen zur Verfügung stellen. Aktualisieren Sie Filter mithilfe von [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateFilter.html) oder löschen Sie sie mit der [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html)-API.
------
# Aktualisierung der Unterdrückungsregeln in GuardDuty
In diesem Abschnitt werden die Schritte zum Aktualisieren einer Unterdrückungsregel AWS-Konto in Ihrem eigenen Land beschrieben AWS-Region.
Sie können bestehende Unterdrückungsregeln auf der Seite mit den **Unterdrückungsregeln** in der GuardDuty Konsole aktualisieren. GuardDuty unterstützt die Aktualisierung der Beschreibung, des Rangs und der Filterkriterien für den Unterdrückungsfilter über die GuardDuty Konsole oder mithilfe der GuardDuty CLI/API. Beim Aktualisieren der Unterdrückungsregel gelten dieselben Einschränkungen in Bezug auf die Feldwerte für Beschreibung, Rang und Kriterien wie. [Unterdrückungsregeln erstellen](create-suppression-rules-guardduty.md)
Wenn Sie ein Mitgliedskonto haben, kann Ihr Administratorkonto diese Aktion in Ihrem Namen durchführen. Weitere Informationen finden Sie unter [Beziehungen zwischen Administratorkonto und Mitgliedskonto](administrator_member_relationships.md).
Wählen Sie Ihre bevorzugte Zugriffsmethode, um eine Unterdrückungsregel für GuardDuty Findingtypes zu löschen.
------
#### [ Console ]
1. Öffnen Sie die GuardDuty Konsole unter. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
1. Wählen Sie auf der Seite **Unterdrückungsregeln** die zu aktualisierende Unterdrückungsregel aus.
1. Wählen Sie in der Dropdownliste **Aktionen** die Option **Unterdrückungsregel aktualisieren** aus.
1. Dadurch wird das bestehende Formular für die Unterdrückungsregel geöffnet.
1. Nehmen Sie nach Bedarf Änderungen an den Abschnitten **Beschreibung**, **Rang** und **Attribute** vor.
1. Wählen Sie **Unterdrückungsregel** aktualisieren aus, um die Unterdrückungsregel zu aktualisieren.
------
#### [ API/CLI ]
**So aktualisieren Sie eine Unterdrückungsregel mithilfe der API:**
1. Sie können die Unterdrückungsregeln über die UpdateFilter API aktualisieren. Mit der UpdateFilter API können nur **Beschreibung**, **Rang** und **Kriterien** aktualisiert werden. Alle diese drei Felder sind optional.
1. Um einen vorhandenen Filter zu aktualisieren, benötigen Sie den Namen des Filters, den Sie aktualisieren möchten.
1. Wenn Sie die vorhandenen Kriterien aktualisieren möchten, erstellen Sie eine JSON-Datei mit den aktualisierten Kriterien, ähnlich wie Sie den Filter zuerst erstellt haben. Ein Beispielkriterium zur Unterdrückung nicht archivierter Ergebnisse mit geringem Schweregrad, die eine DNS-Anfrage an die Domain test.example.com enthalten. Bei Ergebnissen mit mittlerem Schweregrad lautet die Eingabeliste ["4", „5", „7"]. Bei Befunden mit hohem Schweregrad lautet die Eingabeliste ["6", „7", „8"]. Bei Ergebnissen mit kritischem Schweregrad lautet die Eingabeliste ["9", „10"]. Sie können auch auf der Grundlage eines beliebigen Werts in der Liste filtern. Im folgenden Beispiel wird ein Filter für Ergebnisse mit niedrigem Schweregrad hinzugefügt.
```
{
"Criterion": {
"service.action.dnsRequestAction.domain": {
"Equals": [
"test.example.com"
]
},
"severity": {
"Equals": [
"1",
"2",
"3"
]
}
}
}
```
Eine Liste der JSON-Feldnamen und deren Konsolenäquivalent finden Sie unter [Eigenschaftsfilter in GuardDuty](guardduty_filter-findings.md#filter_criteria).
Verwenden Sie zum Testen Ihrer Filterkriterien dasselbe JSON-Kriterium in der [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html)-API und vergewissern Sie sich, dass die richtigen Erkenntnisse ausgewählt wurden. Um Ihre Filterkriterien zu testen, AWS CLI folgen Sie dem Beispiel mit Ihrer eigenen detectorId- und .json-Datei.
Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen“** in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die API aus. [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)
```
aws guardduty list-detectors --region us-east-1
```
1. Wenn Sie die Beschreibung aktualisieren möchten, können Sie den Beschreibungsparameter in den CLI-Aufruf aufnehmen.
1. Wenn Sie den Rang aktualisieren möchten, können Sie den Rank-Parameter in den CLI-Aufruf aufnehmen.
1. Wenn Sie von einem Unterdrückungsfilter auf einen regulären Filter aktualisieren möchten, verwenden Sie den Aktionsparameter und den Wert als **ARCHIVE** im CLI-Aufruf.
1. Aktualisieren Sie Ihre bestehende Filter-API oder verwenden Sie das AWS CLI folgende Beispiel mit Ihrer eigenen Detektor-ID, einem Namen für die Unterdrückungsregel und einer.json-Datei.
1. Im Folgenden finden Sie ein Beispiel für eine CLI, die alle oben beschriebenen Parameter aktualisiert. Sie können die spezifischen Parameter, die für Ihren Anwendungsfall aktualisiert werden sollen, mit dem Befehl - auswählen
```
aws guardduty update-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--action ARCHIVE \
--rank 1 \
--description "Updated description" \
--finding-criteria file://criteria.json
```
------
# Löschen von Unterdrückungsregeln in GuardDuty
In diesem Abschnitt werden die Schritte zum Löschen einer Unterdrückungsregel AWS-Konto in Ihrem eigenen Land beschrieben AWS-Region.
Möglicherweise möchten Sie eine Unterdrückungsregel löschen, die in Ihrer Umgebung nicht mehr das erwartete Verhalten zeigt. Sie möchten den zugehörigen Befundtyp nicht mehr unterdrücken, sodass ein Befundtyp generiert GuardDuty werden kann.
Wenn Sie ein Mitgliedskonto haben, kann Ihr Administratorkonto diese Aktion in Ihrem Namen durchführen. Weitere Informationen finden Sie unter [Beziehungen zwischen Administratorkonto und Mitgliedskonto](administrator_member_relationships.md).
Wählen Sie Ihre bevorzugte Zugriffsmethode, um eine Unterdrückungsregel für die GuardDuty Suche nach Typen zu löschen.
------
#### [ Console ]
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie auf der Seite **Unterdrückungsregeln** die zu löschende Unterdrückungsregel aus.
1. Wählen Sie in der Dropdownliste **Aktionen** die Option **Unterdrückungsregel löschen** aus.
1. Daraufhin wird ein Bestätigungs-Popup angezeigt. Wählen Sie **Löschen**, um mit dem Löschen fortzufahren. Oder wählen Sie **Abbrechen**, um den Vorgang abzubrechen.
------
#### [ API/CLI ]
Führen Sie die API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html) aus. Geben Sie den Filternamen und die zugehörige Melder-ID für die jeweilige Region an.
Alternativ können Sie das folgende AWS CLI Beispiel verwenden, indem Sie die in *red* formatierten Werte ersetzen:
```
aws guardduty delete-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--filter-name filterName \
--region us-east-1
```
Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
------
# Anpassen der Bedrohungserkennung mit Entitätenlisten und IP-Adresslisten
Amazon GuardDuty überwacht die Sicherheit Ihrer AWS Umgebung, indem es VPC-Flow-Logs, AWS CloudTrail Event-Logs und DNS-Logs analysiert und verarbeitet. Indem Sie einen oder mehrere auf den [Anwendungsfall ausgerichtete GuardDuty Schutzpläne](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty) aktivieren (mit der Ausnahme[Laufzeitüberwachung](runtime-monitoring.md), dass Sie die darin enthaltenen Überwachungsfunktionen erweitern können). GuardDuty
Mithilfe von Listen können Sie den Umfang der Bedrohungserkennung in Ihrer Umgebung individuell anpassen. GuardDuty Sie können so konfigurieren GuardDuty , dass keine Ergebnisse mehr aus Ihren vertrauenswürdigen Quellen generiert werden und dass Ergebnisse für bekannte bösartige Quellen aus Ihren Bedrohungslisten generiert werden. GuardDuty unterstützt weiterhin ältere IP-Adresslisten und erweitert die Unterstützung auf Entitätslisten (empfohlen), die IP-Adressen, Domänen oder beides enthalten können.
**Topics**
+ [Grundlegendes zu Entitätslisten und IP-Adresslisten](#guardduty-threat-intel-list-entity-sets)
+ [Wichtige Überlegungen zu GuardDuty Listen](#guardduty-lists-entity-sets-considerations)
+ [Listenformate](#prepare_list)
+ [Grundlegendes zum Listenstatus](#guardduty-entity-list-statuses)
+ [Voraussetzungen für Entitätslisten und IP-Adresslisten einrichten](guardduty-lists-prerequisites.md)
+ [Hinzufügen und Aktivieren einer Entitätsliste oder IP-Liste](guardduty-lists-create-activate.md)
+ [Aktualisierung einer Entitäts- oder IP-Adressliste](guardduty-lists-update-procedure.md)
+ [Entitätsliste oder IP-Adressliste deaktivieren](guardduty-lists-deactivate-procedure.md)
+ [Entitätsliste oder IP-Adressliste löschen](guardduty-lists-delete-procedure.md)
## Grundlegendes zu Entitätslisten und IP-Adresslisten
GuardDuty bietet zwei Implementierungsansätze: Entitätslisten (empfohlen) und IP-Listen. Beide Methoden helfen Ihnen dabei, vertrauenswürdige Quellen zu spezifizieren, die die Generierung GuardDuty von Erkenntnissen verhindern, und bekannte Bedrohungen, die zur Generierung von Erkenntnissen GuardDuty verwendet werden.
**Entitätslisten** unterstützen sowohl IP-Adressen als auch Domainnamen. Sie verwenden direkten Zugriff auf Amazon Simple Storage Service (Amazon S3) mit einer einzigen IAM-Berechtigung, die sich nicht auf die Größenbeschränkungen der IAM-Richtlinien in mehreren Regionen auswirkt.
**IP-Listen** unterstützen nur IP-Adressen und deren Verwendung [GuardDuty Serviceverknüpfte Rolle (SLR)](slr-permissions.md) (SLR), sodass die IAM-Richtlinien pro Region aktualisiert werden müssen, was sich auf die Größenbeschränkungen der IAM-Richtlinien auswirken kann.
Vertrauenswürdige Listen (sowohl Entitätslisten als auch IP-Adresslisten) enthalten Einträge, denen Sie bei der sicheren Kommunikation mit Ihrer Infrastruktur vertrauen. AWS GuardDuty generiert keine Ergebnisse für Einträge, die in vertrauenswürdigen Quellen aufgeführt sind. Sie können jeweils nur eine Liste vertrauenswürdiger Entitäten und eine Liste vertrauenswürdiger IP-Adressen AWS-Konto pro Region hinzufügen.
Bedrohungslisten (sowohl Entitätslisten als auch IP-Adresslisten) enthalten Einträge, die Sie als bekannte bösartige Quellen identifiziert haben. Wenn eine Aktivität GuardDuty erkannt wird, an der diese Quellen beteiligt sind, generiert es Ergebnisse, die Sie vor potenziellen Sicherheitsproblemen warnen. Sie können Ihre eigenen Bedrohungslisten erstellen oder Feeds mit Bedrohungsinformationen von Drittanbietern integrieren. Diese Liste kann von Bedrohungsdaten von Drittanbietern stammen oder speziell für Ihr Unternehmen erstellt werden. Neben der Generierung von Ergebnissen aufgrund einer potenziell verdächtigen Aktivität werden GuardDuty auch Ergebnisse generiert, die auf einer Aktivität basieren, die Einträge aus Ihren Bedrohungslisten beinhaltet. Sie können jederzeit bis zu sechs Listen mit Bedrohungsentitäten und Bedrohungs-IP-Adressen AWS-Konto pro Region hochladen.
**Anmerkung**
Um von IP-Adresslisten zu Entitätslisten zu migrieren[Voraussetzungen für Entitätslisten](guardduty-lists-prerequisites.md#guardduty-entity-list-prerequisites), folgen Sie den Anweisungen, fügen Sie sie hinzu und aktivieren Sie sie. Danach können Sie wählen, ob Sie die entsprechende IP-Adressliste deaktivieren oder löschen möchten.
## Wichtige Überlegungen zu GuardDuty Listen
Bevor Sie mit der Arbeit mit Listen beginnen, sollten Sie die folgenden Überlegungen lesen:
+ IP-Adresslisten und Entitätslisten gelten nur für Datenverkehr, der für öffentlich routbare IP-Adressen und Domänen bestimmt ist.
+ In einer Entitätsliste gelten die Einträge für VPC Flow Logs in Amazon VPC und Route53 Resolver DNS-Abfrageprotokolle. CloudTrail
In einer IP-Adressliste beziehen sich die Einträge auf CloudTrail die Ergebnisse von VPC Flow Logs in Amazon VPC, nicht aber auf die Ergebnisse der Route53 Resolver DNS-Abfrageprotokolle.
+ Wenn Sie dieselbe IP-Adresse oder Domain sowohl in die Liste der vertrauenswürdigen Adressen als auch in die Liste der Bedrohungen aufnehmen, hat dieser Eintrag in der Liste der vertrauenswürdigen Adressen Vorrang. GuardDuty generiert kein Ergebnis, wenn mit diesem Eintrag eine Aktivität verknüpft ist.
+ In einer Umgebung mit mehreren Konten kann nur das GuardDuty Administratorkonto Listen verwalten. Diese Einstellung gilt automatisch für die Mitgliedskonten. GuardDuty generiert Ergebnisse auf der Grundlage einer Aktivität, an der bekannte bösartige IP-Adressen (und Domänen) aus den Bedrohungsquellen des Administratorkontos beteiligt sind, und generiert keine Ergebnisse, die auf Aktivitäten basieren, die IP-Adressen (und Domänen) aus den vertrauenswürdigen Quellen des Administratorkontos betreffen. Weitere Informationen finden Sie unter [Mehrere Konten bei Amazon GuardDuty](guardduty_accounts.md).
+ Es werden nur IPv4 Adressen akzeptiert. IPv6 Adressen werden nicht unterstützt.
+ Nachdem Sie eine Entitäts- oder IP-Adressliste aktiviert, deaktiviert oder gelöscht haben, wird der Vorgang voraussichtlich innerhalb von 15 Minuten abgeschlossen sein. In bestimmten Szenarien kann es bis zu 40 Minuten dauern, bis dieser Vorgang abgeschlossen ist.
+ GuardDuty verwendet eine Liste nur dann zur Erkennung von Bedrohungen, wenn der Status der Liste **Aktiv lautet**.
+ Jedes Mal, wenn Sie einen Eintrag zum S3-Bucket-Speicherort der Liste hinzufügen oder aktualisieren, müssen Sie die Liste erneut aktivieren. Weitere Informationen finden Sie unter [Aktualisierung einer Entitäts- oder IP-Adressliste](guardduty-lists-update-procedure.md).
+ Entitätslisten und IP-Adressen haben unterschiedliche Kontingente. Weitere Informationen finden Sie unter [GuardDuty Kontingente](guardduty_limits.md).
## Listenformate
GuardDuty akzeptiert mehrere Dateiformate für Ihre Listen und Entitätslisten mit einem Maximum von 35 MB pro Datei. Jedes Format hat spezifische Anforderungen und Funktionen.
### Klartext (TXT)
Dieses Format unterstützt IP-Adressen, CIDR-Bereiche und Domainnamen. Jeder Eintrag muss in einer separaten Zeile stehen.
**Example **Beispiel für eine Entitätsliste****
```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
```
**Example **Beispiel für eine IP-Adressliste****
```
192.0.2.0/24
198.51.100.1
203.0.113.1
```
### Structured Threat Information Expression (STIX)
Dieses Format unterstützt IP-Adressen, CIDR-Block und Domainnamen. STIX ermöglicht es Ihnen, Ihren Bedrohungsinformationen zusätzlichen Kontext hinzuzufügen. GuardDuty verarbeitet IP-Adressen, CIDR-Bereiche und Domainnamen anhand der STIX-Indikatoren.
**Example **Beispiel für eine Entitätsliste****
```
Malicious domain observed Example
Domain Watchlist
bad.example.com
```
**Example **Beispiel für eine IP-Adressliste****
```
192.0.2.0##comma##192.0.2.255
198.51.100.1
203.0.113.1
```
### Open Threat Exchange (OTX)TM CSV
Dieses Format unterstützt CIDR-Block, einzelne IP-Adressen und Domänen. Dieses Dateiformat hat kommagetrennte Werte.
**Example **Beispiel für eine Entitätsliste****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
```
**Example **Beispiel für eine IP-Adressliste****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
```
### FireEyeTM iSight Threat Intelligence CSV
Dieses Format unterstützt CIDR-Block, einzelne IP-Adressen und Domänen. Die folgenden Beispiellisten verwenden ein `FireEyeTM` CSV-Format.
**Example **Beispiel für eine Entitätsliste****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
```
**Example **Beispiel für eine IP-Adressliste****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
```
### ProofpointTM ET Intelligence Feed CSV
Im ProofPoint CSV-Format können Sie entweder IP-Adressen oder Domainnamen zu einer einzigen Liste hinzufügen. Die folgende Beispielliste verwendet das `Proofpoint`-CSV-Format. Die Angabe eines Werts für den `ports` Parameter ist optional. Wenn Sie ihn nicht angeben, hinterlassen Sie am Ende ein Komma (,).
**Example **Beispiel für eine Entitätsliste****
```
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
**Example **Beispiel für eine IP-Adressliste****
```
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
### AlienVaultTM Reputation Feed
Die folgende Beispielliste verwendet das `AlienVault`-Format.
**Example **Beispiel für eine Entitätsliste****
```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
```
**Example **Beispiel für eine IP-Adressliste****
```
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
```
## Grundlegendes zum Listenstatus
Wenn Sie eine Entitätsliste oder eine IP-Adressliste hinzufügen, GuardDuty wird der Status dieser Liste angezeigt. Die Spalte **Status** gibt an, ob die Liste wirksam ist und ob Maßnahmen erforderlich sind. In der folgenden Liste werden gültige Statuswerte beschrieben:
+ **Aktiv** — Zeigt an, dass die Liste derzeit für die Erkennung benutzerdefinierter Bedrohungen verwendet wird.
+ **Inaktiv** — Zeigt an, dass die Liste derzeit nicht verwendet wird. Informationen GuardDuty zur Verwendung dieser Liste zur Erkennung von Bedrohungen in Ihrer Umgebung finden Sie unter Schritt 3: Aktivieren einer Entitäts- oder IP-Adressliste in[Hinzufügen und Aktivieren einer Entitätsliste oder IP-Liste](guardduty-lists-create-activate.md).
+ **Fehler** — Zeigt an, dass ein Problem mit der Liste vorliegt. Bewegen Sie den Mauszeiger über den Status, um die Fehlerdetails anzuzeigen.
+ **Aktiviert** — Zeigt an, GuardDuty dass der Vorgang zur Aktivierung der Liste eingeleitet wurde. Sie können den Status dieser Liste weiter überwachen. Wenn kein Fehler auftritt, sollte der Status auf **Aktiv** aktualisiert werden. Solange der Status **Aktiviert** bleibt, können Sie in dieser Liste keine Aktion ausführen. Es kann einige Minuten dauern, bis sich der Status der Liste auf **Aktiv** ändert.
+ **Deaktiviert** — Zeigt an, GuardDuty dass der Prozess der Deaktivierung der Liste eingeleitet wurde. Sie können den Status dieser Liste weiter überwachen. Wenn kein Fehler vorliegt, sollte der Status auf **Inaktiv** aktualisiert werden. Solange der Status **Deaktiviert** bleibt, können Sie in dieser Liste keine Aktion ausführen.
+ **Ausstehend löschen** — Zeigt an, dass die Liste gerade gelöscht wird. Solange der Status „**Ausstehend löschen**“ bleibt, können Sie für diese Liste keine Aktion ausführen.
# Voraussetzungen für Entitätslisten und IP-Adresslisten einrichten
GuardDuty verwendet Entitätslisten und IP-Adresslisten, um die Bedrohungserkennung in Ihrer AWS Umgebung individuell anzupassen. Entitätslisten (empfohlen) unterstützen sowohl IP-Adressen als auch Domainnamen, während IP-Adresslisten nur IP-Adressen unterstützen. Bevor Sie mit der Erstellung dieser Listen beginnen, müssen Sie die erforderlichen Berechtigungen für den Listentyp hinzufügen, den Sie verwenden möchten.
## Voraussetzungen für Entitätslisten
GuardDuty Liest beim Hinzufügen von Entitätslisten Ihre vertrauenswürdigen Listen und Listen mit Bedrohungsinformationen aus S3-Buckets. Die Rolle, die Sie zum Erstellen von Entitätslisten verwenden, muss über die `s3:GetObject` Berechtigung für die S3-Buckets verfügen, die diese Listen enthalten.
**Anmerkung**
In einer Umgebung mit mehreren Konten kann nur das GuardDuty Administratorkonto Listen verwalten, die automatisch für Mitgliedskonten gelten.
Wenn Sie noch nicht über die `s3:GetObject` Berechtigung für den S3-Bucket-Standort verfügen, verwenden Sie die folgende Beispielrichtlinie und *amzn-s3-demo-bucket* ersetzen Sie sie durch Ihren S3-Bucket-Standort.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
}
]
}
```
------
## Voraussetzungen für IP-Adresslisten
Verschiedene IAM-Identitäten erfordern spezielle Berechtigungen, um mit vertrauenswürdigen IP-Listen und Bedrohungslisten in arbeiten zu können. GuardDuty Eine Identität, der die verwaltete Richtlinie [AmazonGuardDutyFullAccess\$1v2 (empfohlen)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) angefügt ist, kann nur hochgeladene Listen mit vertrauenswürdigen IPs und Bedrohungslisten umbenennen und deaktivieren.
Um verschiedenen Identitäten vollen Zugriff auf die Arbeit mit vertrauenswürdigen IP-Listen und Bedrohungslisten zu erteilen (dies umfasst neben dem Umbenennen und Deaktivieren auch das Hinzufügen, Aktivieren, Löschen und Aktualisieren des Speicherorts oder der Namen der Listen), stellen Sie sicher, dass die folgenden Aktionen in der einem Benutzer, einer Gruppe oder einer Rolle zugewiesenen Berechtigungsrichtlinie vorhanden sind:
```
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
```
**Wichtig**
Diese Aktionen sind nicht in der verwalteten Richtlinie `AmazonGuardDutyFullAccess` enthalten.
### Verwendung der SSE-KMS-Verschlüsselung mit Entitätslisten und IP-Listen
GuardDuty unterstützt SSE- AES256 und SSE-KMS-Verschlüsselung für Ihre Listen. SSE-C wird nicht unterstützt. Weitere Informationen zu Verschlüsselungstypen für S3 finden Sie unter [Schützen von Daten mithilfe serverseitiger](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html) Verschlüsselung.
Unabhängig davon, ob Sie Entitätslisten oder IP-Listen verwenden, fügen Sie Ihrer Richtlinie die folgende Anweisung hinzu, wenn Sie SSE-KMS verwenden. AWS KMS key Ersetzen Sie es *123456789012* durch Ihre eigene Konto-ID.
```
{
"Sid": "AllowGuardDutyServiceRole",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
},
"Action": "kms:Decrypt*",
"Resource": "*"
}
```
# Hinzufügen und Aktivieren einer Entitätsliste oder IP-Liste
Mit Entitätslisten und IP-Adresslisten können Sie die Funktionen zur Bedrohungserkennung in anpassen GuardDuty. Weitere Informationen zu diesen Listen finden Sie unter[Grundlegendes zu Entitätslisten und IP-Adresslisten](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets). Für die Verwaltung vertrauenswürdiger Daten und Daten mit Bedrohungsinformationen für Ihre AWS Umgebung GuardDuty empfiehlt es sich, Entitätslisten zu verwenden. Bevor Sie beginnen, sehen Sie sich [Voraussetzungen für Entitätslisten und IP-Adresslisten einrichten](guardduty-lists-prerequisites.md) an.
Wählen Sie eine der folgenden Zugriffsmethoden, um eine Liste vertrauenswürdiger Entitäten, Bedrohungsentitäten, vertrauenswürdiger IP-Adressen oder Bedrohungs-IP-Listen hinzuzufügen und zu aktivieren.
------
#### [ Console ]
**(Optional) Schritt 1: Den Standort-URL Ihrer Liste abrufen**
1. Öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im Navigationsbereich die Option **Buckets** aus.
1. Wählen Sie den Amazon-S3-Bucket-Namen, der die spezifische Liste enthält, die Sie hinzufügen möchten.
1. Wählen Sie den Namen des Objekts (Liste), um dessen Details anzuzeigen.
1. Kopieren Sie auf der Registerkarte **Eigenschaften** den **S3-URI** für dieses Objekt.
**Schritt 2: Vertrauenswürdige Daten oder Daten mit Bedrohungsinformationen hinzufügen**
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich **Listen**.
1. Wählen Sie auf der Seite **Listen** die Registerkarte **Entitätslisten** oder **IP-Adresslisten** aus.
1. Wählen Sie je nach ausgewähltem Tab, ob Sie eine vertrauenswürdige Liste oder eine Bedrohungsliste hinzufügen möchten.
1. Gehen Sie im Dialogfeld wie folgt vor, um entweder eine vertrauenswürdige Liste oder eine Liste mit Bedrohungen hinzuzufügen:
1. In **Name der Liste** geben Sie einen Namen für Ihre Liste ein.
**Einschränkungen bei der Benennung** von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (\$1) enthalten.
Bei einer IP-Adressliste muss der Name Ihrer Liste innerhalb einer AWS-Konto UND-Region eindeutig sein.
1. Geben Sie unter **Standort** den Ort an, an dem Sie Ihre Liste hochgeladen haben. Falls Sie den Standort noch nicht haben, finden Sie weitere Informationen unter [Step 1: Fetching location URL of your list](#fetch-location-URL-list-manage).
Gilt nur für benutzerdefinierte Bedrohungsgruppen und benutzerdefinierte Gruppen vertrauenswürdiger Entitäten — Wenn Sie eine Standort-URL angeben, die nicht den folgenden unterstützten Formaten entspricht, erhalten Sie beim Hinzufügen und Aktivieren der Liste eine Fehlermeldung.
**Format der Standort-URL:**
+ https://s3.amazonaws.com/bucket.name/file.txt
+ https://s3-aws-region.amazonaws.com/bucket.name/file.txt
+ http://bucket.s3.amazonaws.com/file.txt
+ http://bucket.s3-aws-region.amazonaws.com/file.txt
+ s3://bucket.name/file.txt
1. (Optional) Für **Erwarteter Bucket-Besitzer** können Sie die AWS-Konto ID eingeben, der der Amazon S3 S3-Bucket gehört, der im Feld **Standort** angegeben ist.
Wenn Sie keinen AWS-Konto ID-Besitzer angeben, GuardDuty verhält sich das Verhalten bei Entitätslisten und IP-Adresslisten unterschiedlich. GuardDuty Überprüft bei Entitätslisten, ob das aktuelle Mitgliedskonto Eigentümer des im Feld **Standort** angegebenen S3-Buckets ist. Wenn Sie bei IP-Adresslisten keinen AWS-Konto ID-Besitzer angeben, GuardDuty wird keine Überprüfung durchgeführt.
Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung der Liste eine Fehlermeldung.
1. Aktivieren Sie das Kontrollkästchen **I agree**.
1. Wählen Sie **Liste hinzufügen**. Standardmäßig ist der **Status** der hinzugefügten Liste **Inaktiv**. Damit die Liste gültig ist, müssen Sie sie aktivieren.
**Schritt 3: Aktivierung einer Entitätsliste oder IP-Adressliste**
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich **Listen**.
1. Wählen Sie auf der Seite **Listen** die Registerkarte aus, auf der Sie die Liste aktivieren möchten — **Entitätslisten** oder **IP-Adresslisten**.
1. Wählen Sie eine Liste aus, die Sie aktivieren möchten. Dadurch werden die Menüs **Aktion** und **Bearbeiten** aktiviert.
1. Wählen Sie „**Aktion**“ und dann „**Aktivieren**“.
------
#### [ API/CLI ]
**Um eine Liste vertrauenswürdiger Entitäten hinzuzufügen und zu aktivieren**
1. Führen Sie [CreateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateTrustedEntitySet.html). Stellen Sie sicher, dass Sie das `detectorId` Mitgliedskonto angeben, für das Sie diese Liste vertrauenswürdiger Entitäten erstellen möchten. Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
**Einschränkungen bei der Benennung** von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (\$1) enthalten.
1. Sie können dies auch tun, indem Sie den folgenden Befehl ausführen: AWS Command Line Interface
```
aws guardduty create-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`Ersetzen Sie es durch die Detektor-ID des Mitgliedskontos, für das Sie die Liste der vertrauenswürdigen Entitäten erstellen möchten, und durch andere Platzhalterwerte, die es sind*shown in red*.
Wenn Sie diese neu erstellte Liste nicht aktivieren möchten, ersetzen Sie den Parameter `--activate` durch`--no-activate`.
Der Parameter `expected-bucket-owner` ist optional. Unabhängig davon, ob Sie den Wert für diesen Parameter angeben oder nicht, wird GuardDuty überprüft, ob die mit diesem `--detector-id` Wert verknüpfte AWS-Konto ID den im `--location` Parameter angegebenen S3-Bucket besitzt. Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung dieser Liste eine Fehlermeldung.
Gilt nur für benutzerdefinierte Bedrohungsgruppen und benutzerdefinierte Gruppen vertrauenswürdiger Entitäten — Wenn Sie eine Standort-URL angeben, die nicht den folgenden unterstützten Formaten entspricht, erhalten Sie beim Hinzufügen und Aktivieren der Liste eine Fehlermeldung.
**Um Listen mit Bedrohungsentitäten hinzuzufügen und zu aktivieren**
1. Führen Sie [CreateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatEntitySet.html). Stellen Sie sicher, dass Sie das `detectorId` Mitgliedskonto angeben, für das Sie diese Liste der Bedrohungsentitäten erstellen möchten. Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
**Einschränkungen bei der Benennung** von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (\$1) enthalten.
1. Sie können dies auch tun, indem Sie den folgenden Befehl ausführen: AWS Command Line Interface
```
aws guardduty create-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`Ersetzen Sie es durch die Detektor-ID des Mitgliedskontos, für das Sie die Liste der vertrauenswürdigen Entitäten erstellen möchten, und durch andere Platzhalterwerte, die es sind*shown in red*.
Wenn Sie diese neu erstellte Liste nicht aktivieren möchten, ersetzen Sie den Parameter `--activate` durch`--no-activate`.
Der Parameter `expected-bucket-owner` ist optional. Unabhängig davon, ob Sie den Wert für diesen Parameter angeben oder nicht, wird GuardDuty überprüft, ob die mit diesem `--detector-id` Wert verknüpfte AWS-Konto ID den im `--location` Parameter angegebenen S3-Bucket besitzt. Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung dieser Liste eine Fehlermeldung.
Gilt nur für benutzerdefinierte Bedrohungsgruppen und benutzerdefinierte Gruppen vertrauenswürdiger Entitäten — Wenn Sie eine Standort-URL angeben, die nicht den folgenden unterstützten Formaten entspricht, erhalten Sie beim Hinzufügen und Aktivieren der Liste eine Fehlermeldung.
**Um eine Liste vertrauenswürdiger IP-Adressen hinzuzufügen und zu aktivieren**
1. Führen Sie [Create](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html) ausIPSet. Stellen Sie sicher, dass Sie das Mitgliedskonto angeben, für das Sie diese Liste vertrauenswürdiger IP-Adressen erstellen möchten. `detectorId` Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
Bei einer IP-Adressliste muss der Name Ihrer Liste innerhalb einer AWS-Konto UND-Region eindeutig sein.
**Einschränkungen bei der Benennung** von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (\$1) enthalten.
1. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen und sicherstellen, dass Sie das durch die `detector-id` Detektor-ID des Mitgliedskontos ersetzen, für das Sie die Liste der vertrauenswürdigen IP-Adressen aktualisieren möchten.
```
aws guardduty create-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`Ersetzen Sie es durch die Detektor-ID des Mitgliedskontos, für das Sie die Liste der vertrauenswürdigen IP-Adressen erstellen möchten, und durch andere Platzhalterwerte, die es sind*shown in red*.
Wenn Sie diese neu erstellte Liste nicht aktivieren möchten, ersetzen Sie den Parameter `--activate` durch`--no-activate`.
Der Parameter `expected-bucket-owner` ist optional. Wenn Sie die Konto-ID nicht angeben, der der S3-Bucket gehört, führt GuardDuty keine Überprüfung durch. Wenn Sie die Konto-ID für den `expected-bucket-owner` Parameter angeben, wird GuardDuty überprüft, ob diese AWS-Konto ID Eigentümer des im `--location` Parameter angegebenen S3-Buckets ist. Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung dieser Liste eine Fehlermeldung.
**Um Bedrohungs-IP-Listen hinzuzufügen und zu aktivieren**
1. Führen Sie [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html). Stellen Sie sicher, dass Sie das `detectorId` Mitgliedskonto angeben, für das Sie diese Bedrohungs-IP-Adressliste erstellen möchten. Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
**Einschränkungen bei der Benennung** von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (\$1) enthalten.
Bei einer IP-Adressliste muss der Name Ihrer Liste innerhalb einer AWS-Konto UND-Region eindeutig sein.
1. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen und sicherstellen, dass Sie das durch die `detector-id` Melder-ID des Mitgliedskontos ersetzen, für das Sie die Bedrohungs-IP-Liste aktualisieren möchten.
```
aws guardduty create-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`Ersetzen Sie es durch die Detektor-ID des Mitgliedskontos, für das Sie die Bedrohungs-IP-Liste erstellen möchten, und durch andere Platzhalterwerte*shown in red*, die
Wenn Sie diese neu erstellte Liste nicht aktivieren möchten, ersetzen Sie den Parameter `--activate` durch`--no-activate`.
Der Parameter `expected-bucket-owner` ist optional. Wenn Sie die Konto-ID nicht angeben, der der S3-Bucket gehört, führt GuardDuty keine Überprüfung durch. Wenn Sie die Konto-ID für den `expected-bucket-owner` Parameter angeben, wird GuardDuty überprüft, ob diese AWS-Konto ID Eigentümer des im `--location` Parameter angegebenen S3-Buckets ist. Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung dieser Liste eine Fehlermeldung.
------
Nachdem Sie eine Entitätsliste oder IP-Adressliste aktiviert haben, kann es einige Minuten dauern, bis diese Liste wirksam wird. Weitere Informationen finden Sie unter [Wichtige Überlegungen zu GuardDuty Listen](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations).
# Aktualisierung einer Entitäts- oder IP-Adressliste
Mit Entitätslisten und IP-Adresslisten können Sie die Funktionen zur Bedrohungserkennung in anpassen GuardDuty. Weitere Informationen zu diesen Listen finden Sie unter[Grundlegendes zu Entitätslisten und IP-Adresslisten](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets).
Sie können den Namen einer Liste, den S3-Bucket-Speicherort, die erwartete Account-ID des Bucket-Besitzers und die Einträge in einer vorhandenen Liste aktualisieren. Wenn Sie die Einträge in einer Liste aktualisieren, müssen Sie die Schritte zum erneuten Aktivieren der Liste ausführen GuardDuty , um die neueste Version der Liste verwenden zu können. Nachdem Sie eine Entitätsliste oder IP-Adressliste aktualisiert oder aktiviert haben, kann es einige Minuten dauern, bis diese Liste wirksam wird. Weitere Informationen finden Sie unter [Wichtige Überlegungen zu GuardDuty Listen](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations).
**Anmerkung**
Wenn der Status einer Liste **Aktiviert**, **Deaktiviert** oder **Ausstehend löschen** lautet, müssen Sie einige Minuten warten, bevor Sie eine Aktion ausführen. Informationen zu diesen Status finden Sie unter. [Grundlegendes zum Listenstatus](guardduty_upload-lists.md#guardduty-entity-list-statuses)
Wählen Sie eine der Zugriffsmethoden, um eine Entitäts- oder IP-Adressliste zu aktualisieren.
------
#### [ Console ]
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich **Listen**.
1. Wählen Sie auf der **Listenseite** die entsprechende Registerkarte — **Entitätslisten** oder **IP-Adresslisten**.
1. Wählen Sie eine Liste (vertrauenswürdig oder bedrohlich) aus, die Sie aktualisieren möchten. Dadurch werden die Menüs **Aktion** und **Bearbeiten** aktiviert.
1. Wählen Sie **Bearbeiten** aus.
1. Geben Sie im Dialogfeld zum Aktualisieren der Liste die Details an, die Sie aktualisieren möchten.
**Einschränkungen bei der Benennung** von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (\$1) enthalten.
Bei einer IP-Adressliste muss der Name Ihrer Liste innerhalb einer AWS-Konto UND-Region eindeutig sein.
Gilt nur für benutzerdefinierte Bedrohungsgruppen und benutzerdefinierte Gruppen vertrauenswürdiger Entitäten — Wenn Sie eine Standort-URL angeben, die nicht den folgenden unterstützten Formaten entspricht, erhalten Sie beim Hinzufügen und Aktivieren der Liste eine Fehlermeldung.
1. (Optional) Für **Erwarteter Bucket-Besitzer** können Sie die AWS-Konto ID eingeben, der der Amazon S3 S3-Bucket gehört, der im Feld **Standort** angegeben ist.
Wenn Sie keinen AWS-Konto ID-Besitzer angeben, GuardDuty verhält sich das Verhalten bei Entitätslisten und IP-Adresslisten unterschiedlich. GuardDuty Überprüft bei Entitätslisten, ob das aktuelle Mitgliedskonto Eigentümer des im Feld **Standort** angegebenen S3-Buckets ist. Wenn Sie bei IP-Adresslisten keinen AWS-Konto ID-Besitzer angeben, GuardDuty wird keine Überprüfung durchgeführt.
Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung der Liste eine Fehlermeldung.
1. Aktivieren Sie das Kontrollkästchen **Ich stimme zu** und wählen Sie dann **Liste aktualisieren** aus.
------
#### [ API/CLI ]
Um mit den folgenden Verfahren zu beginnen, benötigen Sie die ID, z. B.`trustedEntitySetId`, `threatEntitySetId``trustedIpSet`, oder`threatIpSet`, die der Listenressource zugeordnet ist, die Sie aktualisieren möchten.
**Um eine Liste vertrauenswürdiger Entitäten zu aktualisieren und zu aktivieren**
1. Führen Sie [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html). Stellen Sie sicher, dass Sie das `detectorId` Mitgliedskonto angeben, für das Sie diese Liste der vertrauenswürdigen Entitäten aktualisieren möchten. Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **Einstellungen** in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
**Einschränkungen bei der Benennung** von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (\$1) enthalten.
1. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen, `name` der die Liste aktualisiert und auch diese Liste aktiviert:
```
aws guardduty update-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`Ersetzen Sie es durch die Melder-ID des Mitgliedskontos, für das Sie die Liste der vertrauenswürdigen Entitäten erstellen möchten, und durch andere Platzhalterwerte*shown in red*, die
Wenn Sie diese neu erstellte Liste nicht aktivieren möchten, ersetzen Sie den Parameter `--activate` durch`--no-activate`.
Der Parameter `expected-bucket-owner` ist optional. Unabhängig davon, ob Sie den Wert für diesen Parameter angeben oder nicht, wird GuardDuty überprüft, ob die mit diesem `--detector-id` Wert verknüpfte AWS-Konto ID den im `--location` Parameter angegebenen S3-Bucket besitzt. Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung dieser Liste eine Fehlermeldung.
Gilt nur für benutzerdefinierte Bedrohungsgruppen und benutzerdefinierte Gruppen vertrauenswürdiger Entitäten — Wenn Sie eine Standort-URL angeben, die nicht den folgenden unterstützten Formaten entspricht, erhalten Sie beim Hinzufügen und Aktivieren der Liste eine Fehlermeldung.
**Um eine Liste bedrohlicher Entitäten zu aktualisieren und zu aktivieren**
1. Führen Sie [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html). Stellen Sie sicher, dass Sie das `detectorId` Mitgliedskonto angeben, für das Sie diese Liste der Bedrohungsentitäten erstellen möchten. Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **Einstellungen** in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
**Einschränkungen bei der Benennung** von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (\$1) enthalten.
1. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen, `name` der die Liste aktualisiert und auch diese Liste aktiviert:
```
aws guardduty update-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`Ersetzen Sie es durch die Melder-ID des Mitgliedskontos, für das Sie die Liste der Bedrohungsentitäten erstellen möchten, und durch andere Platzhalterwerte, die lauten*shown in red*.
Wenn Sie diese neu erstellte Liste nicht aktivieren möchten, ersetzen Sie den Parameter `--activate` durch`--no-activate`.
Der Parameter `expected-bucket-owner` ist optional. Unabhängig davon, ob Sie den Wert für diesen Parameter angeben oder nicht, wird GuardDuty überprüft, ob die mit diesem `--detector-id` Wert verknüpfte AWS-Konto ID den im `--location` Parameter angegebenen S3-Bucket besitzt. Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung dieser Liste eine Fehlermeldung.
Gilt nur für benutzerdefinierte Bedrohungsgruppen und benutzerdefinierte Gruppen vertrauenswürdiger Entitäten — Wenn Sie eine Standort-URL angeben, die nicht den folgenden unterstützten Formaten entspricht, erhalten Sie beim Hinzufügen und Aktivieren der Liste eine Fehlermeldung.
**Um eine Liste vertrauenswürdiger IP-Adressen zu aktualisieren und zu aktivieren**
1. Führen Sie [Create](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html) ausIPSet. Stellen Sie sicher, dass Sie das Mitgliedskonto angeben, für das Sie diese Liste der vertrauenswürdigen IP-Adressen aktualisieren möchten. `detectorId` Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
**Einschränkungen bei der Benennung** von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (\$1) enthalten.
Bei einer IP-Adressliste muss der Name Ihrer Liste innerhalb einer AWS-Konto UND-Region eindeutig sein.
1. Alternativ können Sie dies tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen, der auch die Liste aktiviert:
```
aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--ip-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`Ersetzen Sie es durch die Melder-ID des Mitgliedskontos, für das Sie die Liste der vertrauenswürdigen IP-Adressen aktualisieren möchten, und durch andere Platzhalterwerte, die es sind*shown in red*.
Wenn Sie diese neu erstellte Liste nicht aktivieren möchten, ersetzen Sie den Parameter `--activate` durch`--no-activate`.
Der Parameter `expected-bucket-owner` ist optional. Wenn Sie die Konto-ID nicht angeben, der der S3-Bucket gehört, führt GuardDuty keine Überprüfung durch. Wenn Sie die Konto-ID für den `expected-bucket-owner` Parameter angeben, wird GuardDuty überprüft, ob diese AWS-Konto ID den im `--location` Parameter angegebenen S3-Bucket besitzt. Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung dieser Liste eine Fehlermeldung.
**Um Bedrohungs-IP-Listen hinzuzufügen und zu aktivieren**
1. Führen Sie [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html). Stellen Sie sicher, dass Sie das `detectorId` Mitgliedskonto angeben, für das Sie diese Bedrohungs-IP-Adressliste erstellen möchten. Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **Einstellungen** in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
**Einschränkungen bei der Benennung** von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (\$1) enthalten.
Bei einer IP-Adressliste muss der Name Ihrer Liste innerhalb einer AWS-Konto UND-Region eindeutig sein.
1. Alternativ können Sie dies tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen, der auch die Liste aktiviert:
```
aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`Ersetzen Sie es durch die Melder-ID des Mitgliedskontos, für das Sie die Bedrohungs-IP-Liste aktualisieren möchten, und durch andere Platzhalterwerte, die es sind*shown in red*.
Wenn Sie diese neu erstellte Liste nicht aktivieren möchten, ersetzen Sie den Parameter `--activate` durch`--no-activate`.
Der Parameter `expected-bucket-owner` ist optional. Wenn Sie die Konto-ID nicht angeben, der der S3-Bucket gehört, führt GuardDuty keine Überprüfung durch. Wenn Sie die Konto-ID für den `expected-bucket-owner` Parameter angeben, wird GuardDuty überprüft, ob diese AWS-Konto ID den im `--location` Parameter angegebenen S3-Bucket besitzt. Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung dieser Liste eine Fehlermeldung.
------
# Entitätsliste oder IP-Adressliste deaktivieren
Wenn Sie eine Liste nicht mehr verwenden GuardDuty möchten, können Sie sie deaktivieren. Es kann einige Minuten dauern, bis der Vorgang abgeschlossen ist. Weitere Informationen finden Sie unter [Wichtige Überlegungen zu GuardDuty Listen](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations). Nach der Deaktivierung der Liste wirken sich die Einträge in der Entitäts- oder IP-Adressliste nicht mehr auf die Bedrohungserkennung in GuardDuty aus.
Wählen Sie eine der Zugriffsmethoden, um die Liste zu deaktivieren.
------
#### [ Console ]
**Um die Entitätsliste oder die IP-Adressliste zu deaktivieren**
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich **Listen**.
1. Wählen Sie auf der **Listenseite** die Registerkarte aus, in der Sie die Liste deaktivieren möchten — **Entitätslisten** oder **IP-Adressliste**.
1. Wählen Sie auf der ausgewählten Registerkarte die Liste aus, die Sie deaktivieren möchten.
1. Wählen Sie **Aktionen** und dann **Deaktivieren** aus.
1. Bestätigen Sie die Aktion und wählen Sie **Deaktivieren**.
------
#### [ API/CLI ]
Um mit den folgenden Verfahren zu beginnen, benötigen Sie die ID, z. B.`trustedEntitySetId`, `threatEntitySetId``trustedIpSet`, oder`threatIpSet`, die der Listenressource zugeordnet ist, die Sie deaktivieren möchten.
**Um eine Liste vertrauenswürdiger Entitäten zu deaktivieren**
1. Führen Sie [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html). Stellen Sie sicher, dass Sie das `detectorId` Mitgliedskonto angeben, für das Sie diese Liste vertrauenswürdiger Entitäten deaktivieren möchten. Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
1. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen:
```
aws guardduty update-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
`detector-id`Ersetzen Sie es durch die Melder-ID des Mitgliedskontos, für das Sie die Liste der vertrauenswürdigen Entitäten deaktivieren möchten, und durch andere Platzhalterwerte, die es sind*shown in red*.
**Um Listen mit Bedrohungsentitäten zu deaktivieren**
1. Führen Sie [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html). Stellen Sie sicher, dass Sie das `detectorId` Mitgliedskonto angeben, für das Sie diese Liste der Bedrohungsentitäten deaktivieren möchten. Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
1. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen:
```
aws guardduty update-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
`detector-id`Ersetzen Sie es durch die Melder-ID des Mitgliedskontos, für das Sie die Liste der Bedrohungsentitäten erstellen, und durch andere Platzhalterwerte*shown in red*, die
**Um eine Liste vertrauenswürdiger IP-Adressen zu deaktivieren**
1. Führen Sie [Update](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateIPSet.html) ausIPSet. Stellen Sie sicher, dass Sie das Mitgliedskonto angeben, für das Sie diese Liste vertrauenswürdiger IP-Adressen deaktivieren möchten. `detectorId` Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
1. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen und sicherstellen, dass Sie das durch die `detector-id` Melder-ID des Mitgliedskontos ersetzen, für das Sie die Liste der vertrauenswürdigen IP-Adressen deaktivieren möchten.
```
aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--ip-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
**Um die Bedrohungs-IP-Liste zu deaktivieren**
1. Führen Sie [UpdateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatIntelSet.html). Stellen Sie sicher, dass Sie das `detectorId` Mitgliedskonto angeben, für das Sie diese Bedrohungs-IP-Adressliste deaktivieren möchten. Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
1. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen und sicherstellen, dass Sie das durch die `detector-id` Melder-ID des Mitgliedskontos ersetzen, für das Sie die Bedrohungs-IP-Liste deaktivieren möchten.
```
aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
------
# Entitätsliste oder IP-Adressliste löschen
Wenn Sie einen Listeneintrag in Ihrem Entitätsatz oder IP-Adresssatz nicht mehr behalten möchten, können Sie ihn löschen. Es kann einige Minuten dauern, bis der Vorgang abgeschlossen ist. Weitere Informationen finden Sie unter [Wichtige Überlegungen zu GuardDuty Listen](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations).
Wenn der Status der Liste Aktiviert oder ****Deaktiviert**** lautet, müssen Sie einige Minuten warten, bevor Sie eine Aktion ausführen. Weitere Informationen finden Sie unter [Grundlegendes zum Listenstatus](guardduty_upload-lists.md#guardduty-entity-list-statuses).
Wählen Sie eine der Zugriffsmethoden, um die Liste zu löschen.
------
#### [ Console ]
**Um die Entitätsliste oder die IP-Adressliste zu löschen**
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich **Listen**.
1. Wählen Sie auf der **Listenseite** die Registerkarte aus, in der Sie die Liste löschen möchten — **Entitätslisten** oder **IP-Adressliste**.
1. Wählen Sie auf der ausgewählten Registerkarte die Liste aus, die Sie löschen möchten.
1. Wählen Sie **Aktionen** und anschließend **Löschen** aus.
Der Listenstatus ändert sich in „**Ausstehend löschen“**. Es kann einige Minuten dauern, bis die Liste gelöscht wird.
------
#### [ API/CLI ]
Um mit den folgenden Verfahren zu beginnen, benötigen Sie die ID, z. B.`trustedEntitySetId`, `threatEntitySetId``trustedIpSet`, oder`threatIpSet`, die der Listenressource zugeordnet ist, die Sie löschen möchten.
**Um eine Liste vertrauenswürdiger Entitäten zu löschen**
1. Führen Sie [DeleteTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteTrustedEntitySet.html). Stellen Sie sicher, dass Sie das `detectorId` Mitgliedskonto angeben, für das Sie diese Liste der vertrauenswürdigen Entitäten löschen möchten. Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
1. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen:
```
aws guardduty delete-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`Ersetzen Sie es durch die Melder-ID des Mitgliedskontos, für das Sie die Liste der vertrauenswürdigen Entitäten löschen möchten, und durch andere Platzhalterwerte, die vorhanden sind*shown in red*.
**Um Listen mit Bedrohungsentitäten zu deaktivieren**
1. Führen Sie [DeleteThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatEntitySet.html). Stellen Sie sicher, dass Sie das `detectorId` Mitgliedskonto angeben, für das Sie diese Liste der Bedrohungsentitäten löschen möchten. Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **Einstellungen** in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
1. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen:
```
aws guardduty delete-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-entity-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`Ersetzen Sie es durch die Melder-ID des Mitgliedskontos, für das Sie die Liste der Bedrohungsentitäten löschen möchten, und durch andere Platzhalterwerte, die vorhanden sind*shown in red*.
**Um eine Liste vertrauenswürdiger IP-Adressen zu löschen**
1. Führen Sie [Delete](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteIPSet.html) ausIPSet. Stellen Sie sicher, dass Sie das Mitgliedskonto angeben, für das Sie diese Liste vertrauenswürdiger IP-Adressen löschen möchten. `detectorId` Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
1. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen und sicherstellen, dass Sie das durch die `detector-id` Melder-ID des Mitgliedskontos ersetzen, für das Sie die Liste der vertrauenswürdigen IP-Adressen löschen möchten.
```
aws guardduty delete-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--ip-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`Ersetzen Sie es durch die Melder-ID des Mitgliedskontos, für das Sie die Liste der Bedrohungsentitäten löschen möchten, und durch andere Platzhalterwerte, die es sind*shown in red*.
**Um die Liste der Bedrohungs-IP-Adressen zu löschen**
1. Führen Sie [DeleteThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatIntelSet.html). Stellen Sie sicher, dass Sie das `detectorId` Mitgliedskonto angeben, für das Sie diese Bedrohungs-IP-Adressliste löschen möchten. Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
1. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen und sicherstellen, dass Sie das durch die `detector-id` Melder-ID des Mitgliedskontos ersetzen, für das Sie die Bedrohungs-IP-Liste löschen möchten.
```
aws guardduty delete-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-intel-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`Ersetzen Sie es durch die Melder-ID des Mitgliedskontos, für das Sie die Liste der Bedrohungsentitäten löschen möchten, und durch andere Platzhalterwerte, die es sind*shown in red*.
------
# Generierte GuardDuty Ergebnisse in Amazon S3 S3-Buckets exportieren
GuardDuty bewahrt die generierten Ergebnisse für einen Zeitraum von 90 Tagen auf. GuardDuty exportiert die aktiven Ergebnisse nach Amazon EventBridge (EventBridge). Sie können die generierten Ergebnisse optional in einen Amazon Simple Storage Service (Amazon S3) -Bucket exportieren. Auf diese Weise können Sie die historischen Daten potenziell verdächtiger Aktivitäten in Ihrem Konto nachverfolgen und beurteilen, ob die empfohlenen Abhilfemaßnahmen erfolgreich waren.
Alle neuen aktiven Ergebnisse, die GuardDuty generiert werden, werden innerhalb von etwa 5 Minuten nach der Generierung des Ergebnisses automatisch exportiert. Sie können festlegen, wie oft Aktualisierungen der aktiven Ergebnisse exportiert werden EventBridge. Die Häufigkeit, die Sie auswählen, gilt für den Export neuer Vorkommen vorhandener Ergebnisse in Ihren S3-Bucket (sofern konfiguriert) und Detective (falls integriert). EventBridge Informationen darüber, wie mehrere Vorkommen vorhandener Ergebnisse GuardDuty aggregiert werden, finden Sie unter. [GuardDuty Aggregation finden](finding-aggregation.md)
Wenn Sie Einstellungen für den Export von Ergebnissen in einen Amazon S3 S3-Bucket konfigurieren, GuardDuty verwendet AWS Key Management Service (AWS KMS), um die Ergebnisdaten in Ihrem S3-Bucket zu verschlüsseln. Dazu müssen Sie Ihrem S3-Bucket und dem AWS KMS Schlüssel Berechtigungen hinzufügen, damit Sie diese für den Export der Ergebnisse in Ihrem Konto verwenden GuardDuty können.
**Topics**
+ [Überlegungen](#guardduty-export-findings-considerations)
+ [Schritt 1 — Für den Export der Ergebnisse sind Berechtigungen erforderlich](#guardduty_exportfindings-permissions)
+ [Schritt 2 — Richtlinie an Ihren KMS-Schlüssel anhängen](#guardduty-exporting-findings-kms-policy)
+ [Schritt 3 — Richtlinie an Amazon S3 S3-Bucket anhängen](#guardduty_exportfindings-s3-policies)
+ [Schritt 4 — Ergebnisse in einen S3-Bucket (Konsole) exportieren](#guardduty_exportfindings-new-bucket)
+ [Schritt 5 — Einstellung der Häufigkeit für den Export aktualisierter aktiver Ergebnisse](#guardduty_exportfindings-frequency)
## Überlegungen
Bevor Sie mit den Voraussetzungen und Schritten für den Export von Ergebnissen fortfahren, sollten Sie die folgenden wichtigen Konzepte berücksichtigen:
+ Die **Exporteinstellungen sind regional** — Sie müssen die Exportoptionen in jeder Region, die Sie verwenden, konfigurieren GuardDuty.
+ **Exportieren von Ergebnissen in Amazon S3 S3-Buckets in verschiedenen AWS-Regionen (regionsübergreifenden)** — GuardDuty unterstützt die folgenden Exporteinstellungen:
+ Ihr Amazon S3 S3-Bucket oder Objekt und der AWS KMS Schlüssel müssen zu demselben gehören AWS-Region.
+ Für die in einer Handelsregion generierten Ergebnisse können Sie wählen, ob Sie diese Ergebnisse in einen S3-Bucket in einer beliebigen Handelsregion exportieren möchten. Sie können diese Ergebnisse jedoch nicht in einen S3-Bucket in einer Opt-in-Region exportieren.
+ Für die Ergebnisse, die in einer Opt-in-Region generiert wurden, können Sie wählen, ob Sie diese Ergebnisse in dieselbe Opt-in-Region exportieren möchten, in der sie generiert wurden, oder in eine beliebige kommerzielle Region. Sie können jedoch keine Ergebnisse aus einer Opt-in-Region in eine andere Opt-in-Region exportieren.
+ **Berechtigungen zum Exportieren von Ergebnissen** — Um Einstellungen für den Export aktiver Ergebnisse zu konfigurieren, muss Ihr S3-Bucket über Berechtigungen verfügen, die das Hochladen von GuardDuty Objekten ermöglichen. Sie benötigen außerdem einen AWS KMS Schlüssel, mit dem Sie die Ergebnisse verschlüsseln GuardDuty können.
+ **Archivierte Ergebnisse werden nicht exportiert** — Standardmäßig werden die archivierten Ergebnisse, einschließlich neuer Instanzen unterdrückter Ergebnisse, nicht exportiert.
Wenn ein GuardDuty Ergebnis als *archiviert* generiert wird, müssen Sie es *entarchivieren*. Dadurch wird der **Suchstatus des Filters** auf **Aktiv** geändert. GuardDuty exportiert die Aktualisierungen der vorhandenen, nicht archivierten Ergebnisse auf der Grundlage Ihrer Konfiguration[Schritt 5 — Häufigkeit für den Export von Ergebnissen](#guardduty_exportfindings-frequency).
+ GuardDuty Das **Administratorkonto kann Ergebnisse exportieren, die in verknüpften Mitgliedskonten generiert** wurden — Wenn Sie Exportergebnisse in einem Administratorkonto konfigurieren, werden alle Ergebnisse der zugehörigen Mitgliedskonten, die in derselben Region generiert wurden, auch an den Speicherort exportiert, den Sie für das Administratorkonto konfiguriert haben. Weitere Informationen finden Sie unter [Verständnis der Beziehung zwischen GuardDuty Administratorkonto und Mitgliedskonten](administrator_member_relationships.md).
## Schritt 1 — Für den Export der Ergebnisse sind Berechtigungen erforderlich
Wenn Sie Einstellungen für den Export von Ergebnissen konfigurieren, wählen Sie einen Amazon S3 S3-Bucket aus, in dem Sie die Ergebnisse und einen AWS KMS Schlüssel für die Datenverschlüsselung speichern können. Zusätzlich zu den Berechtigungen für GuardDuty Aktionen müssen Sie auch über Berechtigungen für die folgenden Aktionen verfügen, um die Einstellungen für den Export von Ergebnissen erfolgreich konfigurieren zu können:
+ `s3:GetBucketLocation`
+ `s3:PutObject`
Wenn Sie die Ergebnisse in ein bestimmtes Präfix in Ihrem Amazon S3 S3-Bucket exportieren müssen, müssen Sie der IAM-Rolle auch die folgenden Berechtigungen hinzufügen:
+ `s3:GetObject`
+ `s3:ListBucket`
## Schritt 2 — Richtlinie an Ihren KMS-Schlüssel anhängen
GuardDuty verschlüsselt die Ergebnisdaten in Ihrem Bucket mithilfe von. AWS Key Management Service Um die Einstellungen erfolgreich zu konfigurieren, müssen Sie zunächst die GuardDuty Erlaubnis zur Verwendung eines KMS-Schlüssels erteilen. Sie können die Berechtigungen gewähren, indem Sie [die Richtlinie an Ihren KMS-Schlüssel anhängen](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html).
Wenn Sie einen KMS-Schlüssel von einem anderen Konto verwenden, müssen Sie die Schlüsselrichtlinie anwenden, indem Sie sich bei dem Konto anmelden AWS-Konto , dem der Schlüssel gehört. Wenn Sie die Einstellungen für den Export von Ergebnissen konfigurieren, benötigen Sie auch den Schlüssel-ARN von dem Konto, dem der Schlüssel gehört.
**Um die KMS-Schlüsselrichtlinie für die Verschlüsselung Ihrer exportierten Ergebnisse GuardDuty zu ändern**
1. Öffnen Sie die AWS KMS Konsole unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Wählen Sie einen vorhandenen KMS-Schlüssel aus oder führen Sie die Schritte zum [Erstellen eines neuen Schlüssels](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im *AWS Key Management Service Entwicklerhandbuch* aus, mit dem Sie die exportierten Ergebnisse verschlüsseln werden.
**Anmerkung**
Ihr KMS-Schlüssel und der Amazon S3 S3-Bucket müssen identisch sein. AWS-Region
Sie können dasselbe S3-Bucket- und KMS-Schlüsselpaar verwenden, um die Ergebnisse aus jeder zutreffenden Region zu exportieren. Weitere Informationen finden Sie unter Informationen [Überlegungen](#guardduty-export-findings-considerations) zum Exportieren von Ergebnissen zwischen Regionen.
1. Wählen Sie im Abschnitt **Key policy** (Schlüsselrichtlinie) die Option **Edit** (Bearbeiten) aus.
Wenn **Zur Richtlinienansicht wechseln** angezeigt wird, wählen Sie diese aus, um die **Schlüsselrichtlinie** anzuzeigen, und klicken Sie dann auf **Bearbeiten**.
1. Kopieren Sie den folgenden Richtlinienblock in Ihre KMS-Schlüsselrichtlinie, um die GuardDuty Erlaubnis zur Verwendung Ihres Schlüssels zu erteilen.
```
{
"Sid": "AllowGuardDutyKey",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "kms:GenerateDataKey",
"Resource": "KMS key ARN",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"
}
}
}
```
1. Bearbeiten Sie die Richtlinie, indem Sie die folgenden Werte ersetzen, die **red**im Richtlinienbeispiel formatiert sind:
1. *KMS key ARN*Ersetzen Sie durch den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels. Informationen zur Suche nach dem Schlüssel-ARN [finden Sie unter Suchen der Schlüssel-ID und des ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) im *AWS Key Management Service Entwicklerhandbuch*.
1. *123456789012*Ersetzen Sie es durch die AWS-Konto ID, der das GuardDuty Konto gehört, das die Ergebnisse exportiert.
1. *Region2*Ersetzen Sie durch den AWS-Region Ort, an dem die GuardDuty Ergebnisse generiert wurden.
1. *SourceDetectorID*Ersetzen Sie es durch das GuardDuty Konto in der spezifischen Region, in der die Ergebnisse generiert wurden. `detectorID`
Das `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
**Anmerkung**
Wenn Sie die App GuardDuty in einer Opt-in-Region verwenden, ersetzen Sie den Wert für den „Service“ durch den regionalen Endpunkt für diese Region. Wenn Sie beispielsweise GuardDuty in der Region Naher Osten (Bahrain) (me-south-1) verwenden, ersetzen Sie `"Service": "guardduty.amazonaws.com"` es durch. `"Service": "guardduty.me-south-1.amazonaws.com"` [Informationen zu Endpunkten für jede Opt-in-Region finden Sie unter GuardDuty Endpunkte und Kontingente.](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)
1. Wenn Sie die Grundsatzerklärung vor der endgültigen Erklärung hinzugefügt haben, fügen Sie vor dem Hinzufügen dieser Aussage ein Komma hinzu. Stellen Sie sicher, dass die JSON-Syntax Ihrer KMS-Schlüsselrichtlinie gültig ist.
Wählen Sie **Speichern**.
1. (Optional) Kopieren Sie den Schlüssel ARN auf einen Notizblock, um ihn in den späteren Schritten zu verwenden.
## Schritt 3 — Richtlinie an Amazon S3 S3-Bucket anhängen
Fügen Sie dem Amazon S3 S3-Bucket, in den Sie Ergebnisse exportieren, Berechtigungen hinzu, damit Sie Objekte in diesen S3-Bucket hochladen GuardDuty können. Unabhängig davon, ob Sie einen Amazon S3 S3-Bucket verwenden, der entweder zu Ihrem Konto oder zu einem anderen gehört AWS-Konto, müssen Sie diese Berechtigungen hinzufügen.
Wenn Sie zu irgendeinem Zeitpunkt entscheiden, Ergebnisse in einen anderen S3-Bucket zu exportieren, müssen Sie, um mit dem Export der Ergebnisse fortzufahren, Berechtigungen für diesen S3-Bucket hinzufügen und die Einstellungen für den Export der Ergebnisse erneut konfigurieren.
Wenn Sie noch keinen Amazon S3 S3-Bucket haben, in den Sie diese Ergebnisse exportieren möchten, finden Sie weitere Informationen unter [Erstellen eines Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) im *Amazon S3 S3-Benutzerhandbuch*.
### So fügen Sie Ihrer S3-Bucket-Richtlinie Berechtigungen hinzu
1. Führen Sie die Schritte unter [So erstellen oder bearbeiten Sie eine Bucket-Richtlinie](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) im *Amazon S3 S3-Benutzerhandbuch* aus, bis die Seite **Bucket-Richtlinie bearbeiten** angezeigt wird.
1. Die **Beispielrichtlinie** zeigt, wie Sie die GuardDuty Erlaubnis zum Exportieren von Ergebnissen in Ihren Amazon S3 S3-Bucket erteilen. Wenn Sie den Pfad ändern, nachdem Sie Exportergebnisse konfiguriert haben, müssen Sie die Richtlinie ändern, um die Erlaubnis für den neuen Speicherort zu erteilen.
Kopieren Sie die folgende **Beispielrichtlinie** und fügen Sie sie in den **Bucket-Richtlinieneditor** ein.
Wenn Sie die Richtlinienerklärung vor der endgültigen Aussage hinzugefügt haben, fügen Sie vor dem Hinzufügen dieser Aussage ein Komma hinzu. Stellen Sie sicher, dass die JSON-Syntax Ihrer KMS-Schlüsselrichtlinie gültig ist.
**Beispiel für eine S3-Bucket-Richtlinie**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow GetBucketLocation",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"
}
}
},
{
"Sid": "Allow PutObject",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"
}
}
},
{
"Sid": "Deny unencrypted object uploads",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "Deny incorrect encryption header",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
}
},
{
"Sid": "Deny non-HTTPS access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
1. Bearbeiten Sie die Richtlinie, indem Sie die folgenden Werte ersetzen, die **red**im Richtlinienbeispiel formatiert sind:
1. *Amazon S3 bucket ARN*Ersetzen Sie durch den Amazon-Ressourcennamen (ARN) des Amazon S3-Buckets. Sie finden den **Bucket-ARN** auf der Seite **Bucket-Richtlinie bearbeiten** in der [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)Konsole.
1. *123456789012*Ersetzen Sie ihn durch die AWS-Konto ID, der das GuardDuty Konto gehört, das die Ergebnisse exportiert.
1. *us-east-2*Ersetzen Sie durch den AWS-Region Ort, an dem die GuardDuty Ergebnisse generiert wurden.
1. *SourceDetectorID*Ersetzen Sie es durch das GuardDuty Konto in der spezifischen Region, in der die Ergebnisse generiert wurden. `detectorID`
Das `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
1. Ersetzen Sie einen *[optional prefix]* Teil des *S3 bucket ARN/[optional prefix]* Platzhalterwerts durch einen optionalen Ordnerspeicherort, in den Sie die Ergebnisse exportieren möchten. Weitere Informationen zur Verwendung von Präfixen finden Sie unter [Objekte mithilfe von Präfixen organisieren](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html) im *Amazon S3 S3-Benutzerhandbuch*.
Wenn Sie einen optionalen Ordnerspeicherort angeben, der noch nicht existiert, GuardDuty wird dieser Speicherort nur erstellt, wenn das mit dem S3-Bucket verknüpfte Konto mit dem Konto identisch ist, das die Ergebnisse exportiert. Wenn Sie Ergebnisse in einen S3-Bucket exportieren, der zu einem anderen Konto gehört, muss der Speicherort des Ordners bereits vorhanden sein.
1. *KMS key ARN*Ersetzen Sie ihn durch den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels, der mit der Verschlüsselung der in den S3-Bucket exportierten Ergebnisse verknüpft ist. Informationen zur Suche nach dem Schlüssel-ARN [finden Sie unter Suchen der Schlüssel-ID und des ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) im *AWS Key Management Service Entwicklerhandbuch*.
**Anmerkung**
Wenn Sie GuardDuty in einer Opt-in-Region verwenden, ersetzen Sie den Wert für den „Service“ durch den regionalen Endpunkt für diese Region. Wenn Sie beispielsweise GuardDuty in der Region Naher Osten (Bahrain) (me-south-1) verwenden, ersetzen Sie `"Service": "guardduty.amazonaws.com"` es durch. `"Service": "guardduty.me-south-1.amazonaws.com"` [Informationen zu Endpunkten für jede Opt-in-Region finden Sie unter GuardDuty Endpunkte und Kontingente.](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)
1. Wählen Sie **Speichern**.
## Schritt 4 — Ergebnisse in einen S3-Bucket (Konsole) exportieren
GuardDuty ermöglicht es Ihnen, Ergebnisse in einen vorhandenen Bucket in einem anderen zu exportieren AWS-Konto.
Wenn Sie einen neuen S3-Bucket erstellen oder einen vorhandenen Bucket in Ihrem Konto auswählen, können Sie ein optionales Präfix hinzufügen. GuardDuty Erstellt bei der Konfiguration von Exportergebnissen einen neuen Ordner im S3-Bucket für Ihre Ergebnisse. Das Präfix wird an die von Ihnen GuardDuty erstellte Standardordnerstruktur angehängt. Zum Beispiel das Format des optionalen Präfixes`/AWSLogs/123456789012/GuardDuty/Region`.
Der gesamte Pfad des S3-Objekts wird sein`amzn-s3-demo-bucket/prefix-name/UUID.jsonl.gz`. Das `UUID` wird zufällig generiert und stellt weder die Melder-ID noch die Befund-ID dar.
**Wichtig**
Der KMS-Schlüssel und der S3-Bucket müssen sich in derselben Region befinden.
Bevor Sie diese Schritte ausführen, stellen Sie sicher, dass Sie Ihrem KMS-Schlüssel und Ihrem vorhandenen S3-Bucket die entsprechenden Richtlinien angehängt haben.
**Um Exportergebnisse zu konfigurieren**
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).
1. Wählen Sie auf der Seite **Einstellungen** unter **Exportoptionen für Ergebnisse** für den **S3-Bucket** die Option **Jetzt konfigurieren** (oder je nach Bedarf **Bearbeiten**) aus.
1. Geben Sie für den **S3-Bucket ARN** den ein****bucket ARN****. Informationen zum Bucket ARN finden Sie unter [Eigenschaften für einen S3-Bucket anzeigen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html) im *Amazon S3 S3-Benutzerhandbuch*.
1. Geben Sie für **KMS-Schlüssel-ARN** den ein ****key ARN****. Informationen zur Suche nach dem Schlüssel-ARN [finden Sie unter Suchen der Schlüssel-ID und des ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) im *AWS Key Management Service Entwicklerhandbuch*.
1.
**Richtlinien anhängen**
+ Führen Sie die Schritte aus, um die S3-Bucket-Richtlinie anzuhängen. Weitere Informationen finden Sie unter [Schritt 3 — Richtlinie an Amazon S3 S3-Bucket anhängen](#guardduty_exportfindings-s3-policies).
+ Führen Sie die Schritte aus, um die KMS-Schlüsselrichtlinie anzuhängen. Weitere Informationen finden Sie unter [Schritt 2 — Richtlinie an Ihren KMS-Schlüssel anhängen](#guardduty-exporting-findings-kms-policy).
1. Wählen Sie **Save (Speichern)** aus.
## Schritt 5 — Einstellung der Häufigkeit für den Export aktualisierter aktiver Ergebnisse
Konfigurieren Sie die Häufigkeit für den Export aktualisierter aktiver Ergebnisse entsprechend Ihrer Umgebung. Standardmäßig werden aktualisierte Ergebnisse alle 6 Stunden exportiert. Dies bedeutet, dass alle Ergebnisse in den nächsten Export aufgenommen werden, die nach dem letzten Export aktualisiert wurden. Wenn aktualisierte Ergebnisse alle 6 Stunden exportiert werden und dieser Export um 12:00 Uhr erfolgt, wird jedes nach 12:00 Uhr aktualisierte Ergebnis um 18:00 Uhr exportiert.
**So stellen Sie die Häufigkeit ein**
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie **Einstellungen** aus.
1. Wählen Sie im Bereich **Exportoptionen für Erkenntnisse** die Option **Häufigkeit für aktualisierte Erkenntnisse** aus. Dadurch wird die Häufigkeit für den Export aktualisierter Active-Ergebnisse EventBridge sowohl nach Amazon S3 als auch nach Amazon S3 festgelegt. Sie können aus den folgenden Optionen auswählen:
+ **Update EventBridge und S3 alle 15 Minuten**
+ **Update EventBridge und S3 alle 1 Stunde**
+ **Update EventBridge und S3 alle 6 Stunden (Standard)**
1. Wählen Sie **Änderungen speichern ** aus.
# Bearbeitung von GuardDuty Ergebnissen mit Amazon EventBridge
GuardDuty veröffentlicht (sendet) Ergebnisse automatisch als Ereignisse an Amazon EventBridge (ehemals Amazon CloudWatch Events), einen serverlosen Eventbus-Service. EventBridge liefert einen Stream von Daten aus Anwendungen und Services nahezu in Echtzeit an Ziele wie Amazon Simple Notification Service (Amazon SNS) -Themen, AWS Lambda -Funktionen und Amazon Kinesis Kinesis-Streams. Weitere Informationen finden Sie im [ EventBridge Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).
EventBridge ermöglicht die automatische Überwachung und Verarbeitung von GuardDuty Ergebnissen durch den Empfang von [Ereignissen](https://docs.aws.amazon.com/eventbridge/latest/userguide/aws-events.html). EventBridge empfängt Ereignisse sowohl für neu generierte Ergebnisse als auch für aggregierte Ergebnisse, wobei nachfolgende Ereignisse eines vorhandenen Ergebnisses mit dem ursprünglichen Ergebnis kombiniert werden. Jedem GuardDuty Befund wird eine Befund-ID zugewiesen, und für jeden Befund GuardDuty wird ein EventBridge Ereignis mit einer eindeutigen Befund-ID erstellt. Informationen zur Funktionsweise der Aggregation in finden Sie GuardDuty unter[GuardDuty Aggregation finden](finding-aggregation.md).
Zusätzlich zur automatisierten Überwachung und Verarbeitung EventBridge ermöglicht die Verwendung von eine längerfristige Aufbewahrung Ihrer Ergebnisdaten. GuardDuty speichert Ergebnisse für 90 Tage. Mit EventBridge können Sie Ergebnisdaten an Ihre bevorzugte Speicherplattform senden und die Daten so lange speichern, wie Sie möchten. Um Ergebnisse für einen längeren Zeitraum aufzubewahren, GuardDuty unterstützt[Generierte Ergebnisse nach Amazon S3 exportieren](guardduty_exportfindings.md).
**Topics**
+ [EventBridge Benachrichtigungshäufigkeit in GuardDuty](#eventbridge-freq-notifications-gdu)
+ [Ein Amazon SNS SNS-Thema und einen Endpunkt einrichten](#guardduty-eventbridge-set-up-sns-and-endpoint)
+ [Verwenden EventBridge mit GuardDuty](#eventbridge_events)
+ [Erstellen einer EventBridge Regel](#guardduty_eventbridge_severity_notification)
+ [EventBridge Regel für Umgebungen mit mehreren Konten](#guardduty_findings_eventbridge_multiaccount)
## Grundlegendes zur Häufigkeit von EventBridge Benachrichtigungen in GuardDuty
In diesem Abschnitt wird erklärt, wie oft Sie Benachrichtigungen über Fundfälle erhalten EventBridge und wie Sie die Häufigkeit für nachfolgende Fundfälle aktualisieren können.
**Benachrichtigungen für neu generierte Ergebnisse mit einer eindeutigen Befund-ID**
GuardDuty sendet diese Benachrichtigungen nahezu in Echtzeit, wenn ein Ergebnis mit einer eindeutigen Befund-ID generiert wird. Die Benachrichtigung umfasst alle nachfolgenden Vorkommen dieser Ergebnis-ID bei der Generierung der Benachrichtigung.
Die Benachrichtigungshäufigkeit für neu generierte Ergebnisse erfolgt nahezu in Echtzeit. Standardmäßig können Sie diese Häufigkeit nicht ändern.
**Benachrichtigungen für nachfolgende Erkenntnisse**
GuardDuty fasst alle nachfolgenden Ereignisse eines bestimmten Ergebnistyps, die innerhalb der 6-Stunden-Intervalle stattfinden, zu einem einzigen Ereignis zusammen. Nur ein Administratorkonto kann die EventBridge Benachrichtigungshäufigkeit für nachfolgende Befunde aktualisieren. Ein Mitgliedskonto kann diese Häufigkeit nicht für sein eigenes Konto aktualisieren. Wenn das delegierte GuardDuty Administratorkonto die Häufigkeit beispielsweise auf eine Stunde aktualisiert, erhalten alle Mitgliedskonten außerdem eine einstündige Benachrichtigungsfrequenz über die nachfolgenden Ereignisse, die an gesendet werden. EventBridge Weitere Informationen finden Sie unter [Mehrere Konten bei Amazon GuardDuty](guardduty_accounts.md).
Als Administratorkonto können Sie die Standardhäufigkeit von Benachrichtigungen über nachfolgende Befunde anpassen. Mögliche Werte sind 15 Minuten, 1 Stunde oder standardmäßig 6 Stunden. Weitere Informationen zum Einrichten der Häufigkeit für diese Benachrichtigungen finden Sie unter [Schritt 5 — Einstellung der Häufigkeit für den Export aktualisierter aktiver Ergebnisse](guardduty_exportfindings.md#guardduty_exportfindings-frequency).
Weitere Informationen darüber, wie das Administratorkonto EventBridge Benachrichtigungen für Mitgliedskonten erhält, finden Sie unter[EventBridge Regel für Umgebungen mit mehreren Konten](#guardduty_findings_eventbridge_multiaccount).
## Richten Sie ein Amazon SNS SNS-Thema und einen Endpunkt ein (E-Mail, Slack und Amazon Chime)
Amazon Simple Notification Service (Amazon SNS) ist ein vollständig verwalteter Service, der die Nachrichtenzustellung von Verlagen an Abonnenten ermöglicht. *Herausgeber kommunizieren asynchron mit Abonnenten, indem sie Nachrichten zu einem Thema senden.* Ein Thema ist ein logischer Zugriffspunkt und Kommunikationskanal, mit dem Sie mehrere Endpunkte wie AWS Lambda Amazon Simple Queue Service (Amazon SQS), HTTP/S und eine E-Mail-Adresse gruppieren können.
**Anmerkung**
Sie können Ihrer bevorzugten EventBridge Ereignisregel während oder nach der Erstellung der Regel ein Amazon SNS SNS-Thema hinzufügen.
**Ein Amazon SNS SNS-Thema erstellen**
Zu Beginn müssen Sie zunächst ein Thema in Amazon SNS einrichten und einen Endpunkt hinzufügen. Um ein Thema zu erstellen, führen Sie die Schritte in [Schritt 1: Thema erstellen](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) im *Amazon Simple Notification Service Developer Guide* aus. Nachdem das Thema erstellt wurde, kopieren Sie den Themen-ARN in die Zwischenablage. Sie werden dieses Thema ARN verwenden, um mit einem der bevorzugten Setups fortzufahren.
Wählen Sie eine bevorzugte Methode, um festzulegen, wohin Sie die Suchdaten senden GuardDuty möchten.
------
#### [ Email setup ]
**Um einen E-Mail-Endpunkt einzurichten**
Nach Ihnen [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge) besteht der nächste Schritt darin, ein Abonnement für dieses Thema zu erstellen. Führen Sie die Schritte unter [Schritt 2: Abonnement für ein Amazon SNS SNS-Abonnement erstellen im Amazon](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html) *Simple Notification Service Developer Guide* aus.
1. Verwenden Sie für **Themen-ARN** den Themen-ARN, der im [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge) Schritt erstellt wurde. Das Thema ARN sieht etwa wie folgt aus:
```
arn:aws:sns:us-east-2:123456789012:your_topic
```
1. Wählen Sie unter **Protocol** die Option **Email** aus.
1. Geben Sie für **Endpoint** eine E-Mail-Adresse ein, unter der Sie die Benachrichtigungen von Amazon SNS erhalten möchten.
Nachdem das Abonnement erstellt wurde, müssen Sie es über Ihren E-Mail-Client bestätigen.
------
#### [ Slack setup ]
**So konfigurierst du einen Amazon Q Developer in einem Client für Chat-Anwendungen - Slack**
Danach besteht der nächste Schritt darin[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), den Client für Slack zu konfigurieren.
Führe die Schritte unter [Tutorial: Erste Schritte mit Slack](https://docs.aws.amazon.com/chatbot/latest/adminguide/slack-setup.html) im *Administratorhandbuch für Amazon Q Developer in Chat-Anwendungen* durch.
------
#### [ Chime setup ]
**So konfigurieren Sie einen Client für Amazon Q Developer in Chat-Anwendungen — Chime**
Danach besteht der nächste Schritt darin[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), Amazon Q Developer für Chime zu konfigurieren.
Führen Sie die Schritte unter [Tutorial: Erste Schritte mit Amazon Chime](https://docs.aws.amazon.com/chatbot/latest/adminguide/chime-setup.html.html) im *Administratorhandbuch für Amazon Q Developer in Chat-Anwendungen* durch.
------
## Amazon EventBridge für GuardDuty Ergebnisse verwenden
Mit erstellen Sie Regeln EventBridge, um die Ereignisse anzugeben, die Sie überwachen möchten. Diese Regeln spezifizieren auch die Zieldienste und -anwendungen, die automatisierte Aktionen ausführen können, wenn diese Ereignisse eintreten. Ein [Ziel](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) ist ein Ziel (eine Ressource oder ein Endpunkt), EventBridge an das ein Ereignis gesendet wird, wenn das Ereignis dem in der Regel definierten Ereignismuster entspricht. Jedes Ereignis ist ein JSON-Objekt, das dem EventBridge Schema für AWS Ereignisse entspricht und eine JSON-Darstellung eines Ergebnisses enthält. Sie können die Regel so anpassen, dass nur die Ereignisse gesendet werden, die bestimmte Kriterien erfüllen. Weitere Informationen finden Sie unter [Thema JSON-Schema]. Da die Ergebnisdaten als [EventBridgeEreignis](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-and-event-patterns.html) strukturiert sind, können Sie die Ergebnisse mithilfe anderer Anwendungen, Dienste und Tools überwachen, verarbeiten und darauf reagieren.
Um Benachrichtigungen über GuardDuty Ergebnisse zu erhalten, die auf Ereignissen basieren, müssen Sie eine EventBridge Regel und ein Ziel für erstellen GuardDuty. Diese Regel EventBridge ermöglicht das Senden von Benachrichtigungen für GuardDuty generierte Ergebnisse an das in der Regel angegebene Ziel.
**Anmerkung**
EventBridge und CloudWatch Events sind derselbe zugrunde liegende Dienst und dieselbe API. EventBridge Enthält jedoch zusätzliche Funktionen, mit denen Sie Ereignisse von SaaS-Anwendungen (Software as a Service) und Ihren eigenen Anwendungen empfangen können. Da der zugrunde liegende Dienst und die API identisch sind, ist auch das Ereignisschema für GuardDuty Ergebnisse identisch.
**Wie GuardDuty funktionieren archivierte und nicht archivierte Ergebnisse EventBridge**
Bei Ergebnissen, die Sie manuell archivieren, werden die ersten und alle nachfolgenden Ergebnisse (die nach Abschluss der Archivierung generiert wurden) EventBridge anhand einer bestimmten Benachrichtigungshäufigkeit an folgende Empfänger gesendet. Weitere Informationen finden Sie unter [Grundlegendes zur Häufigkeit von EventBridge Benachrichtigungen in GuardDuty](#eventbridge-freq-notifications-gdu).
Bei Ergebnissen, die automatisch archiviert werden[Unterdrückungsregeln](findings_suppression-rule.md), werden die ersten und alle nachfolgenden Vorkommen dieser Ergebnisse (die nach Abschluss der Archivierung generiert wurden) *nicht* an gesendet. EventBridge Sie können diese automatisch archivierten Ergebnisse in der GuardDuty Konsole einsehen.
### Schema des Ereignisses
Ein [Ereignismuster](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) definiert, anhand welcher Daten bestimmt EventBridge wird, ob das Ereignis an das Ziel gesendet werden soll. Das EventBridge Ereignis für GuardDuty hat das folgende Format:
```
{
"version": "0",
"id": "cd2d702e-ab31-411b-9344-793ce56b1bc7",
"detail-type": "GuardDuty Finding",
"source": "aws.guardduty",
"account": "111122223333",
"time": "1970-01-01T00:00:00Z",
"region": "us-east-1",
"resources": [],
"detail": {GUARDDUTY_FINDING_JSON_OBJECT}
}
```
*Der `detail` Wert gibt die JSON-Details eines einzelnen Ergebnisses als Objekt zurück, im Gegensatz zur Rückgabe der gesamten Ergebnisantwortsyntax, die mehrere Ergebnisse innerhalb eines Arrays unterstützt.*
Eine vollständige Liste aller in enthaltenen Parameter finden Sie `GUARDDUTY_FINDING_JSON_OBJECT` unter [GetFindings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFindings.html#API_GetFindings_ResponseSyntax). Der `id`-Parameter, der in der `GUARDDUTY_FINDING_JSON_OBJECT` angezeigt wird, ist die zuvor beschriebene Ergebnis-ID.
## Eine EventBridge Regel für GuardDuty Ergebnisse erstellen
In den folgenden Verfahren wird erklärt, wie Sie mit der EventBridge Amazon-Konsole und dem [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) eine EventBridge Regel für GuardDuty Ergebnisse erstellen. Die Regel erkennt EventBridge Ereignisse, die das Ereignisschema und das Muster für GuardDuty Ergebnisse verwenden, und sendet diese Ereignisse zur Verarbeitung an eine AWS Lambda Funktion.
AWS Lambda ist ein Rechendienst, mit dem Sie Code ausführen können, ohne Server bereitzustellen oder zu verwalten. Sie verpacken Ihren Code und laden ihn AWS Lambda als *Lambda-Funktion* hoch. AWS Lambda führt dann die Funktion aus, wenn die Funktion aufgerufen wird. Eine Funktion kann manuell von Ihnen, automatisch als Reaktion auf Ereignisse oder als Reaktion auf Anforderungen von Anwendungen oder Diensten aufgerufen werden. Informationen zum Erstellen und Abrufen und Lambda-Funktionen finden Sie im [AWS Lambda -Entwicklerhandbuch](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html).
Wählen Sie Ihre bevorzugte Methode, um eine EventBridge Regel zu erstellen, die Ihr GuardDuty Ergebnis an ein Ziel sendet.
------
#### [ Console ]
Gehen Sie wie folgt vor, um mit der EventBridge Amazon-Konsole eine Regel zu erstellen, die automatisch alle GuardDuty Findereignisse zur Verarbeitung an eine Lambda-Funktion sendet. Die Regel verwendet Standardeinstellungen für Regeln, die ausgeführt werden, wenn bestimmte Ereignisse empfangen werden. Einzelheiten zu Regeleinstellungen oder wie Sie eine Regel erstellen, die benutzerdefinierte Einstellungen verwendet, finden Sie im * EventBridge Amazon-Benutzerhandbuch* unter [Regeln erstellen, die auf Ereignisse reagieren](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html).
Bevor Sie diese Regel erstellen, erstellen Sie die Lambda-Funktion, die die Regel als Ziel verwenden soll. Wenn Sie die Regel erstellen, müssen Sie diese Funktion als Ziel für die Regel angeben. Ihr Ziel kann auch das SNS-Thema sein, das Sie zuvor erstellt haben. Weitere Informationen finden Sie unter [Richten Sie ein Amazon SNS SNS-Thema und einen Endpunkt ein (E-Mail, Slack und Amazon Chime)](#guardduty-eventbridge-set-up-sns-and-endpoint).
**So erstellen Sie eine Ereignisregel mithilfe der Konsole**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die EventBridge Amazon-Konsole unter [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Wählen Sie im Navigationsbereich unter **Busse** die Option **Regeln** aus.
1. Wählen Sie im Abschnitt **Rules (Regeln)** die Option **Create rule (Regel erstellen)** aus.
1. Gehen Sie auf der **Detailseite Regel definieren** wie folgt vor:
1. Geben Sie für **Rule name (Regelname)** einen Namen für die Regel ein.
1. (Optional) Geben Sie unter **Beschreibung** eine kurze Beschreibung der Regel ein.
1. Stellen Sie sicher, dass für **Event Bus** die Option **Standard** ausgewählt ist und **die Option Regel auf dem ausgewählten Event-Bus aktivieren** aktiviert ist.
1. Bei **Regeltyp** wählen Sie **Regel mit einem Ereignismuster** aus.
1. Wenn Sie fertig sind, wählen Sie **Next (Weiter)** aus.
1. Gehen Sie auf der Seite **Event-Pattern erstellen** wie folgt vor:
1. Wählen Sie als **Ereignisquelle AWS ** **Ereignisse oder EventBridge Partnerereignisse** aus.
1. (Optional) Sehen Sie sich für **Beispielereignis** ein Beispiel für ein Suchereignis an GuardDuty , um zu erfahren, was ein Ereignis beinhalten könnte. Wählen Sie dazu **AWS Ereignisse** aus. Wählen Sie dann für **Beispielereignisse** die Option **GuardDutyFinding** aus.
1.
**Option 1 — Verwenden von Pattern Form, einer Vorlage, die Folgendes EventBridge bietet**
Im Abschnitt **Ereignismuster** können Sie Folgendes tun:
1. Wählen Sie als **Erstellungsmethode** die Option **Musterformular verwenden aus**.
1. Wählen Sie für **Ereignisquelle** die Option **AWS-Services** aus.
1. Wählen Sie für **AWS-Service** **GuardDuty** aus.
1. Wählen Sie als **Ereignistyp** die Option **GuardDuty Finding** aus.
Wenn Sie fertig sind, wählen Sie **Next (Weiter)** aus.
1.
**Option 2 — Verwenden eines benutzerdefinierten Ereignismusters in JSON**
Im Abschnitt **Ereignismuster** können Sie Folgendes tun:
1. Wählen Sie als **Erstellungsmethode** die Option **Benutzerdefiniertes Muster (JSON-Editor)** aus.
1. Fügen Sie **unter Ereignismuster** den folgenden benutzerdefinierten JSON-Code ein, der eine Warnung für mittlere, hohe und kritische Ergebnisse erstellt. Weitere Informationen finden Sie unter [Schweregrade der Ergebnisse](guardduty_findings-severity.md).
```
{
"source": [
"aws.guardduty"
],
"detail-type": [
"GuardDuty Finding"
],
"detail": {
"severity": [
4,
4.0,
4.1,
4.2,
4.3,
4.4,
4.5,
4.6,
4.7,
4.8,
4.9,
5,
5.0,
5.1,
5.2,
5.3,
5.4,
5.5,
5.6,
5.7,
5.8,
5.9,
6,
6.0,
6.1,
6.2,
6.3,
6.4,
6.5,
6.6,
6.7,
6.8,
6.9,
7,
7.0,
7.1,
7.2,
7.3,
7.4,
7.5,
7.6,
7.7,
7.8,
7.9,
8,
8.0,
8.1,
8.2,
8.3,
8.4,
8.5,
8.6,
8.7,
8.8,
8.9,
9,
9.0,
9.1,
9.2,
9.3,
9.4,
9.5,
9.6,
9.7,
9.8,
9.9,
10,
10.0
]
}
}
```
Wenn Sie fertig sind, wählen Sie **Next (Weiter)** aus.
1.
**Option A — Auswahl AWS-Service — AWS Lambda als Ziel**
Gehen Sie auf der Seite **Ziel (e) auswählen** wie folgt vor:
1. Wählen Sie für **Zieltypen** aus **AWS-Service**.
1. Für **Select a target** (Ein Ziel auswählen), wählen die Option **Lambda function** (Lambda-Funktion) aus. Wählen Sie dann für **Function** die Lambda-Funktion aus, an die Sie Suchereignisse senden möchten.
1. Geben **Sie unter Version/Alias konfigurieren** die Versions- oder Aliaseinstellungen für die Lambda-Zielfunktion ein.
1. (Optional) Geben Sie für **Zusätzliche Einstellungen** benutzerdefinierte Einstellungen ein, um anzugeben, welche Ereignisdaten Sie an die Lambda-Funktion senden möchten. Sie können auch angeben, wie Ereignisse behandelt werden sollen, die nicht erfolgreich an die Funktion übermittelt wurden.
1. Wenn Sie fertig sind, wählen Sie **Next (Weiter)** aus.
1.
**Option B — Auswahl eines SNS-Themas als Ziel**
Gehen Sie auf der Seite **Ziel (e) auswählen** wie folgt vor:
1. Wählen Sie für **Zieltypen** aus **AWS-Service**.
1. Für **Select a target** (Wählen Sie ein Ziel aus), wählen Sie **SNS-Thema** aus. Wählen Sie dann für **Zielstandort** die passende Option aus, die auf Ihrem Zielort basiert. Wählen Sie **unter Thema** den Namen des SNS-Themas aus, das Sie erstellt haben.
1. Erweitern Sie **Additional settings** (Zusätzliche Einstellungen). Wählen **Sie für Zieleingabe konfigurieren die Option **Eingangstransformator**** aus.
1. Wählen Sie **Configure input transformer** (Eingabetransformator konfigurieren).
1. Kopieren Sie den folgenden Code und fügen Sie ihn in das Feld **Eingabepfad** im Abschnitt **Zieleingangstransformator** ein.
```
{
"severity": "$.detail.severity",
"Account_ID": "$.detail.accountId",
"Finding_ID": "$.detail.id",
"Finding_Type": "$.detail.type",
"region": "$.region",
"Finding_description": "$.detail.description"
}
```
1. Kopieren Sie den folgenden Code und fügen Sie ihn in das Feld **Vorlage** ein, um die E-Mail zu formatieren.
```
"You have a severity GuardDuty finding type in the Region."
"Finding Description:"
". "
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=#/findings?search=id%3D"
```
1. Geben Sie auf der Seite **Tags konfigurieren** optional ein oder mehrere Tags ein, die der Regel zugewiesen werden sollen. Klicken Sie anschließend auf **Weiter**.
1. **Überprüfen Sie auf der Seite Überprüfen und erstellen** die Einstellungen der Regel und stellen Sie sicher, dass sie korrekt sind.
Um eine Einstellung zu ändern, wählen Sie in dem Abschnitt, der die Einstellung enthält, **Bearbeiten** aus und geben Sie dann die richtige Einstellung ein. Sie können auch die Navigationsregisterkarten verwenden, um zu der Seite zu gelangen, die eine Einstellung enthält.
1. Wenn Sie mit der Überprüfung der Einstellungen fertig sind, wählen Sie **Regel erstellen** aus.
------
#### [ API ]
Das folgende Verfahren zeigt, wie Sie mithilfe von AWS CLI Befehlen eine EventBridge Regel und ein Ziel für GuardDuty erstellen. Das Verfahren zeigt Ihnen insbesondere, wie Sie eine Regel erstellen, die es EventBridge ermöglicht, Ereignisse für alle GuardDuty generierten Ergebnisse an eine AWS Lambda Funktion als Ziel für die Regel zu senden.
**Anmerkung**
In diesem Beispiel verwenden wir eine Lambda-Funktion als Ziel für die EventBridge auslösende Regel. Sie können auch andere AWS Ressourcen als auszulösende Ziele konfigurieren. EventBridge GuardDuty und EventBridge unterstützt die folgenden Zieltypen: Amazon EC2 EC2-Instances, Amazon Kinesis Kinesis-Streams, Amazon ECS-Aufgaben, AWS Step Functions Zustandsmaschinen, den `run` Befehl und integrierte Ziele. Weitere Informationen finden Sie [PutTargets](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutTargets.html)in der *Amazon EventBridge API-Referenz*.
**Erstellen von Regeln und Zielen**
1. Führen Sie den folgenden EventBridge CLI-Befehl aus, EventBridge um eine Regel zu erstellen, die das Senden von Ereignissen für alle GuardDuty generierten Ergebnisse ermöglicht.
```
aws events put-rule --name your-rule-name --event-pattern "{\"source\":[\"aws.guardduty\"]}"
```
Sie können Ihre Regel weiter anpassen, sodass sie anweist, Ereignisse nur für eine Teilmenge der GuardDuty generierten Ergebnisse EventBridge zu senden. Diese Untergruppe basiert auf dem/den in der Regel angegebenen Ergebnisattribut(en). Verwenden Sie beispielsweise den folgenden CLI-Befehl, um eine Regel zu erstellen, die es ermöglicht EventBridge , nur Ereignisse für die GuardDuty Ergebnisse mit dem Schweregrad 5 oder 8 zu senden:
```
aws events put-rule --name your-rule-name --event-pattern "{\"source\":[\"aws.guardduty\"],\"detail-type\":[\"GuardDuty Finding\"],\"detail\":{\"severity\":[5,8]}}"
```
Zu diesem Zweck können Sie alle Eigenschaftswerte verwenden, die im JSON für GuardDuty Ergebnisse verfügbar sind.
1. Führen Sie den folgenden CloudWatch CLI-Befehl aus, um eine Lambda-Funktion als Ziel für die Regel anzuhängen, die Sie in Schritt 1 erstellt haben.
```
aws events put-targets --rule your-target-name --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:your_function
```
Stellen Sie sicher, dass Sie `your-target-name` den obigen Befehl durch Ihre tatsächliche Lambda-Funktion für die GuardDuty Ereignisse ersetzen.
1. Führen Sie den folgenden Lambda-CLI-Befehl aus, um die erforderlichen Berechtigungen zum Aufrufen des Ziels hinzuzufügen.
```
aws lambda add-permission --function-name your-target-name --statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com
```
Stellen Sie sicher, dass Sie `your_function` den obigen Befehl durch Ihre tatsächliche Lambda-Funktion für die GuardDuty Ereignisse ersetzen.
------
## EventBridge Regel für Umgebungen mit GuardDuty mehreren Konten
Wenn Sie ein delegiertes GuardDuty Administratorkonto verwenden, können Sie die in den Mitgliedskonten generierten Ereignisse einsehen und mithilfe anderer Anwendungen und Dienste Maßnahmen ergreifen. EventBridge Regeln in Ihrem Administratorkonto werden basierend auf den entsprechenden Ergebnissen aus Ihren Mitgliedskonten ausgelöst. Wenn Sie EventBridge in Ihrem Administratorkonto Benachrichtigungen für die Suche einrichten, erhalten Sie Benachrichtigungen über Ergebnisse sowohl von Ihrem Konto als auch von Ihren Mitgliedskonten. Sie können EventBridge beispielsweise bestimmte Arten von Ergebnissen an eine Lambda-Funktion senden, die die Daten verarbeitet und an Ihr SIEM-System (Security Incident and Event Management) sendet.
Sie können das Mitgliedskonto, aus dem das GuardDuty Ergebnis stammt, anhand des `accountId` Felds mit den JSON-Details des Ergebnisses identifizieren. Um eine benutzerdefinierte Ereignisregel für bestimmte Mitgliedskonten zu erstellen, erstellen Sie eine neue Regel und verwenden Sie die folgende Vorlage **unter Ereignismuster**. *123456789012*Ersetzen Sie es durch das Konto `accountId` des Mitgliedskontos, für das Sie das Ereignis auslösen möchten.
```
{
"source": [
"aws.guardduty"
],
"detail-type": [
"GuardDuty Finding"
],
"detail": {
"accountId": [
"123456789012"
]
}
}
```
**Anmerkung**
In diesem Beispiel wird eine Regel erstellt, die allen Ergebnissen der angegebenen Konto-ID entspricht. Sie können mehrere Konten angeben, IDs indem Sie sie gemäß der JSON-Syntax durch Kommas trennen.
# Grundlegendes zu CloudWatch Protokollen und Gründen für das Überspringen von Ressourcen beim Scan von Malware Protection for EC2
GuardDuty Malware Protection for EC2 veröffentlicht Ereignisse in Ihrer CloudWatch Amazon-Protokollgruppe**/aws/guardduty/malware-scan-events**. Für jedes Ereignis im Zusammenhang mit dem Malware-Scan können Sie den Status und das Scanergebnis Ihrer betroffenen Ressourcen überwachen. Bestimmte Amazon EC2 EC2-Ressourcen und Amazon EBS-Volumes wurden möglicherweise während des Malware Protection for EC2-Scans übersprungen.
## CloudWatch Protokolle in Malware Protection for EC2 GuardDuty prüfen
In der Protokollgruppe**/aws/guardduty/malware CloudWatch -scan-events** werden drei Typen von Scanereignissen unterstützt.
| Name des Scanereignisses „Malware-Schutz für EC2“ | Erklärung |
| --- | --- |
| `EC2_SCAN_STARTED` | Wird erstellt, wenn ein GuardDuty Malware Protection for EC2 den Prozess des Malware-Scans einleitet, z. B. die Vorbereitung der Erstellung eines Snapshots eines EBS-Volumes. |
| `EC2_SCAN_COMPLETED` | Wird erstellt, wenn der GuardDuty Malware Protection for EC2-Scan für mindestens eines der EBS-Volumes der betroffenen Ressource abgeschlossen ist. Dieses Ereignis umfasst auch das `snapshotId`, das zum gescannten EBS-Volume gehört. Nach Abschluss des Scans lautet das Scanergebnis entweder `CLEAN`, `THREATS_FOUND` oder `NOT_SCANNED`. |
| `EC2_SCAN_SKIPPED` | Wird erstellt, wenn der GuardDuty Malware Protection for EC2-Scan alle EBS-Volumes der betroffenen Ressource überspringt. Um den Grund für das Überspringen zu ermitteln, wählen Sie das entsprechende Ereignis aus und sehen Sie sich die Details an. Weitere Informationen zu den Gründen für das Überspringen finden Sie unter [Gründe für das Überspringen von Ressourcen beim Malware-Scan](#mp-scan-skip-reasons) weiter unten. |
**Anmerkung**
Wenn Sie eine verwenden AWS Organizations, werden CloudWatch Protokollereignisse von Mitgliedskonten in Organizations sowohl im Administratorkonto als auch in der Protokollgruppe des Mitgliedskontos veröffentlicht.
Wählen Sie Ihre bevorzugte Zugriffsmethode, um CloudWatch Ereignisse anzuzeigen und abzufragen.
------
#### [ Console ]
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Wählen Sie im Navigationsbereich **Protokolle** die Option **Protokollgruppen**. Wählen Sie die Protokollgruppe**/aws/guardduty/malware-scan-events**, um die Scanereignisse für GuardDuty Malware Protection for EC2 anzuzeigen.
Um eine Abfrage auszuführen, wählen Sie **Log Insights**.
Informationen zum Ausführen einer Abfrage finden Sie unter [Analysieren von Protokolldaten mit CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) im * CloudWatch Amazon-Benutzerhandbuch*.
1. Wählen Sie **Scan-ID**, um die Details der betroffenen Ressourcen und Malware-Erkenntnisse zu überwachen. Sie können beispielsweise die folgende Abfrage ausführen, um die CloudWatch Protokollereignisse zu filtern, indem Sie `scanId` Stellen Sie sicher, dass Sie Ihre eigene gültige Version verwenden*scan-id*.
```
fields @timestamp, @message, scanRequestDetails.scanId as scanId
| filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
| sort @timestamp asc
```
------
#### [ API/CLI ]
+ Informationen zur Arbeit mit Protokollgruppen finden Sie unter [Suchen nach Protokolleinträgen mithilfe von AWS CLI](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html#search-log-entries-cli) im * CloudWatch Amazon-Benutzerhandbuch*.
Wählen Sie die Protokollgruppe**/aws/guardduty/malware-scan-events**, um die Scan-Ereignisse für GuardDuty Malware Protection for EC2 anzuzeigen.
+ Informationen zum Anzeigen und Filtern von Protokollereignissen finden Sie unter [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html)bzw. in der *Amazon CloudWatch API-Referenz*. [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html)
------
## GuardDuty Malware-Schutz für die Aufbewahrung von EC2-Protokollen
Die Standardaufbewahrungsdauer für die Protokollgruppe**/aws/guardduty/malware-scan-events** beträgt 90 Tage. Danach werden die Protokollereignisse automatisch gelöscht. Informationen zum Ändern der Protokollaufbewahrungsrichtlinie für Ihre CloudWatch Protokollgruppe finden Sie unter [Ändern der Aufbewahrung von Protokolldaten in CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) im * CloudWatch Amazon-Benutzerhandbuch* oder [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html)in der * CloudWatch Amazon-API-Referenz*.
## Gründe für das Überspringen von Ressourcen beim Malware-Scan
Bei Ereignissen im Zusammenhang mit dem Malware-Scan wurden möglicherweise bestimmte EC2-Ressourcen und EBS-Volumes während des Scanvorgangs übersprungen. In der folgenden Tabelle sind die Gründe aufgeführt, warum GuardDuty Malware Protection for EC2 die Ressourcen möglicherweise nicht scannt. Verwenden Sie gegebenenfalls die vorgeschlagenen Schritte, um diese Probleme zu beheben, und scannen Sie diese Ressourcen, wenn GuardDuty Malware Protection for EC2 das nächste Mal einen Malware-Scan initiiert. Die anderen Probleme dienen dazu, Sie über den Verlauf der Ereignisse zu informieren, und sind nicht umsetzbar.
| Gründe für das Überspringen | Erklärung | Vorgeschlagene Schritte |
| --- | --- | --- |
| `RESOURCE_NOT_FOUND` | Der `resourceArn` zur Initiierung des On-Demand-Malware-Scans bereitgestellte Schadsoftware-Scan wurde in Ihrer AWS Umgebung nicht gefunden. | Überprüfen Sie den `resourceArn` Ihres Amazon-EC2-Instance- oder Container-Workloads und versuchen Sie es erneut. |
| `ACCOUNT_INELIGIBLE` | Die AWS Konto-ID, von der aus Sie versucht haben, einen On-Demand-Malware-Scan zu starten, wurde nicht aktiviert GuardDuty. | Stellen Sie sicher, dass GuardDuty es für dieses AWS Konto aktiviert ist. Wenn Sie ein neues Konto aktivieren GuardDuty AWS-Region , kann die Synchronisierung bis zu 20 Minuten dauern. |
| `UNSUPPORTED_KEY_ENCRYPTION` | GuardDuty Malware Protection for EC2 unterstützt Volumes, die sowohl unverschlüsselt als auch mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind. Das Scannen von EBS-Volumes, die mit der [Amazon-EBS-Verschlüsselung](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/EBSEncryption.html) verschlüsselt wurden, wird nicht unterstützt. Derzeit gibt es einen regionalen Unterschied, bei dem dieser Grund für das Überspringen nicht zutrifft. Weitere Informationen zu diesen finden Sie AWS-Regionen unter[Verfügbarkeit regionsspezifischer Feature](guardduty_regions.md#gd-regional-feature-availability). | Ersetzen Sie Ihren Verschlüsselungsschlüssel durch einen vom Kunden verwalteten Schlüssel. Weitere Informationen zu den GuardDuty unterstützten Verschlüsselungsarten finden Sie unter[Unterstützte Amazon EBS-Volumes für Malware-Scans](gdu-malpro-supported-volumes.md). |
| `EXCLUDED_BY_SCAN_SETTINGS` | Die EC2-Instance oder das EBS-Volume wurde beim Malware-Scan ausgeschlossen. Es gibt zwei Möglichkeiten: Entweder wurde das Tag zur Einschließen-Liste hinzugefügt, aber die Ressource ist nicht mit diesem Tag verknüpft, das Tag wurde der Ausschließen-Liste hinzugefügt und die Ressource ist mit diesem Tag verknüpft, oder das `GuardDutyExcluded`-Tag ist für diese Ressource auf `true` gesetzt. | Aktualisieren Sie Ihre Scan-Optionen oder die Ihrer Amazon-EC2-Ressource zugeordneten Tags. Weitere Informationen finden Sie unter [Scan-Optionen mit benutzerdefinierten Tags](malware-protection-customizations.md#mp-scan-options). |
| `UNSUPPORTED_VOLUME_SIZE` | Das Volumen ist größer als 2048 GB. | Nicht umsetzbar. |
| `NO_VOLUMES_ATTACHED` | GuardDuty Malware Protection for EC2 hat die Instance in Ihrem Konto gefunden, aber es wurde kein EBS-Volume an diese Instance angehängt, um mit dem Scan fortzufahren. | Nicht umsetzbar. |
| `UNABLE_TO_SCAN` | Es ist ein interner Servicefehler. | Nicht umsetzbar. |
| `SNAPSHOT_NOT_FOUND` | Die von den EBS-Volumes erstellten und mit dem Dienstkonto geteilten Snapshots wurden nicht gefunden, und GuardDuty Malware Protection for EC2 konnte den Scan nicht fortsetzen. | Stellen Sie sicher CloudTrail , dass die Snapshots nicht absichtlich entfernt wurden. |
| `SNAPSHOT_QUOTA_REACHED` | Sie haben das maximale Volumen erreicht, das für Snapshots für jede Region zulässig ist. Dadurch wird verhindert, dass Snapshots nicht nur gespeichert, sondern auch neue erstellt werden. | Sie können entweder alte Snapshots entfernen oder eine Erhöhung des Kontingents beantragen. Das Standardlimit für Snapshots pro Region und wie Sie eine Erhöhung des Kontingents beantragen können, finden Sie unter [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html#limits_ebs) im *Allgemeinen Referenzhandbuch von AWS *. |
| `MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED` | Mehr als 11 EBS-Volumes wurden an eine EC2-Instance angehängt. GuardDuty Malware Protection for EC2 scannte die ersten 11 EBS-Volumes, die durch alphabetische Sortierung ermittelt wurden. `deviceName` | Nicht umsetzbar. |
| `UNSUPPORTED_PRODUCT_CODE_TYPE` | GuardDuty kann die meisten Instanzen mit as scannen. `productCode` `marketplace` Einige Marketplace-Instances sind möglicherweise nicht für das Scannen geeignet. GuardDuty überspringt solche Instanzen und protokolliert den Grund als`UNSUPPORTED_PRODUCT_CODE_TYPE`. Diese Unterstützung ist je nach Region AWS GovCloud (US) und Region China unterschiedlich. Weitere Informationen finden Sie unter [Verfügbarkeit regionsspezifischer Feature](guardduty_regions.md#gd-regional-feature-availability). Weitere Informationen finden Sie unter [Bezahlt AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/paid-amis.html) im *Amazon EC2 EC2-Benutzerhandbuch*. Weitere Informationen zu `productCode` finden Sie unter [https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html) in der *Amazon-EC2-API-Referenz*. | Nicht umsetzbar. |
# Meldung von Fehlalarmen im Malware-Schutz für EC2
GuardDuty Der Malware-Schutz für EC2 Scans kann eine harmlose Datei in Ihrer EC2 Amazon-Instance oder Ihrem Container-Workload als bösartig oder schädlich identifizieren. Um Ihre Erfahrung mit Malware Protection for EC2 und dem GuardDuty Service zu verbessern, können Sie falsch positive Ergebnisse melden, wenn Sie der Meinung sind, dass eine Datei, die bei einem Scan als bösartig oder schädlich identifiziert wurde, in Wirklichkeit keine Malware enthält.
**Um ein EC2 Amazon-Malware-Scan-Ergebnis als falsch positiv zu melden**
Um den Vorgang einzuleiten, wenden Sie sich an Support. Gehen Sie wie folgt vor, um Details zur gescannten Ressource bereitzustellen:
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie **EC2 Malware-Scans**.
1. Wählen Sie einen Scan aus, um die zugehörige **Erkenntnis-ID** anzuzeigen.
1. Geben Sie die **Erkenntnis-ID ein**. Sie müssen auch den SHA-256-Hashwert der Datei angeben. Dies ist erforderlich, um sicherzustellen, dass GuardDuty Malware Protection for die richtige Datei erhalten EC2 hat.
1. Das Support Team stellt Ihnen eine vorsignierte Amazon Simple Storage Service (Amazon S3) -URL zur Verfügung, mit der Sie die potenziell schädliche Datei und den SHA-256-Hash hochladen können. Informationen zu den Schritten zum Hochladen des gescannten Objekts finden Sie unter [Hochladen von Objekten mit Vorsignierung URLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html) im *Amazon S3 S3-Benutzerhandbuch*.
1. Nachdem Sie die Datei hochgeladen haben, informieren Sie das Support Team.
Sie Support erhalten nach Erhalt der Datei eine Bestätigung. Die Mitglieder des GuardDuty Serviceteams werden Ihre Einreichung analysieren und geeignete Maßnahmen ergreifen, um Ihre Erfahrung mit Malware Protection for EC2 und dem GuardDuty Service zu verbessern. Das Support Team wird Sie weiterhin über den aktuellen Stand Ihres Falls informieren. GuardDuty bewahrt Ihr S3-Objekt nicht länger als 30 Tage auf.
# S3-Objektscanergebnis in Malware Protection for S3 als falsch positiv melden
Ein Scan von Malware Protection for S3 kann ein Objekt als potenziell bösartig oder schädlich identifizieren. Wenn Sie der Meinung sind, dass das angegebene S3-Objekt keine Malware enthält, melden Sie dieses Malware-Scan-Ergebnis als falsch positiv.
Sie können einen falsch positiven Bericht einreichen, auch wenn Sie Malware Protection for S3 unabhängig verwenden. In diesem Fall GuardDuty ist es nicht darauf ausgelegt, einen Befund zu generieren. Hinweise zur Überprüfung des Scanstatus und des Ergebnisstatus finden Sie unter[Überwachung von S3-Objektscans](monitoring-malware-protection-s3-scans-gdu.md).
**So melden Sie das Ergebnis eines Malware-S3-Objekts als falsch positiv**
Um den Vorgang einzuleiten, wenden Sie sich an Support. Gehen Sie wie folgt vor, um Details zum gescannten S3-Objekt bereitzustellen:
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie je nach Anwendungsfall die entsprechenden Schritte aus:
------
#### [ Using Malware Protection for S3 with GuardDuty ]
1. Wählen Sie im Navigationsbereich **Findings** aus.
1. Wählen Sie auf der Seite „**Ergebnisse**“ das falsch positive Ergebnis aus, um dessen Details anzuzeigen.
1. Wenn Sie die Ergebnisdetails überprüfen, geben Sie die **Such-ID,** die **Region**, den **Namen** des geschützten S3-Buckets und den **Schlüssel** des gescannten Objekts an.
Geben Sie in den **Elementpfaddetails** den **Hash** des Objekts an. Dies ist erforderlich, um sicherzustellen, GuardDuty dass ich die richtige Datei erhalten habe.
------
#### [ Using Malware Protection for S3 independently ]
Geben Sie den Namen des geschützten S3-Buckets, den Namen des gescannten Objekts und den an AWS-Region.
------
1. Das Support Team stellt Ihnen eine vorsignierte Amazon Simple Storage Service (Amazon S3) -URL zur Verfügung, mit der Sie die potenziell schädliche Datei und den Hash hochladen können. Informationen zu den Schritten zum Hochladen des gescannten Objekts finden Sie unter [Hochladen von Objekten mit Vorsignierung URLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html) im *Amazon S3 S3-Benutzerhandbuch*.
1. Informieren Sie das Team, nachdem Sie das S3-Objekt hochgeladen haben. Support
Sie Support erhalten eine Bestätigung über den Empfang des Objekts. Die Mitglieder des GuardDuty Serviceteams werden Ihre Einreichung analysieren und geeignete Maßnahmen ergreifen, um Ihre Erfahrung mit Malware Protection for S3 und dem GuardDuty Service zu verbessern. Das Support Team wird Sie weiterhin über den aktuellen Stand Ihres Falls informieren. GuardDuty bewahrt Ihr S3-Objekt nicht länger als 30 Tage auf.
# Falschmeldungen in Malware Protection for Backup melden
Um Ihre Erfahrung mit GuardDuty Malware Protection for Backup zu verbessern, können Sie potenzielle Fehlalarme und Falschmeldungen melden.
****Um ein potenzielles falsch positives oder falsch negatives Ergebnis zu melden, das in Malware Protection for Backup identifiziert wurde****
Um den Vorgang einzuleiten, wenden Sie sich an Support. Gehen Sie wie folgt vor, um Details zur gescannten Ressource bereitzustellen:
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie **Malware-Scans**.
1. Wählen Sie einen Scan aus, um die zugehörige **Erkenntnis-ID** anzuzeigen.
1. Geben Sie die **Erkenntnis-ID ein**. Sie müssen auch den SHA-256-Hashwert der Datei angeben. Dies ist erforderlich, um sicherzustellen, GuardDuty dass ich die richtige Datei erhalten habe. Bitte geben Sie auch die Region an, aus der Sie die Probe liefern werden.
1. Das Support Team stellt Ihnen eine vorsignierte Amazon Simple Storage Service (Amazon S3) -URL zur Verfügung, mit der Sie die potenziell schädliche Datei und den SHA-256-Hash hochladen. Informationen zu den Schritten zum Hochladen der gescannten Ressource finden Sie unter [Hochladen von Objekten mit Vorsignierung URLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html) im *Amazon S3 S3-Benutzerhandbuch*.
1. Nachdem Sie die Datei hochgeladen haben, informieren Sie das Support Team.
Sie Support erhalten nach Erhalt der Datei eine Bestätigung. Die Mitglieder des GuardDuty Serviceteams werden Ihre Einreichung analysieren und geeignete Maßnahmen ergreifen, um Ihre Erfahrung mit Malware Protection for zu verbessern. EC2 Das Support Team wird Sie weiterhin über den Status Ihres Falls informieren. GuardDuty bewahrt Ihr S3-Objekt nicht länger als 30 Tage auf.