Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# GuardDuty Typen finden
<a name="guardduty_finding-types-active"></a>

Ein Befund ist eine Benachrichtigung, die GuardDuty generiert wird, wenn ein Hinweis auf eine verdächtige oder böswillige Aktivität in Ihrem AWS-Konto erkannt wird. GuardDuty generiert einen Befund in einem Konto, das aktiviert wurde GuardDuty.

Informationen zu wichtigen Änderungen an den GuardDuty Befundtypen, einschließlich neu hinzugefügter oder veralteter Findetypen, finden Sie unter[Dokumentenverlauf für Amazon GuardDuty](doc-history.md).

Hinweise zu Erkenntnis-Typen, die nun außer Betrieb genommen wurden, finden Sie unter [Nicht mehr aktive Erkenntnistypen](guardduty_finding-types-retired.md).

# GuardDuty EC2-Suchttypen
<a name="guardduty_finding-types-ec2"></a>

Die folgenden Erkenntnisse sind spezifisch für Amazon-EC2-Ressourcen und haben immer einen Ressourcentyp von `Instance`. Der Schweregrad und die Details der Erkenntnisse unterscheiden sich je nach Ressourcenrolle, die angibt, ob die EC2-Instance das Ziel verdächtiger Aktivitäten war oder der Akteur, der die Aktivitäten durchführte.

Die hier aufgeführten Erkenntnisse beinhalten die Datenquellen und Modelle, die zur Generierung dieses Erkenntnistyps verwendet wurden. Weitere Informationen zu Datenquellen und Modellen finden Sie unter [GuardDuty grundlegende Datenquellen](guardduty_data-sources.md).

**Hinweise**  
Details zur EC2-Finde-Instance fehlen möglicherweise, wenn die Instance bereits beendet wurde oder wenn der zugrunde liegende API-Aufruf von einer EC2-Instance in einer anderen Region stammt.
EC2-Ergebnisse, die VPC-Flow-Logs als Datenquelle verwenden, unterstützen IPv6 keinen Datenverkehr.

Für alle EC2-Erkenntnisse wird empfohlen, die betreffende Ressource zu untersuchen, um festzustellen, ob sie sich erwartungsgemäß verhält. Wenn die Aktivität autorisiert ist, können Sie Unterdrückungsregeln oder Listen vertrauenswürdiger IP-Adressen verwenden, um Falschmeldungen für diese Ressource zu verhindern. Wenn die Aktivität unerwartet auftritt, besteht die bewährte Sicherheitsmethode darin, davon auszugehen, dass die Instance kompromittiert wurde, und die unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md) beschriebenen Aktionen auszuführen.

**Topics**
+ [Backdoor:EC2/C&CActivity.B](#backdoor-ec2-ccactivityb)
+ [Backdoor:EC2/C&CActivity.B\$1DNS](#backdoor-ec2-ccactivitybdns)
+ [Backdoor:EC2/DenialOfService.Dns](#backdoor-ec2-denialofservicedns)
+ [Backdoor:EC2/DenialOfService.Tcp](#backdoor-ec2-denialofservicetcp)
+ [Backdoor:EC2/DenialOfService.Udp](#backdoor-ec2-denialofserviceudp)
+ [Backdoor:EC2/DenialOfService.UdpOnTcpPorts](#backdoor-ec2-denialofserviceudpontcpports)
+ [Backdoor:EC2/DenialOfService.UnusualProtocol](#backdoor-ec2-denialofserviceunusualprotocol)
+ [Backdoor:EC2/Spambot](#backdoor-ec2-spambot)
+ [Behavior:EC2/NetworkPortUnusual](#behavior-ec2-networkportunusual)
+ [Behavior:EC2/TrafficVolumeUnusual](#behavior-ec2-trafficvolumeunusual)
+ [CryptoCurrency:EC2/BitcoinTool.B](#cryptocurrency-ec2-bitcointoolb)
+ [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](#cryptocurrency-ec2-bitcointoolbdns)
+ [DefenseEvasion:EC2/UnusualDNSResolver](#defenseevasion-ec2-unusualdnsresolver)
+ [DefenseEvasion:EC2/UnusualDoHActivity](#defenseevasion-ec2-unsualdohactivity)
+ [DefenseEvasion:EC2/UnusualDoTActivity](#defenseevasion-ec2-unusualdotactivity)
+ [Impact:EC2/AbusedDomainRequest.Reputation](#impact-ec2-abuseddomainrequestreputation)
+ [Impact:EC2/BitcoinDomainRequest.Reputation](#impact-ec2-bitcoindomainrequestreputation)
+ [Impact:EC2/MaliciousDomainRequest.Reputation](#impact-ec2-maliciousdomainrequestreputation)
+ [Impact:EC2/MaliciousDomainRequest.Custom](#impact-ec2-maliciousdomainrequest-custom)
+ [Impact:EC2/PortSweep](#impact-ec2-portsweep)
+ [Impact:EC2/SuspiciousDomainRequest.Reputation](#impact-ec2-suspiciousdomainrequestreputation)
+ [Impact:EC2/WinRMBruteForce](#impact-ec2-winrmbruteforce)
+ [Recon:EC2/PortProbeEMRUnprotectedPort](#recon-ec2-portprobeemrunprotectedport)
+ [Recon:EC2/PortProbeUnprotectedPort](#recon-ec2-portprobeunprotectedport)
+ [Recon:EC2/Portscan](#recon-ec2-portscan)
+ [Trojan:EC2/BlackholeTraffic](#trojan-ec2-blackholetraffic)
+ [Trojan:EC2/BlackholeTraffic\$1DNS](#trojan-ec2-blackholetrafficdns)
+ [Trojan:EC2/DGADomainRequest.B](#trojan-ec2-dgadomainrequestb)
+ [Trojan:EC2/DGADomainRequest.C\$1DNS](#trojan-ec2-dgadomainrequestcdns)
+ [Trojan:EC2/DNSDataExfiltration](#trojan-ec2-dnsdataexfiltration)
+ [Trojan:EC2/DriveBySourceTraffic\$1DNS](#trojan-ec2-drivebysourcetrafficdns)
+ [Trojan:EC2/DropPoint](#trojan-ec2-droppoint)
+ [Trojan:EC2/DropPoint\$1DNS](#trojan-ec2-droppointdns)
+ [Trojan:EC2/PhishingDomainRequest\$1DNS](#trojan-ec2-phishingdomainrequestdns)
+ [UnauthorizedAccess:EC2/MaliciousIPCaller.Custom](#unauthorizedaccess-ec2-maliciousipcallercustom)
+ [UnauthorizedAccess:EC2/MetadataDNSRebind](#unauthorizedaccess-ec2-metadatadnsrebind)
+ [UnauthorizedAccess:EC2/RDPBruteForce](#unauthorizedaccess-ec2-rdpbruteforce)
+ [UnauthorizedAccess:EC2/SSHBruteForce](#unauthorizedaccess-ec2-sshbruteforce)
+ [UnauthorizedAccess:EC2/TorClient](#unauthorizedaccess-ec2-torclient)
+ [UnauthorizedAccess:EC2/TorRelay](#unauthorizedaccess-ec2-torrelay)

## Backdoor:EC2/C&CActivity.B
<a name="backdoor-ec2-ccactivityb"></a>

### Eine EC2-Instance fragt eine IP-Adresse ab, die einem bekannten Command-and-Control-Server zugeordnet wird.
<a name="backdoor-ec2-ccactivityb_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle:** VPC-Flow-Protokolle

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte Instance in Ihrer AWS -Umgebung eine IP-Adresse abfragt, der einem bekannten Command-and-Control (C&C)-Server zugeordnet ist. Die aufgeführte Instance ist möglicherweise kompromittiert. Command-and-control-Server sind Computer, die Befehle an Mitglieder eines Botnets senden. 

Ein Botnetz ist eine Sammlung von mit dem Internet verbundenen Geräten, zu denen Server PCs, mobile Geräte und Geräte für das Internet der Dinge gehören können, die mit einer gängigen Art von Malware infiziert und kontrolliert werden. Botnets dienen häufig zum Verteilen von Malware und zum Sammeln von sich widerrechtlich angeeigneten Informationen, wie z. B. Kreditkartennummern. Je nach Zweck und Struktur des Botnetzes kann der C&C-Server auch Befehle ausgeben, um einen verteilten Denial-of-Service (S) -Angriff zu starten. DDo

**Anmerkung**  
Wenn die abgefragte IP log4j-bezogen ist, enthalten die Felder der zugehörigen Erkenntnis die folgenden Werte:  
Service.Zusätzliche Informationen. threatListName = Amazon
service.additionalInfo.ThreatName = Log4j-bezogen

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Backdoor:EC2/C&CActivity.B\$1DNS
<a name="backdoor-ec2-ccactivitybdns"></a>

### Eine EC2-Instance fragt einen Domainnamen ab, der einem bekannten Command-and-Control-Server zugeordnet wird.
<a name="backdoor-ec2-ccactivitybdns_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle: **DNS-Protokolle

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte Instance in Ihrer AWS -Umgebung einen Domainnamen abfragt, der einem bekannten Command-and-Control (C&C)-Server zugeordnet ist. Die aufgeführte Instance ist möglicherweise kompromittiert. Command-and-control-Server sind Computer, die Befehle an Mitglieder eines Botnets senden. 

Ein Botnetz ist eine Sammlung von mit dem Internet verbundenen Geräten, zu denen Server PCs, mobile Geräte und Geräte für das Internet der Dinge gehören können, die mit einer gängigen Art von Malware infiziert und kontrolliert werden. Botnets dienen häufig zum Verteilen von Malware und zum Sammeln von sich widerrechtlich angeeigneten Informationen, wie z. B. Kreditkartennummern. Je nach Zweck und Struktur des Botnetzes kann der C&C-Server auch Befehle ausgeben, um einen verteilten Denial-of-Service (S) -Angriff zu starten. DDo

**Anmerkung**  
Wenn der abgefragte Domainname mit log4j zu tun hat, enthalten die Felder der zugehörigen Erkenntnis die folgenden Werte:  
Service.Zusätzliche Informationen. threatListName = Amazon
service.additionalInfo.ThreatName = Log4j-bezogen

**Anmerkung**  
Um zu testen, wie dieser Befundtyp GuardDuty generiert wird, können Sie von Ihrer Instance aus eine DNS-Anfrage (`dig`für Linux oder `nslookup` für Windows) für eine Testdomain stellen`guarddutyc2activityb.com`.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Backdoor:EC2/DenialOfService.Dns
<a name="backdoor-ec2-denialofservicedns"></a>

### Das Verhalten einer EC2-Instance weist darauf hin, dass sie möglicherweise gerade für die Ausführung eines Denial-of-Service (DoS)-Angriffs mithilfe des DNS-Protokolls genutzt wird.
<a name="backdoor-ec2-denialofservicedns_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle:** VPC-Flow-Protokolle

Dieses Ergebnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung eine große Menge ausgehenden DNS-Datenverkehrs generiert. Dies kann darauf hindeuten, dass die aufgelistete Instanz kompromittiert ist und für denial-of-service (DoS-) Angriffe mithilfe des DNS-Protokolls verwendet wird.

**Anmerkung**  
Diese Erkenntnis erkennt nur DoS-Angriffe auf öffentlich routingfähige IP-Adressen, die das primäre Ziel von DoS-Angriffen sind.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Backdoor:EC2/DenialOfService.Tcp
<a name="backdoor-ec2-denialofservicetcp"></a>

### Das Verhalten einer EC2-Instance weist darauf hin, dass sie möglicherweise gerade für die Ausführung eines Denial-of-Service (DoS)-Angriffs mithilfe des TCP-Protokolls genutzt wird.
<a name="backdoor-ec2-denialofservicetcp_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle:** VPC-Flow-Protokolle

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung eine große Menge ausgehenden TCP-Datenverkehrs generiert. Dies kann darauf hindeuten, dass die Instanz kompromittiert ist und für denial-of-service (DoS-) Angriffe mithilfe des TCP-Protokolls verwendet wird. 

**Anmerkung**  
Diese Erkenntnis erkennt nur DoS-Angriffe auf öffentlich routingfähige IP-Adressen, die das primäre Ziel von DoS-Angriffen sind.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Backdoor:EC2/DenialOfService.Udp
<a name="backdoor-ec2-denialofserviceudp"></a>

### Das Verhalten einer EC2-Instance weist darauf hin, dass sie möglicherweise gerade für die Ausführung eines Denial-of-Service (DoS)-Angriffs mithilfe des UDP-Protokolls genutzt wird.
<a name="backdoor-ec2-denialofserviceudp_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle:** VPC-Flow-Protokolle

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung eine große Menge ausgehenden UDP-Datenverkehrs generiert. Dies kann darauf hindeuten, dass die aufgelistete Instanz kompromittiert ist und zur Durchführung von denial-of-service (DoS-) Angriffen unter Verwendung des UDP-Protokolls verwendet wird. 

**Anmerkung**  
Diese Erkenntnis erkennt nur DoS-Angriffe auf öffentlich routingfähige IP-Adressen, die das primäre Ziel von DoS-Angriffen sind.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Backdoor:EC2/DenialOfService.UdpOnTcpPorts
<a name="backdoor-ec2-denialofserviceudpontcpports"></a>

### Das Verhalten einer EC2-Instance weist darauf hin, dass sie möglicherweise gerade für die Ausführung eines Denial-of-Service (DoS)-Angriffs mithilfe des UDP-Protokolls auf einem TCP-Port genutzt wird.
<a name="backdoor-ec2-denialofserviceudpontcpports_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle:** VPC-Flow-Protokolle

Diese Erkenntnis informiert Sie, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung eine große Menge ausgehenden UDP-Datenverkehrs generiert, der auf einen Port zielt, der normalerweise für die TCP-Kommunikation verwendet wird. Dies kann darauf hindeuten, dass die aufgelistete Instanz kompromittiert ist und für denial-of-service (DoS) -Angriffe mithilfe des UDP-Protokolls auf einem TCP-Port verwendet wird. 

**Anmerkung**  
Diese Erkenntnis erkennt nur DoS-Angriffe auf öffentlich routingfähige IP-Adressen, die das primäre Ziel von DoS-Angriffen sind.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Backdoor:EC2/DenialOfService.UnusualProtocol
<a name="backdoor-ec2-denialofserviceunusualprotocol"></a>

### Das Verhalten einer EC2-Instance weist darauf hin, dass sie möglicherweise gerade für die Ausführung eines Denial-of-Service (DoS)-Angriffs mithilfe eines ungewöhnlichen Protokolls genutzt wird.
<a name="backdoor-ec2-denialofserviceunusualprotocol_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle:** VPC-Flow-Protokolle

Diese Erkenntnis informiert Sie, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung eine große Menge ausgehenden Datenverkehrs eines ungewöhnlichen Protokolltyps generiert, der normalerweise nicht von EC2-Instances verwendet wird (beispielsweise ein Internet Group Management Protocol). Dies kann darauf hindeuten, dass die Instanz kompromittiert ist und für denial-of-service (DoS-) Angriffe mit einem ungewöhnlichen Protokoll ausgeführt wird. Diese Erkenntnis erkennt nur DoS-Angriffe auf öffentlich routingfähige IP-Adressen, die das primäre Ziel von DoS-Angriffen sind.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Backdoor:EC2/Spambot
<a name="backdoor-ec2-spambot"></a>

### Eine EC2-Instance zeigt ungewöhnliches Verhalten, indem sie mit einem Remote-Host auf Port 25 kommuniziert.
<a name="backdoor-ec2-spambot_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle:** VPC-Flow-Protokolle

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung mit einem Remote-Host auf Port 25 kommuniziert. Dieses Verhalten ist ungewöhnlich, da die betreffende EC2-Instance zuvor nicht über Port 25 kommuniziert hat. Port 25 wird in der Regel von Mailservern für die SMTP-Kommunikation verwendet. Diese Erkenntnis weist darauf hin, dass Ihre EC2-Instance möglicherweise kompromittiert ist und für das Versenden von Spam eingesetzt wird.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Behavior:EC2/NetworkPortUnusual
<a name="behavior-ec2-networkportunusual"></a>

### Eine EC2-Instance kommuniziert auf einem unüblichen Serverport mit einem Remote-Host.
<a name="behavior-ec2-networkportunusual_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle:** VPC-Flow-Protokolle

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung ein Verhalten zeigt, das von ihrem normalen Verhalten abweicht. Diese EC2-Instance hat zuvor nicht auf diesem Remote-Port kommuniziert.

**Anmerkung**  
Wenn die EC2-Instance über Port 389 oder Port 1389 kommuniziert hat, wird der zugehörige Erkenntnis-Schweregrad auf Hoch geändert, und die Erkenntnisfelder enthalten den folgenden Wert:  
service.additionalInfo.context = Möglicher log4j-Rückruf

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Behavior:EC2/TrafficVolumeUnusual
<a name="behavior-ec2-trafficvolumeunusual"></a>

### Eine EC2-Instance generiert ungewöhnlich große Mengen an Netzwerkdatenverkehr zu einem Remote-Host.
<a name="behavior-ec2-trafficvolumeunusual_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle:** VPC-Flow-Protokolle

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung ein Verhalten zeigt, das von ihrem normalen Verhalten abweicht. Diese EC2-Instance hat bisher keine derartig hohe Menge an Datenverkehr an diesen Remote-Host gesendet.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## CryptoCurrency:EC2/BitcoinTool.B
<a name="cryptocurrency-ec2-bitcointoolb"></a>

### Eine EC2-Instance fragt eine IP-Adresse ab, die mit einer Aktivität in Zusammenhang mit einer Kryptowährung steht.
<a name="cryptocurrency-ec2-bitcointoolb_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle:** VPC-Flow-Protokolle

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung eine IP-Adresse abfragt, die mit einer Aktivität in Zusammenhang mit Bitcoin oder einer anderen Kryptowährung in Verbindung steht. Bitcoin ist ein weltweites Kryptowährungs- und digitales Zahlungssystem, das gegen andere Währungen, Produkte und Services eingetauscht werden kann. Bitcoin ist eine Belohnung für das Bitcoin-Mining und bei Bedrohungsakteuren sehr gefragt.

**Empfehlungen zur Abhilfe:**

Wenn Sie diese EC2-Instance verwenden, um Kryptowährung zu minen oder zu verwalten, oder diese Instance anderweitig an der Blockchain-Aktivität beteiligt ist, könnte diese Erkenntnis erwartete Aktivitäten für Ihre Umgebung repräsentieren. Wenn dies in Ihrer AWS -Umgebung der Fall ist, empfehlen wir, für diese Erkenntnis eine Unterdrückungsregel festzulegen. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut **Ergebnistyp** mit dem Wert `CryptoCurrency:EC2/BitcoinTool.B` verwenden. Das zweite Filterkriterium sollte die **Instance-ID** der Instance sein, die an der Blockchain-Aktivität beteiligt ist. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter [Unterdrückungsregeln in GuardDuty](findings_suppression-rule.md).

Wenn diese Aktivität unerwartet ist, ist Ihre Instance wahrscheinlich kompromittiert. Informationen dazu finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## CryptoCurrency:EC2/BitcoinTool.B\$1DNS
<a name="cryptocurrency-ec2-bitcointoolbdns"></a>

### Eine EC2-Instance fragt einen Domainnamen ab, der mit einer Aktivität in Zusammenhang mit einer Kryptowährung steht.
<a name="cryptocurrency-ec2-bitcointoolbdns_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle: **DNS-Protokolle

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung einen Domainnamen abfragt, die mit einer Aktivität in Zusammenhang mit Bitcoin oder einer anderen Kryptowährung in Verbindung steht. Bitcoin ist ein weltweites Kryptowährungs- und digitales Zahlungssystem, das gegen andere Währungen, Produkte und Services eingetauscht werden kann. Bitcoin ist eine Belohnung für das Bitcoin-Mining und bei Bedrohungsakteuren sehr gefragt.

**Empfehlungen zur Abhilfe:**

Wenn Sie diese EC2-Instance verwenden, um Kryptowährung zu minen oder zu verwalten, oder diese Instance anderweitig an der Blockchain-Aktivität beteiligt ist, könnte diese Erkenntnis erwartete Aktivitäten für Ihre Umgebung repräsentieren. Wenn dies in Ihrer AWS -Umgebung der Fall ist, empfehlen wir, für diese Erkenntnis eine Unterdrückungsregel festzulegen. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut **Ergebnistyp** mit dem Wert `CryptoCurrency:EC2/BitcoinTool.B!DNS` verwenden. Das zweite Filterkriterium sollte die **Instance-ID** der Instance sein, die an der Blockchain-Aktivität beteiligt ist. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter [Unterdrückungsregeln in GuardDuty](findings_suppression-rule.md).

Wenn diese Aktivität unerwartet ist, ist Ihre Instance wahrscheinlich kompromittiert. Informationen dazu finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## DefenseEvasion:EC2/UnusualDNSResolver
<a name="defenseevasion-ec2-unusualdnsresolver"></a>

### Eine Amazon-EC2-Instance kommuniziert mit einem ungewöhnlichen öffentlichen DNS-Resolver.
<a name="defenseevasion-ec2-unusualdnsresolver_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle:** VPC-Flow-Protokolle

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte Amazon-EC2-Instance in Ihrer AWS -Umgebung ein Verhalten zeigt, das von ihrem normalen Verhalten abweicht. Diese EC2-Instance hat in letzter Zeit nicht mit diesem öffentlichen DNS-Resolver kommuniziert. Das Feld **Ungewöhnlich** im Bereich mit den Suchdetails in der GuardDuty Konsole kann Informationen über den abgefragten DNS-Resolver enthalten.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## DefenseEvasion:EC2/UnusualDoHActivity
<a name="defenseevasion-ec2-unsualdohactivity"></a>

### Eine Amazon-EC2-Instance führt eine ungewöhnliche DNS-über-HTTPS-Kommunikation (DoH) durch.
<a name="defenseevasion-ec2-unsualdohactivity_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle:** VPC-Flow-Protokolle

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte Amazon-EC2-Instance in Ihrer AWS -Umgebung ein Verhalten zeigt, das von ihrem normalen Verhalten abweicht. Diese EC2-Instance hat in letzter Zeit keine DNS-über-HTTPS-Kommunikation (DoH) mit diesem öffentlichen DoH-Server durchgeführt. Das Feld **Ungewöhnlich** in den Erkenntnisdetails kann Informationen über den abgefragten DoH-Server enthalten.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## DefenseEvasion:EC2/UnusualDoTActivity
<a name="defenseevasion-ec2-unusualdotactivity"></a>

### Eine Amazon-EC2-Instance führt eine ungewöhnliche DNS-über-TLS-Kommunikation (DoT) durch.
<a name="defenseevasion-ec2-unusualdotactivity_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle:** VPC-Flow-Protokolle

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung ein Verhalten zeigt, das von ihrem normalen Verhalten abweicht. Diese EC2-Instance hat in letzter Zeit keine DNS-über-TLS-Kommunikation (DoT) mit diesem öffentlichen DoT-Server durchgeführt. Das Feld **Ungewöhnlich** in den Erkenntnisdetails kann Informationen über den abgefragten DoT-Server enthalten.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Impact:EC2/AbusedDomainRequest.Reputation
<a name="impact-ec2-abuseddomainrequestreputation"></a>

### Eine EC2-Instance fragt einen Domainnamen mit geringer Reputation ab, der mit bekanntermaßen missbrauchten Domains in Verbindung steht.
<a name="impact-ec2-abuseddomainrequestreputation_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle: **DNS-Protokolle

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte Amazon-EC2-Instance in Ihrer AWS -Umgebung einen Domainnamen mit niedriger Reputation abfragt, der mit bekannten missbrauchten Domains oder IP-Adressen in Verbindung steht. Beispiele für missbrauchte Domains sind Top-Level-Domainnamen (TLDs) und Second-Level-Domainnamen (2LDs), die kostenlose Subdomain-Registrierungen bieten, sowie dynamische DNS-Anbieter. Bedrohungsakteure nutzen diese Services in der Regel, um Domains kostenlos oder zu geringen Kosten zu registrieren. Bei Domains mit geringer Reputation in dieser Kategorie kann es sich auch um abgelaufene Domains handeln, die auf die Parking-IP-Adresse eines Registrars zurückgehen und daher möglicherweise nicht mehr aktiv sind. Bei einer Parking-IP leitet ein Registrar den Verkehr für Domains weiter, die mit keinem Service verknüpft wurden. Die aufgeführte Amazon-EC2-Instance kann kompromittiert sein, da Bedrohungsakteure diese Registrare oder Services häufig für C&C und die Verbreitung von Malware nutzen.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Impact:EC2/BitcoinDomainRequest.Reputation
<a name="impact-ec2-bitcoindomainrequestreputation"></a>

### Eine EC2-Instance fragt einen Domainnamen ab, der mit einer Aktivität in Zusammenhang mit einer Kryptowährung steht.
<a name="impact-ec2-bitcoindomainrequestreputation_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle: **DNS-Protokolle

Dieses Ergebnis informiert Sie, dass die aufgeführte Amazon-EC2-Instance in Ihrer AWS -Umgebung einen Domainnamen mit niedriger Reputation abfragt, der mit einer Aktivität in Zusammenhang mit Bitcoin oder einer anderen Kryptowährung in Verbindung steht. Bitcoin ist ein weltweites Kryptowährungs- und digitales Zahlungssystem, das gegen andere Währungen, Produkte und Services eingetauscht werden kann. Bitcoin ist eine Belohnung für das Bitcoin-Mining und bei Bedrohungsakteuren sehr gefragt.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.

**Empfehlungen zur Abhilfe:**

Wenn Sie diese EC2-Instance verwenden, um Kryptowährung zu minen oder zu verwalten, oder diese Instance anderweitig an der Blockchain-Aktivität beteiligt ist, könnte diese Erkenntnis erwartete Aktivitäten für Ihre Umgebung repräsentieren. Wenn dies in Ihrer AWS -Umgebung der Fall ist, empfehlen wir, für diese Erkenntnis eine Unterdrückungsregel festzulegen. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut **Ergebnistyp** mit dem Wert `Impact:EC2/BitcoinDomainRequest.Reputation` verwenden. Das zweite Filterkriterium sollte die **Instance-ID** der Instance sein, die an der Blockchain-Aktivität beteiligt ist. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter [Unterdrückungsregeln in GuardDuty](findings_suppression-rule.md).

Wenn diese Aktivität unerwartet ist, ist Ihre Instance wahrscheinlich kompromittiert. Informationen dazu finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Impact:EC2/MaliciousDomainRequest.Reputation
<a name="impact-ec2-maliciousdomainrequestreputation"></a>

### Eine EC2-Instance fragt eine Domain mit niedriger Reputation ab, die mit bekannten bösartigen Domains in Verbindung stehen.
<a name="impact-ec2-maliciousdomainrequestreputation_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle: **DNS-Protokolle

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte Amazon-EC2-Instance in Ihrer AWS -Umgebung einen Domainnamen mit niedriger Reputation abfragt, der mit bekannten bösartigen Domains oder IP-Adressen in Verbindung stehen. Beispielsweise können Domains mit einer bekannten Sinkhole-IP-Adresse verknüpft sein. Sinkhole-Domains sind Domains, die zuvor von einem Bedrohungsakteur kontrolliert wurden, und Anfragen an sie können darauf hinweisen, dass die Instance kompromittiert wurde. Diese Domains können auch mit bekannten böswilligen Kampagnen oder Algorithmen zur Domain-Generierung korreliert sein.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Impact:EC2/MaliciousDomainRequest.Custom
<a name="impact-ec2-maliciousdomainrequest-custom"></a>

### Eine EC2-Instance fragt eine Domain auf einer benutzerdefinierten Liste von Bedrohungsentitäten ab.
<a name="impact-ec2-maliciousdomainrequest-custom_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle: **DNS-Protokolle

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete Amazon EC2 EC2-Instance in Ihrer AWS Umgebung einen Domainnamen abfragt, der in der Liste der Bedrohungsentitäten enthalten ist, die Sie hochgeladen und aktiviert haben. In GuardDuty besteht eine Liste von Bedrohungsinstanzen aus bekannten bösartigen Domainnamen und IP-Adressen. GuardDuty generiert Ergebnisse auf der Grundlage der Aktivitäten, die mit der hochgeladenen Liste der bedrohlichen Entitäten verknüpft sind. Den Namen der Liste der bedrohlichen Entitäten finden Sie in den Ergebnisdetails.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Impact:EC2/PortSweep
<a name="impact-ec2-portsweep"></a>

### Eine EC2-Instance untersucht einen Port auf einer großen Anzahl von IP-Adressen.
<a name="impact-ec2-portsweep_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle: **VPC-Flow-Protokolle

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2-Instance in Ihrer AWS Umgebung einen Port auf einer großen Anzahl von öffentlich routbaren IP-Adressen untersucht. Diese Art von Aktivität wird in der Regel verwendet, um anfällige Hosts zu finden, die ausgenutzt werden können. Im Bereich mit den Ergebnisdetails in Ihrer GuardDuty Konsole wird nur die neueste Remote-IP-Adresse angezeigt

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Impact:EC2/SuspiciousDomainRequest.Reputation
<a name="impact-ec2-suspiciousdomainrequestreputation"></a>

### Eine EC2-Instance fragt einen Domainnamen mit geringer Reputation ab, der aufgrund seines Alters oder seiner geringen Beliebtheit verdächtig ist.
<a name="impact-ec2-suspiciousdomainrequestreputation_description"></a>

**Standard-Schweregrad: Niedrig**
+ **Datenquelle: **DNS-Protokolle

Dieses Ergebnis informiert Sie darüber, dass die aufgeführte Amazon-EC2-Instance in Ihrer AWS -Umgebung einen Domainnamen mit niedriger Reputation abfragt, bei dem der Verdacht besteht, dass er bösartig ist. Es wurden Merkmale dieser Domain festgestellt, die mit zuvor beobachteten bösartigen Domains übereinstimmten. Unser Reputationsmodell konnte sie jedoch nicht definitiv mit einer bekannten Bedrohung in Verbindung bringen. Diese Domains werden in der Regel neu beobachtet oder erhalten nur wenig Datenverkehr.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Impact:EC2/WinRMBruteForce
<a name="impact-ec2-winrmbruteforce"></a>

### Eine EC2-Instance führt einen ausgehenden Brute-Force-Angriff für die Windows-Remoteverwaltung durch.
<a name="impact-ec2-winrmbruteforce_description"></a>

**Standard-Schweregrad: Niedrig\$1**

**Anmerkung**  
Der Schweregrad dieser Erkenntnis ist niedrig, wenn Ihre EC2-Instance das Ziel eines Brute-Force-Angriffs war. Der Schweregrad dieser Erkenntnis ist hoch, wenn Ihre EC2-Instance der zum Ausführen eines Brute-Force-Angriffs verwendete Akteur ist.
+ **Datenquelle: **VPC-Flow-Protokolle

Dieses Ergebnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung einen Windows Remote Management (WinRM)-Brute-Force-Angriff durchführt, der darauf abzielt, Zugriff auf den Windows-Remote-Management-Service auf Windows-basierten Systemen zu erhalten.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Recon:EC2/PortProbeEMRUnprotectedPort
<a name="recon-ec2-portprobeemrunprotectedport"></a>

### Eine EC2-Instance verfügt über einen ungeschützten EMR-bezogenen Port, der von einem bekannten böswilligen Host untersucht wird.
<a name="recon-ec2-portprobeemrunprotectedport_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle: **VPC-Flow-Protokolle

Dieses Ergebnis informiert Sie darüber, dass ein EMR-bezogener sensibler Port auf der aufgelisteten EC2-Instance, die Teil eines Clusters in Ihrer AWS Umgebung ist, nicht durch eine Sicherheitsgruppe, eine Zugriffskontrollliste (ACL) oder eine On-Host-Firewall wie Linux blockiert wird. IPTables Dieses Ergebnis gibt auch Aufschluss darüber, dass bekannte Scanner im Internet diesen Port aktiv untersuchen. Ports, die diese Erkenntnis auslösen können, z. B. Port 8088 (YARN Web-UI-Port), könnten potenziell für die Remote-Code-Ausführung genutzt werden. 

**Empfehlungen zur Abhilfe:**

Sie sollten den offenen Zugang zu Ports auf Clustern aus dem Internet blockieren und den Zugang nur auf bestimmte IP-Adressen beschränken, die Zugang zu diesen Ports benötigen. Weitere Informationen finden Sie unter [Sicherheitsgruppen für EMR-Cluster](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html).

## Recon:EC2/PortProbeUnprotectedPort
<a name="recon-ec2-portprobeunprotectedport"></a>

### Eine EC2-Instance hat einen ungeschützten Port, der von einem bekannten böswilligen Host getestet wird.
<a name="recon-ec2-portprobeunprotectedport_description"></a>

**Standard-Schweregrad: Niedrig\$1**

**Anmerkung**  
Der Standard-Schweregrad dieser Erkenntnis ist Niedrig. Wenn der Port, der untersucht wird, jedoch von Elasticsearch (9200 oder 9300) verwendet wird, ist der Schweregrad des Ergebnisses hoch.
+ **Datenquelle: **VPC-Flow-Protokolle

Dieses Ergebnis informiert Sie darüber, dass ein Port auf der aufgelisteten EC2-Instance in Ihrer AWS Umgebung nicht durch eine Sicherheitsgruppe, eine Zugriffskontrollliste (ACL) oder eine Host-Firewall wie Linux IPTables blockiert wird und dass ihn bekannte Scanner im Internet aktiv untersuchen. 

 Wenn der identifizierte ungeschützte Port 22 oder 3389 ist und Sie sich über diese Ports mit Ihrer Instance verbinden, können Sie die Exposition dennoch einschränken, indem Sie den Zugriff auf diese Ports nur für die IP-Adressen aus dem IP-Adressraum Ihres Unternehmensnetzwerks zulassen. Informationen zum Einschränken des Zugriffs auf Port 22 unter Linux finden Sie unter [Autorisieren von eingehendem Datenverkehr für Linux-Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/authorizing-access-to-an-instance.html). Informationen zum Einschränken des Zugriffs auf Port 3389 unter Windows finden Sie unter [Autorisieren von eingehendem Datenverkehr für Windows-Instances](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/authorizing-access-to-an-instance.html).

GuardDuty generiert dieses Ergebnis nicht für die Ports 443 und 80.

**Empfehlungen zur Abhilfe:**

In einigen Fällen werden Instances absichtlich exponiert, weil sie beispielsweise Webserver hosten. Wenn dies in Ihrer AWS Umgebung der Fall ist, empfehlen wir Ihnen, eine Unterdrückungsregel für dieses Ergebnis einzurichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut **Ergebnistyp** mit dem Wert `Recon:EC2/PortProbeUnprotectedPort` verwenden. Das zweite Filterkriterium sollte der oder den Instances entsprechen, die als Bastion-Host eingesetzt werden. Sie können entweder das Attribut **Instance-Image-ID** oder das Attribut **Tag** verwenden, abhängig davon, welches Kriterium mit den Instances identifiziert werden kann, die diese Tools hosten. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter [Unterdrückungsregeln in GuardDuty](findings_suppression-rule.md).

Wenn diese Aktivität unerwartet ist, ist Ihre Instance wahrscheinlich kompromittiert. Informationen dazu finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Recon:EC2/Portscan
<a name="recon-ec2-portscan"></a>

### Eine EC2-Instance führt ausgehende Port-Scans an einem Remote-Host durch.
<a name="recon-ec2-portscan_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle: **VPC-Flow-Protokolle

Diese Erkenntnis informiert Sie, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung an einem möglichen Port-Scan-Angriff beteiligt ist, da sie versucht, in kurzer Zeit Verbindungen zu mehreren Ports herzustellen. Das Ziel eines Port-Scan-Angriffs ist die Ermittlung offener Ports, um zu ermitteln, welche Services und welches Betriebssystem der Computer ausführt.

**Empfehlungen zur Abhilfe:**

Diese Erkenntnis kann falsch positiv sein, wenn Anwendungen zur Schwachstellenbewertung auf EC2-Instances in der Umgebung bereitgestellt werden, weil diese Anwendungen Port-Scans durchführen, um Sie über falsch konfigurierte offene Ports zu informieren. Wenn dies in Ihrer AWS Umgebung der Fall ist, empfehlen wir Ihnen, eine Unterdrückungsregel für dieses Ergebnis einzurichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut **Ergebnistyp** mit dem Wert `Recon:EC2/Portscan` verwenden. Das zweite Filterkriterium sollte den Instances entsprechen, die diese Tools zur Schwachstellenanalyse hosten. Sie können entweder das Attribut **Instance-Image-ID** oder das Attribut **Tag** verwenden, abhängig davon, welches Kriterium mit den Instances identifiziert werden kann, die diese Tools hosten. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter [Unterdrückungsregeln in GuardDuty](findings_suppression-rule.md).

Wenn diese Aktivität unerwartet ist, ist Ihre Instance wahrscheinlich kompromittiert. Informationen dazu finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Trojan:EC2/BlackholeTraffic
<a name="trojan-ec2-blackholetraffic"></a>

### Eine EC2-Instance versucht, mit einer IP-Adresse eines Remote-Hosts zu kommunizieren, der ein bekanntes schwarzes Loch ist.
<a name="trojan-ec2-blackholetraffic_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle: **VPC-Flow-Protokolle

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2-Instance in Ihrer AWS Umgebung möglicherweise gefährdet ist, weil sie versucht, mit der IP-Adresse eines schwarzen Lochs (oder Sink Hole) zu kommunizieren. Schwarze Löcher sind Stellen im Netzwerk, an denen ein- oder ausgehender Datenverkehr unbemerkt verworfen wird, ohne dass die Quelle darüber informiert wird, dass die Daten den vorgesehenen Empfänger nicht erreicht haben. Die IP-Adresse eines schwarzen Lochs gibt einen Hostcomputer an, der nicht ausgeführt wird, oder eine Adresse, der kein Host zugewiesen wurde.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Trojan:EC2/BlackholeTraffic\$1DNS
<a name="trojan-ec2-blackholetrafficdns"></a>

### Eine EC2-Instance fragt einen Domainnamen ab, der an eine die IP-Adresse eines schwarzen Lochs weitergeleitet wird.
<a name="trojan-ec2-blackholetrafficdns_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle: **DNS-Protokolle

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2-Instance in Ihrer AWS Umgebung möglicherweise gefährdet ist, weil sie einen Domainnamen abfragt, der an eine Black-Hole-IP-Adresse umgeleitet wird. Schwarze Löcher sind Stellen im Netzwerk, an denen ein- oder ausgehender Datenverkehr unbemerkt verworfen wird, ohne dass die Quelle darüber informiert wird, dass die Daten den vorgesehenen Empfänger nicht erreicht haben.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Trojan:EC2/DGADomainRequest.B
<a name="trojan-ec2-dgadomainrequestb"></a>

### Eine EC2-Instance fragt algorithmisch generierte Domänen ab. Solche Domänen werden häufig von Malware genutzt und können auf eine kompromittierte EC2-Instance hinweisen.
<a name="trojan-ec2-dgadomainrequestb_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle: **DNS-Protokolle

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung versucht, DGA (Domain Generation Algorithms)-Domains abzufragen. Ihre EC2-Instance wurde möglicherweise kompromittiert.

DGAs werden verwendet, um in regelmäßigen Abständen eine große Anzahl von Domainnamen zu generieren, die als Treffpunkte mit ihren Command-and-Control-Servern (C&C) verwendet werden können. Command-and-Control-Server sind Computer, die Befehle an die Mitglieder eines Botnets senden. Hierbei handelt es sich um eine Ansammlung von mit dem Internet verbundenen Geräten, die infiziert sind und von einer gängigen Malware kontrolliert werden. Die große Anzahl potenzieller Rendezvous Points erschwert ein effektives Stilllegen von Botnets, da infizierte Computer versuchen, einige dieser Domainnamen täglich zu kontaktieren, um Updates oder Befehle zu erhalten.

**Anmerkung**  
Diese Erkenntnis basiert auf der Analyse von Domainnamen mit erweiterten Heuristiken und kann daher neue DGA-Domains identifizieren, die nicht in Bedrohungsdaten-Feeds vorhanden sind.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Trojan:EC2/DGADomainRequest.C\$1DNS
<a name="trojan-ec2-dgadomainrequestcdns"></a>

### Eine EC2-Instance fragt algorithmisch generierte Domänen ab. Solche Domänen werden häufig von Malware genutzt und können auf eine kompromittierte EC2-Instance hinweisen.
<a name="trojan-ec2-dgadomainrequestcdns_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle: **DNS-Protokolle

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung versucht, DGA (Domain Generation Algorithms)-Domains abzufragen. Ihre EC2-Instance wurde möglicherweise kompromittiert.

DGAs werden verwendet, um in regelmäßigen Abständen eine große Anzahl von Domainnamen zu generieren, die mit ihren Command-and-Control-Servern (C&C) als Treffpunkte verwendet werden können. Command-and-Control-Server sind Computer, die Befehle an die Mitglieder eines Botnets senden. Hierbei handelt es sich um eine Ansammlung von mit dem Internet verbundenen Geräten, die infiziert sind und von einer gängigen Malware kontrolliert werden. Die große Anzahl potenzieller Rendezvous Points erschwert ein effektives Stilllegen von Botnets, da infizierte Computer versuchen, einige dieser Domainnamen täglich zu kontaktieren, um Updates oder Befehle zu erhalten.

**Anmerkung**  
Dieses Ergebnis basiert auf bekannten DGA-Domänen aus den Threat-Intelligence-Feeds. GuardDuty

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Trojan:EC2/DNSDataExfiltration
<a name="trojan-ec2-dnsdataexfiltration"></a>

### Eine EC2-Instance filtert Daten durch DNS-Abfragen heraus.
<a name="trojan-ec2-dnsdataexfiltration_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle: **DNS-Protokolle

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung Malware ausführt, die DNS-Abfragen für ausgehende Datenübertragungen verwendet. Diese Art der Datenübertragung weist auf eine kompromittierte Instance hin und kann zur Exfiltration von Daten führen. DNS-Datenverkehr wird in der Regel nicht durch Firewalls gesperrt. So kann beispielsweise Malware in einer kompromittierten EC2-Instance Daten verschlüsseln (z. B. Ihre Kreditkartennummer) und in einer DNS-Abfrage an einen entfernten DNS-Server senden, der von einem Angreifer gesteuert wird.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Trojan:EC2/DriveBySourceTraffic\$1DNS
<a name="trojan-ec2-drivebysourcetrafficdns"></a>

### Eine EC2-Instance fragt einen Domainnamen eines Remote-Host ab, der eine bekannte Quelle von Drive-By-Downloadangriffen ist.
<a name="trojan-ec2-drivebysourcetrafficdns_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle: **DNS-Protokolle

Diese Erkenntnis informiert Sie, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung möglicherweise kompromittiert wurde, da Sie einen Domainnamen von einem Remote-Host abfragt, der eine bekannte Quelle von Drive-By-Download-Angriffen ist. Hierbei handelt es sich um unbeabsichtigte Downloads von Computersoftware aus dem Internet, die eine automatische Installation von Viren, Spyware oder Malware auslösen kann.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Trojan:EC2/DropPoint
<a name="trojan-ec2-droppoint"></a>

### Eine EC2-Instance versucht, mit einer IP-Adresse eines Remote-Hosts zu kommunizieren, von dem bekannt ist, dass er Anmeldedaten und andere mithilfe von Malware gestohlene Daten enthält.
<a name="trojan-ec2-droppoint_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle: **VPC-Flow-Protokolle

Dieses Ergebnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS Umgebung versucht, mit der IP-Adresse eines Remote-Hosts zu kommunizieren, auf dem sich bekanntermaßen Anmeldeinformationen und andere gestohlene Daten befinden, die von Malware erfasst wurden.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Trojan:EC2/DropPoint\$1DNS
<a name="trojan-ec2-droppointdns"></a>

### Eine EC2-Instance fragt einen Domainnamen eines Remote-Hosts ab, von dem bekannt ist, dass er Anmeldedaten und andere mithilfe von Malware gestohlene Daten enthält.
<a name="trojan-ec2-droppointdns_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle: **DNS-Protokolle

Dieses Ergebnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS Umgebung den Domainnamen eines Remote-Hosts abfragt, der bekanntermaßen Anmeldeinformationen und andere gestohlene Daten enthält, die von Malware erfasst wurden.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Trojan:EC2/PhishingDomainRequest\$1DNS
<a name="trojan-ec2-phishingdomainrequestdns"></a>

### Eine EC2-Instance fragt Domänen ab, die an Phishing-Angriffen beteiligt sind. Ihre EC2-Instance wurde möglicherweise kompromittiert.
<a name="trojan-ec2-phishingdomainrequestdns_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle: **DNS-Protokolle

Diese Erkenntnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS -Umgebung versucht, eine Domain abzufragen, die an Phishing-Angriffen beteiligt ist. Phishing-Domains werden von jemandem eingerichtet, der sich als rechtmäßige Institution ausgibt, um Personen dazu zu bringen, sensible Daten bereitzustellen, wie beispielsweise personenbezogene Informationen, Bank- und Kreditkartendaten oder Passwörter. Ihre EC2-Instance versucht möglicherweise, sensible Daten abzurufen, die auf einer Phishing-Website gespeichert sind, oder sie versucht möglicherweise, eine Phishing-Website einzurichten. Ihre EC2-Instance wurde möglicherweise kompromittiert.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## UnauthorizedAccess:EC2/MaliciousIPCaller.Custom
<a name="unauthorizedaccess-ec2-maliciousipcallercustom"></a>

### Eine EC2-Instance stellt Verbindungen zu einer IP-Adresse auf einer benutzerdefinierten Bedrohungsliste her.
<a name="unauthorizedaccess-ec2-maliciousipcallercustom_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle: **VPC-Flow-Protokolle

Dieses Ergebnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS Umgebung mit einer IP-Adresse kommuniziert, die in einer von Ihnen hochgeladenen Bedrohungsliste enthalten ist. In GuardDuty besteht eine Bedrohungsliste aus bekannten schädlichen IP-Adressen. GuardDuty generiert Ergebnisse basierend auf hochgeladenen Bedrohungslisten. Die Bedrohungsliste, die zum Generieren dieser Suche verwendet wird, ist in den Erkenntnisdetails aufgeführt.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## UnauthorizedAccess:EC2/MetadataDNSRebind
<a name="unauthorizedaccess-ec2-metadatadnsrebind"></a>

### Eine EC2-Instance führt DNS-Abrufe durch, die in den Instance-Metadatenservice aufgelöst werden.
<a name="unauthorizedaccess-ec2-metadatadnsrebind_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle: **DNS-Protokolle

Dieses Ergebnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS Umgebung eine Domain abfragt, die in die EC2-Metadaten-IP-Adresse (169.254.169.254) aufgelöst wird. Eine solche DNS-Abfrage kann darauf hinweisen, dass die Instance das Ziel einer DNS-Neubindung-Technik ist. Diese Technik kann verwendet werden, um Metadaten von einer EC2-Instance abzurufen, einschließlich der mit der Instance verknüpften IAM-Anmeldeinformationen.

Bei der DNS-Neubindung wird eine Anwendung, die auf der EC2-Instance läuft, dazu gebracht, Rückgabedaten von einer URL zu laden, wobei der Domainname in der URL in die IP-Adresse der EC2-Metadaten (169.254.169.254) aufgelöst wird. Dies bewirkt, dass die Anwendung auf EC2-Metadaten zugreift und sie möglicherweise für den Angreifer verfügbar macht. 

Der Zugriff auf EC2-Metadaten mit DNS-Neubindung ist nur möglich, wenn auf der EC2-Instance eine anfällige Anwendung ausgeführt wird, die das Einfügen von URLs ermöglicht, oder wenn ein menschlicher Benutzer in einem Webbrowser, der auf der EC2-Instance ausgeführt wird, auf die URL zugreift.

**Empfehlungen zur Abhilfe:**

Prüfen Sie als Reaktion auf diese Erkenntnis, ob auf der EC2-Instance eine anfällige Anwendung ausgeführt wird, oder ob ein menschlicher Benutzer über einen Browser auf die im Ergebnis angegebene Domain zugegriffen hat. Wenn die Ursache eine anfällige Anwendung ist, beheben Sie die Schwachstelle. Wenn ein Benutzer die identifizierte Domain aufgerufen hat, blockieren Sie die Domain oder verhindern Sie, dass Benutzer darauf zugreifen. Wenn Sie in dieser Erkenntnis einen Zusammenhang mit einem der obigen Fälle feststellen, sollten Sie die der [EC2-Instance zugeordnete Sitzung widerrufen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_revoke-sessions.html).

Manche AWS Kunden ordnen die Metadaten-IP-Adresse bewusst einem Domainnamen auf ihren autoritativen DNS-Servern zu. Wenn dies in Ihrer -Umgebung der Fall ist, empfehlen wir, für diese Erkenntnis eine Unterdrückungsregel festzulegen. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut **Ergebnistyp** mit dem Wert `UnauthorizedAccess:EC2/MetaDataDNSRebind` verwenden. Das zweite Filterkriterium sollte die **DNS-Anforderungs-Domain** sein, und der Wert sollte mit der Domain übereinstimmen, die Sie der Metadaten-IP-Adresse zugeordnet haben (169.254.169.254). Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter [Unterdrückungsregeln in GuardDuty](findings_suppression-rule.md).

## UnauthorizedAccess:EC2/RDPBruteForce
<a name="unauthorizedaccess-ec2-rdpbruteforce"></a>

### Eine EC2-Instance war an RDP-Brute-Force-Angriffen beteiligt.
<a name="unauthorizedaccess-ec2-rdpbruteforce_description"></a>

**Standard-Schweregrad: Niedrig\$1**

**Anmerkung**  
Der Schweregrad dieser Erkenntnis ist niedrig, wenn Ihre EC2-Instance das Ziel eines Brute-Force-Angriffs war. Der Schweregrad dieser Erkenntnis ist hoch, wenn Ihre EC2-Instance der zum Ausführen eines Brute-Force-Angriffs verwendete Akteur ist.
+ **Datenquelle: **VPC-Flow-Protokolle

Dieses Ergebnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS Umgebung an einem Brute-Force-Angriff beteiligt war, der darauf abzielte, Passwörter für RDP-Dienste auf Windows-basierten Systemen zu erhalten. Dies kann auf einen unbefugten Zugriff auf Ihre AWS -Ressourcen hinweisen.

**Empfehlungen zur Abhilfe:**

Wenn die **Ressourcenrolle** Ihrer Instance `ACTOR` lautet, bedeutet dies, dass Ihre Instance zum Ausführen von RDP-Brute-Force-Angriffen verwendet wurde. Außer, wenn diese Instance einen legitimen Grund hat, die IP-Adresse zu kontaktieren, die als `Target` aufgeführt ist, wird empfohlen, davon auszugehen, dass Ihre Instance kompromittiert wurde, und die in [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md) aufgeführten Maßnahmen zu ergreifen. 

Wenn die **Ressourcenrolle** Ihrer Instance lautet`TARGET`, kann dieses Problem behoben werden, indem Sie Ihren RDP-Port so sichern, dass er nur IPs über Sicherheitsgruppen oder Firewalls vertrauenswürdig ist. ACLs Weitere Informationen finden Sie unter [Tipps zur Sicherung Ihrer EC2-Instances (Linux)](https://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/).

## UnauthorizedAccess:EC2/SSHBruteForce
<a name="unauthorizedaccess-ec2-sshbruteforce"></a>

### Eine EC2-Instance war an SSH-Brute-Force-Angriffen beteiligt.
<a name="unauthorizedaccess-ec2-sshbruteforce_description"></a>

**Standard-Schweregrad: Niedrig\$1**

**Anmerkung**  
Der Schweregrad dieser Erkenntnis ist niedrig, wenn ein Brute-Force-Angriff auf eine Ihrer EC2-Instances abzielt. Der Schweregrad dieser Erkenntnis ist hoch, wenn Ihre EC2-Instance verwendet wird, um einen Brute-Force-Angriff durchzuführen.
+ **Datenquelle: **VPC-Flow-Protokolle

Dieses Ergebnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS Umgebung an einem Brute-Force-Angriff beteiligt war, der darauf abzielte, Passwörter für SSH-Dienste auf Linux-basierten Systemen zu erhalten. Dies kann auf einen unbefugten Zugriff auf Ihre AWS -Ressourcen hinweisen. 

**Anmerkung**  
Dieses Ergebnis wird nur über den -Überwachungsdatenverkehr auf Port 22 generiert. Wenn Ihre SSH-Services so konfiguriert sind, dass sie andere Ports verwenden, wird diese Erkenntnis nicht generiert.

**Empfehlungen zur Abhilfe:**

Wenn das Ziel des Brute-Force-Versuchs ein Bastion-Host ist, kann dies ein erwartetes Verhalten für Ihre Umgebung sein. AWS In diesem Fall sollten Sie für diese Erkenntnis eine Unterdrückungsregel einrichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut **Ergebnistyp** mit dem Wert `UnauthorizedAccess:EC2/SSHBruteForce` verwenden. Das zweite Filterkriterium sollte der oder den Instances entsprechen, die als Bastion-Host eingesetzt werden. Sie können entweder das Attribut **Instance-Image-ID** oder das Attribut **Tag** verwenden, abhängig davon, welches Kriterium mit den Instances identifiziert werden kann, die diese Tools hosten. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter [Unterdrückungsregeln in GuardDuty](findings_suppression-rule.md).

Falls diese Aktivität für Ihre Umgebung nicht erwartet wird und die **Ressourcenrolle** Ihrer Instance bereits verwendet wird`TARGET`, können Sie dieses Problem beheben, indem Sie Ihren SSH-Port so sichern, ACLs dass er nur IPs über Sicherheitsgruppen oder Firewalls vertrauenswürdig ist. Weitere Informationen finden Sie unter [Tipps zur Sicherung Ihrer EC2-Instances (Linux)](https://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/).

 Wenn die **Ressourcenrolle** Ihrer Instance `ACTOR` lautet, bedeutet dies, dass die Instance zum Ausführen von SSH-Brute-Force-Angriffen verwendet wurde. Außer, wenn diese Instance einen legitimen Grund hat, die IP-Adresse zu kontaktieren, die als `Target` aufgeführt ist, wird empfohlen, davon auszugehen, dass Ihre Instance kompromittiert wurde, und die in [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md) aufgeführten Maßnahmen zu ergreifen.

## UnauthorizedAccess:EC2/TorClient
<a name="unauthorizedaccess-ec2-torclient"></a>

### Ihre EC2-Instance stellt Verbindungen mit einem Tor Guard oder einem Authority-Knoten her.
<a name="unauthorizedaccess-ec2-torclient_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle: **VPC-Flow-Protokolle

Dieses Ergebnis informiert dich darüber, dass eine EC2-Instance in deiner AWS Umgebung Verbindungen zu einem Tor Guard- oder einem Authority-Knoten herstellt. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Tor Guards und Authority-Knoten fungieren als erste Gateways in ein Tor-Netzwerk. Dieser Datenverkehr kann darauf hinweisen, dass diese EC2-Instance als Client in einem Tor-Netzwerk fungiert. Dieses Ergebnis kann auf einen unbefugten Zugriff auf Ihre AWS Ressourcen hinweisen, mit der Absicht, die wahre Identität des Angreifers zu verbergen.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## UnauthorizedAccess:EC2/TorRelay
<a name="unauthorizedaccess-ec2-torrelay"></a>

### Ihre EC2-Instance stellt Verbindungen mit einem Tor-Netzwerk als Tor-Relais her.
<a name="unauthorizedaccess-ec2-torrelay_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle: **VPC-Flow-Protokolle

Dieses Ergebnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS Umgebung Verbindungen zu einem Tor-Netzwerk auf eine Weise herstellt, die darauf hindeutet, dass sie als Tor-Relay fungiert. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Tor-Relays erhöhen die Anonymität der Kommunikation, indem sie den möglicherweise illegalen Datenverkehr des Kunden von einem Tor-Relay zu einem anderen weiterleiten.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

# GuardDuty IAM-Suchttypen
<a name="guardduty_finding-types-iam"></a>

Die folgenden Erkenntnisse beziehen sich auf IAM-Entitäten und Zugriffsschlüssel und weisen immer den **Ressourcentyp** `AccessKey` auf. Der Schweregrad und die Details der Erkenntnisse unterscheiden sich je nach Erkenntnistyp.

Die hier aufgeführten Erkenntnisse beinhalten die Datenquellen und Modelle, die zur Generierung dieses Erkenntnistyps verwendet wurden. Weitere Informationen finden Sie unter [GuardDuty grundlegende Datenquellen](guardduty_data-sources.md).

Für alle Erkenntnisse im Zusammenhang mit IAM empfehlen wir, dass Sie die fragliche Entität untersuchen und sicherstellen, dass ihre Berechtigungen der bewährten Methode der geringsten Berechtigung entsprechen. Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen zur Behebung von Erkenntnissen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

**Topics**
+ [CredentialAccess:IAMUser/AnomalousBehavior](#credentialaccess-iam-anomalousbehavior)
+ [CredentialAccess:IAMUser/CompromisedCredentials](#credentialaccess-iam-compromisedcredentials)
+ [DefenseEvasion:IAMUser/AnomalousBehavior](#defenseevasion-iam-anomalousbehavior)
+ [DefenseEvasion:IAMUser/BedrockLoggingDisabled](#defenseevasion-iam-bedrockloggingdisabled)
+ [Discovery:IAMUser/AnomalousBehavior](#discovery-iam-anomalousbehavior)
+ [Exfiltration:IAMUser/AnomalousBehavior](#exfiltration-iam-anomalousbehavior)
+ [Impact:IAMUser/AnomalousBehavior](#impact-iam-anomalousbehavior)
+ [InitialAccess:IAMUser/AnomalousBehavior](#initialaccess-iam-anomalousbehavior)
+ [PenTest:IAMUser/KaliLinux](#pentest-iam-kalilinux)
+ [PenTest:IAMUser/ParrotLinux](#pentest-iam-parrotlinux)
+ [PenTest:IAMUser/PentooLinux](#pentest-iam-pentoolinux)
+ [Persistence:IAMUser/AnomalousBehavior](#persistence-iam-anomalousbehavior)
+ [Policy:IAMUser/RootCredentialUsage](#policy-iam-rootcredentialusage)
+ [Policy:IAMUser/ShortTermRootCredentialUsage](#policy-iam-user-short-term-root-credential-usage)
+ [PrivilegeEscalation:IAMUser/AnomalousBehavior](#privilegeescalation-iam-anomalousbehavior)
+ [Recon:IAMUser/MaliciousIPCaller](#recon-iam-maliciousipcaller)
+ [Recon:IAMUser/MaliciousIPCaller.Custom](#recon-iam-maliciousipcallercustom)
+ [Recon:IAMUser/TorIPCaller](#recon-iam-toripcaller)
+ [Stealth:IAMUser/CloudTrailLoggingDisabled](#stealth-iam-cloudtrailloggingdisabled)
+ [Stealth:IAMUser/PasswordPolicyChange](#stealth-iam-passwordpolicychange)
+ [UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B](#unauthorizedaccess-iam-consoleloginsuccessb)
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS](#unauthorizedaccess-iam-instancecredentialexfiltrationinsideaws)
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws)
+ [UnauthorizedAccess:IAMUser/MaliciousIPCaller](#unauthorizedaccess-iam-maliciousipcaller)
+ [UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom](#unauthorizedaccess-iam-maliciousipcallercustom)
+ [UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS](#unauthorizedaccess-iam-resourcecredentialexfiltrationoutsideaws)
+ [UnauthorizedAccess:IAMUser/TorIPCaller](#unauthorizedaccess-iam-toripcaller)

## CredentialAccess:IAMUser/AnomalousBehavior
<a name="credentialaccess-iam-anomalousbehavior"></a>

### Eine API, die für den Zugriff auf eine AWS Umgebung verwendet wurde, wurde auf ungewöhnliche Weise aufgerufen.
<a name="credentialaccess-iam-anomalousbehavior_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle**: Verwaltungsereignis CloudTrail 

Diese Erkenntnis informiert Sie darüber, dass in Ihrem Konto eine ungewöhnliche API-Anfrage beobachtet wurde. Diese Erkenntnis kann eine einzelne API oder eine Reihe verwandter API-Anfragen beinhalten, die in unmittelbarer Nähe von einer einzelnen [Benutzeridentität](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) gestellt wurden. Die beobachtete API wird häufig mit der Phase des Zugriffs auf Anmeldeinformationen in Verbindung gebracht, wenn ein Angreifer versucht, Passwörter, Benutzernamen und Zugriffsschlüssel für Ihre Umgebung zu sammeln. Die APIs in dieser Kategorie sind `GetPasswordData``GetSecretValue`,`BatchGetSecretValue`, und`GenerateDbAuthToken`. 

Diese API-Anfrage wurde vom ML-Modell (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal eingestuft. Das ML-Modell wertet alle API-Anfragen an Ihr Konto aus und identifiziert anomale Ereignisse, die mit Taktiken von Angreifern in Verbindung gebracht werden. Das ML-Modell verfolgt verschiedene Faktoren der API-Anfrage, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, und die spezifische API, die angefordert wurde. Einzelheiten darüber, welche Faktoren der API-Anfrage für die Benutzeridentität, die die Anfrage aufgerufen hat, ungewöhnlich sind, finden Sie in den [Erkenntnisdetails](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## CredentialAccess:IAMUser/CompromisedCredentials
<a name="credentialaccess-iam-compromisedcredentials"></a>

### Ein IAM-Zugriffsschlüssel wurde von Amazon Threat Intelligence als potenziell kompromittiert identifiziert.
<a name="credentialaccess-iam-compromisedcredentials_description"></a>

**Standard-Schweregrad: Hoch**
+ **Funktion:** Im Lieferumfang von Fundational Data Source Protection enthalten

**Vollständige Beschreibung:**

Dieses Ergebnis informiert Sie darüber, dass ein mit Ihrem AWS Konto verknüpfter IAM-Zugriffsschlüssel von Amazon Threat Intelligence als potenziell kompromittiert identifiziert wurde. Die kompromittierten Anmeldeinformationen wurden dann verwendet, um API-Operationen in Ihrer Umgebung aufzurufen. AWS Die Liste der API-Aufrufe, die mit den kompromittierten Anmeldeinformationen getätigt wurden, zusammen mit der Anzahl und den Zeitstempeln jedes Aufrufs, dem beteiligten Zugriffsschlüssel und der Quell-IP-Adresse sind in den Ergebnisdetails enthalten.

Die Sicherheitslücke bei diesem Befund wurde von Amazon Threat Intelligence identifiziert. AWS überwacht potenziell kompromittierte Anmeldeinformationen anhand von Nutzungsmustern und generiert diesen Befund, wenn festgestellt wird, dass solche Anmeldeinformationen verwendet werden.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## DefenseEvasion:IAMUser/AnomalousBehavior
<a name="defenseevasion-iam-anomalousbehavior"></a>

### Eine API, die zur Umgehung von Abwehrmaßnahmen verwendet wird, wurde auf anomale Weise aufgerufen.
<a name="defenseevasion-iam-anomalousbehavior_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle: Verwaltungsereignis** CloudTrail 

Diese Erkenntnis informiert Sie darüber, dass in Ihrem Konto eine ungewöhnliche API-Anfrage beobachtet wurde. Diese Erkenntnis kann eine einzelne API oder eine Reihe verwandter API-Anfragen umfassen, die in der Nähe von einer einzelnen [Benutzeridentität](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) getätigt wurden. Die beobachtete API wird häufig mit Ausweichtaktiken in Verbindung gebracht, bei denen ein Gegner versucht, seine Spuren zu verwischen, um nicht entdeckt zu werden. APIs Zu dieser Kategorie gehören in der Regel Lösch-, Deaktivierungs- oder Stoppvorgänge wie,`DeleteFlowLogs`, `DisableAlarmActions` oder. `StopLogging` 

Diese API-Anfrage wurde vom ML-Modell (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal identifiziert. Das ML-Modell wertet alle API-Anfragen an Ihr Konto aus und identifiziert anomale Ereignisse, die mit Taktiken von Angreifern in Verbindung gebracht werden. Das ML-Modell verfolgt verschiedene Faktoren der API-Anfrage, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, und die spezifische API, die angefordert wurde. Einzelheiten darüber, welche Faktoren der API-Anfrage für die Benutzeridentität, die die Anfrage aufgerufen hat, ungewöhnlich sind, finden Sie in den [Erkenntnisdetails](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## DefenseEvasion:IAMUser/BedrockLoggingDisabled
<a name="defenseevasion-iam-bedrockloggingdisabled"></a>

### Die Protokollierung für Amazon Bedrock wurde deaktiviert.
<a name="defenseevasion-iam-bedrockloggingdisabled_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle**: Verwaltungsereignisse CloudTrail 

Diese Erkenntnis informiert Sie darüber, dass die Protokollierung für Bedrock-Modellaufrufe in Ihrem Konto deaktiviert wurde. Dabei kann es sich um den Versuch eines Angreifers handeln, böswillige Aktivitäten wie Datenexfiltration oder Missbrauch von KI-Modellen zu verbergen. Durch die Deaktivierung der Protokollierung wird der Einblick in die an Modelle gesendeten Daten und deren Verwendung entfernt.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## Discovery:IAMUser/AnomalousBehavior
<a name="discovery-iam-anomalousbehavior"></a>

### Eine API, die häufig zum Auffinden von Ressourcen verwendet wird, wurde auf ungewöhnliche Weise aufgerufen.
<a name="discovery-iam-anomalousbehavior_description"></a>

**Standard-Schweregrad: Niedrig**
+ **Datenquelle:** CloudTrail Verwaltungsereignis

Diese Erkenntnis informiert Sie darüber, dass in Ihrem Konto eine ungewöhnliche API-Anfrage beobachtet wurde. Diese Erkenntnis kann eine einzelne API oder eine Reihe verwandter API-Anfragen umfassen, die in der Nähe von einer einzelnen [Benutzeridentität](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) getätigt wurden. Die beobachtete API wird häufig mit der Erkennungsphase eines Angriffs in Verbindung gebracht, in der ein Angreifer Informationen sammelt, um festzustellen, ob Ihre AWS Umgebung anfällig für einen umfassenderen Angriff ist. APIs Zu dieser Kategorie gehören in der Regel Operationen zum Abrufen, Beschreiben oder Auflisten, wie, `DescribeInstances``GetRolePolicy`, oder. `ListAccessKeys`

Diese API-Anfrage wurde vom ML-Modell (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal identifiziert. Das ML-Modell wertet alle API-Anfragen an Ihr Konto aus und identifiziert anomale Ereignisse, die mit Taktiken von Angreifern in Verbindung gebracht werden. Das ML-Modell verfolgt verschiedene Faktoren der API-Anfrage, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, und die spezifische API, die angefordert wurde. Einzelheiten darüber, welche Faktoren der API-Anfrage für die Benutzeridentität, die die Anfrage aufgerufen hat, ungewöhnlich sind, finden Sie in den [Erkenntnisdetails](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## Exfiltration:IAMUser/AnomalousBehavior
<a name="exfiltration-iam-anomalousbehavior"></a>

### Eine API, die üblicherweise zum Sammeln von Daten aus einer AWS Umgebung verwendet wird, wurde auf ungewöhnliche Weise aufgerufen.
<a name="exfiltration-iam-anomalousbehavior_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle**: Verwaltungsereignis CloudTrail 

Diese Erkenntnis informiert Sie darüber, dass in Ihrem Konto eine ungewöhnliche API-Anfrage beobachtet wurde. Diese Erkenntnis kann eine einzelne API oder eine Reihe verwandter API-Anfragen umfassen, die in der Nähe von einer einzelnen [Benutzeridentität](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) getätigt wurden. Die beobachtete API wird häufig mit Exfiltrationstaktiken in Verbindung gebracht, bei denen ein Angreifer versucht, mithilfe von Paketierung und Verschlüsselung Daten aus Ihrem Netzwerk zu sammeln, um einer Entdeckung zu entgehen. APIs Bei diesem Befundtyp handelt es sich ausschließlich um Verwaltungsvorgänge (Steuerungsebene). Sie beziehen sich in der Regel auf S3, Snapshots und Datenbanken wie,, oder. `PutBucketReplication` `CreateSnapshot` `RestoreDBInstanceFromDBSnapshot` 

Diese API-Anfrage wurde vom ML-Modell (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal identifiziert. Das ML-Modell wertet alle API-Anfragen an Ihr Konto aus und identifiziert anomale Ereignisse, die mit Taktiken von Angreifern in Verbindung gebracht werden. Das ML-Modell verfolgt verschiedene Faktoren der API-Anfrage, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, und die spezifische API, die angefordert wurde. Einzelheiten darüber, welche Faktoren der API-Anfrage für die Benutzeridentität, die die Anfrage aufgerufen hat, ungewöhnlich sind, finden Sie in den [Erkenntnisdetails](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## Impact:IAMUser/AnomalousBehavior
<a name="impact-iam-anomalousbehavior"></a>

### Eine API, die üblicherweise zur Manipulation von Daten oder Prozessen in einer AWS Umgebung verwendet wird, wurde auf ungewöhnliche Weise aufgerufen.
<a name="impact-iam-anomalousbehavior_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle**: Verwaltungsereignis CloudTrail 

Diese Erkenntnis informiert Sie darüber, dass in Ihrem Konto eine ungewöhnliche API-Anfrage beobachtet wurde. Diese Erkenntnis kann eine einzelne API oder eine Reihe verwandter API-Anfragen umfassen, die in der Nähe von einer einzelnen [Benutzeridentität](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) getätigt wurden. Die beobachtete API wird häufig mit Schlagtaktiken in Verbindung gebracht, bei denen ein Angreifer versucht, den Betrieb zu unterbrechen und Daten in Ihrem Konto zu manipulieren, zu unterbrechen oder zu zerstören. APIs Bei dieser Art von Ergebnissen handelt es sich in der Regel um Lösch-, Aktualisierungs- oder Setzvorgänge wie,, `DeleteSecurityGroup` oder. `UpdateUser` `PutBucketPolicy` 

Diese API-Anfrage wurde vom ML-Modell (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal eingestuft. Das ML-Modell wertet alle API-Anfragen an Ihr Konto aus und identifiziert anomale Ereignisse, die mit Taktiken von Angreifern in Verbindung gebracht werden. Das ML-Modell verfolgt verschiedene Faktoren der API-Anfrage, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, und die spezifische API, die angefordert wurde. Einzelheiten darüber, welche Faktoren der API-Anfrage für die Benutzeridentität, die die Anfrage aufgerufen hat, ungewöhnlich sind, finden Sie in den [Erkenntnisdetails](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## InitialAccess:IAMUser/AnomalousBehavior
<a name="initialaccess-iam-anomalousbehavior"></a>

### Eine API, die häufig verwendet wird, um sich unbefugten Zugriff auf eine AWS Umgebung zu verschaffen, wurde auf ungewöhnliche Weise aufgerufen.
<a name="initialaccess-iam-anomalousbehavior_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle**: Verwaltungsereignis CloudTrail 

Diese Erkenntnis informiert Sie darüber, dass in Ihrem Konto eine ungewöhnliche API-Anfrage beobachtet wurde. Diese Erkenntnis kann eine einzelne API oder eine Reihe verwandter API-Anfragen umfassen, die in der Nähe von einer einzelnen [Benutzeridentität](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) getätigt wurden. Die beobachtete API wird häufig mit der ersten Zugriffsphase eines Angriffs in Verbindung gebracht, wenn ein Angreifer versucht, Zugriff auf Ihre Umgebung zu erhalten. APIs Zu dieser Kategorie gehören in der Regel Operationen zum Abrufen von Token oder Sessions, wie`StartSession`, oder. `GetAuthorizationToken` 

Diese API-Anfrage wurde vom ML-Modell (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal identifiziert. Das ML-Modell wertet alle API-Anfragen an Ihr Konto aus und identifiziert anomale Ereignisse, die mit Taktiken von Angreifern in Verbindung gebracht werden. Das ML-Modell verfolgt verschiedene Faktoren der API-Anfrage, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, und die spezifische API, die angefordert wurde. Einzelheiten darüber, welche Faktoren der API-Anfrage für die Benutzeridentität, die die Anfrage aufgerufen hat, ungewöhnlich sind, finden Sie in den [Erkenntnisdetails](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## PenTest:IAMUser/KaliLinux
<a name="pentest-iam-kalilinux"></a>

### Eine API wurde von einer Kali-Linux-Maschine aus aufgerufen.
<a name="pentest-iam-kalilinux_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle: Verwaltungsereignis** CloudTrail 

Dieses Ergebnis informiert Sie darüber, dass ein Computer, auf dem Kali Linux ausgeführt wird, API-Aufrufe mit Anmeldeinformationen durchführt, die zu dem aufgelisteten AWS Konto in Ihrer Umgebung gehören. Kali Linux ist ein beliebtes Tool für Penetrationstests, das von Sicherheitsexperten verwendet wird, um Schwachstellen in EC2-Instances zu erkennen, für die Patches erforderlich sind. Angreifer verwenden dieses Tool auch, um Schwachstellen in der EC2-Konfiguration zu finden und sich unbefugten Zugriff auf Ihre AWS Umgebung zu verschaffen. 

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## PenTest:IAMUser/ParrotLinux
<a name="pentest-iam-parrotlinux"></a>

### Eine API wurde von einem Parrot-Security-Linux-Computer aufgerufen.
<a name="pentest-iam-parrotlinux_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle: CloudTrail Verwaltungsereignis**

Dieses Ergebnis informiert Sie darüber, dass ein Computer, auf dem Parrot Security Linux ausgeführt wird, API-Aufrufe mit Anmeldeinformationen durchführt, die zu dem aufgelisteten AWS Konto in Ihrer Umgebung gehören. Parrot Security Linux ist ein beliebtes Tool für Penetrationstests, das von Sicherheitsexperten verwendet wird, um Schwachstellen in EC2-Instances zu erkennen, für die Patches erforderlich sind. Angreifer verwenden dieses Tool auch, um Schwachstellen in der EC2-Konfiguration zu finden und sich unbefugten Zugriff auf Ihre AWS Umgebung zu verschaffen.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## PenTest:IAMUser/PentooLinux
<a name="pentest-iam-pentoolinux"></a>

### Eine API wurde von einem Pentoo-Linux-Computer aufgerufen.
<a name="pentest-iam-pentoolinux_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle: CloudTrail Verwaltungsereignis**

Dieses Ergebnis informiert Sie darüber, dass ein Computer, auf dem Pentoo Linux ausgeführt wird, API-Aufrufe mit Anmeldeinformationen durchführt, die zu dem aufgelisteten AWS Konto in Ihrer Umgebung gehören. Pentoo Linux ist ein beliebtes Tool für Penetrationstests, das von Sicherheitsexperten verwendet wird, um Schwachstellen in EC2-Instances zu erkennen, für die Patches erforderlich sind. Angreifer verwenden dieses Tool auch, um Schwachstellen in der EC2-Konfiguration zu finden und sich unbefugten Zugriff auf Ihre AWS Umgebung zu verschaffen.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## Persistence:IAMUser/AnomalousBehavior
<a name="persistence-iam-anomalousbehavior"></a>

### Eine API, die häufig verwendet wird, um unbefugten Zugriff auf eine AWS Umgebung aufrechtzuerhalten, wurde auf ungewöhnliche Weise aufgerufen.
<a name="persistence-iam-anomalousbehavior_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle**: Verwaltungsereignis CloudTrail 

Diese Erkenntnis informiert Sie darüber, dass in Ihrem Konto eine ungewöhnliche API-Anfrage beobachtet wurde. Diese Erkenntnis kann eine einzelne API oder eine Reihe verwandter API-Anfragen umfassen, die in der Nähe von einer einzelnen [Benutzeridentität](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) getätigt wurden. Die beobachtete API wird häufig mit Persistenztaktiken in Verbindung gebracht, bei denen sich ein Angreifer Zugriff auf Ihre Umgebung verschafft hat und versucht, diesen Zugriff aufrechtzuerhalten. APIs Zu dieser Kategorie gehören in der Regel Erstellungs-, Import- oder Änderungsvorgänge wie,`CreateAccessKey`, `ImportKeyPair` oder. `ModifyInstanceAttribute` 

Diese API-Anfrage wurde vom ML-Modell (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal identifiziert. Das ML-Modell wertet alle API-Anfragen an Ihr Konto aus und identifiziert anomale Ereignisse, die mit Taktiken von Angreifern in Verbindung gebracht werden. Das ML-Modell verfolgt verschiedene Faktoren der API-Anfrage, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, und die spezifische API, die angefordert wurde. Einzelheiten darüber, welche Faktoren der API-Anfrage für die Benutzeridentität, die die Anfrage aufgerufen hat, ungewöhnlich sind, finden Sie in den [Erkenntnisdetails](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## Policy:IAMUser/RootCredentialUsage
<a name="policy-iam-rootcredentialusage"></a>

### Eine API wurde über Root-Benutzer-Anmeldeinformationen aufgerufen.
<a name="policy-iam-rootcredentialusage_description"></a>

**Standard-Schweregrad: Niedrig**
+ **Datenquelle:** CloudTrail Verwaltungsereignisse oder CloudTrail Datenereignisse für S3

Diese Erkenntnis informiert Sie darüber, dass die Root-Benutzer-Anmeldeinformationen des in Ihrer Umgebung angeführten AWS-Konto -Kontos verwendet werden, um Anforderungen an AWS -Services zu erstellen. Es wird empfohlen, dass Benutzer niemals Root-Benutzeranmeldedaten verwenden, um auf AWS Dienste zuzugreifen. Stattdessen sollte der Zugriff auf AWS Dienste mit temporären Anmeldeinformationen mit den geringsten Rechten von AWS -Security-Token-Service (STS) erfolgen. Für Situationen, in denen AWS STS nicht unterstützt wird, werden IAM-Benutzeranmeldeinformationen empfohlen. Weitere Informationen finden Sie unter [Bewährte Methoden für IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html).

**Anmerkung**  
Wenn S3-Schutz für das Konto aktiviert ist, kann dieses Ergebnis als Reaktion auf Versuche generiert werden, S3-Datenebenenoperationen auf Amazon S3 S3-Ressourcen mithilfe der Root-Benutzeranmeldedaten von auszuführen. AWS-Konto Der verwendete API-Aufruf wird in den Erkenntnisdetails aufgeführt. Wenn S3 Protection nicht aktiviert ist, kann dieses Ergebnis nur durch das Ereignisprotokoll APIs ausgelöst werden. Weitere Informationen zu S3 Protection finden Sie unter[S3-Schutz](s3-protection.md).

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## Policy:IAMUser/ShortTermRootCredentialUsage
<a name="policy-iam-user-short-term-root-credential-usage"></a>

### Eine API wurde mithilfe eingeschränkter Root-Benutzer-Anmeldeinformationen aufgerufen.
<a name="policy-iam-user-short-term-root-credential-usage_description"></a>

**Standard-Schweregrad: Niedrig**
+ **Datenquelle:**AWS CloudTrail Verwaltungsereignisse oder AWS CloudTrail Datenereignisse für S3

Dieses Ergebnis informiert Sie darüber, dass eingeschränkte Benutzeranmeldedaten, die für die AWS-Konto in Ihrer Umgebung aufgelisteten Benutzer erstellt wurden, verwendet werden, um Anfragen an zu stellen AWS-Services. Es wird empfohlen, Root-Benutzeranmeldedaten nur für [Aufgaben zu verwenden, für die Root-Benutzeranmeldedaten erforderlich sind](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks). 

Wenn möglich, greifen Sie auf die zu, AWS-Services indem Sie die IAM-Rollen mit den geringsten Rechten und temporären Anmeldeinformationen von AWS -Security-Token-Service (AWS STS) verwenden. In Szenarien, in denen AWS STS dies nicht unterstützt wird, empfiehlt es sich, IAM-Benutzeranmeldedaten zu verwenden. Weitere Informationen finden Sie unter [Bewährte Sicherheitsmethoden in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) und [Bewährte Methoden für Root-Benutzer AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html) im *IAM-Benutzerhandbuch*.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## PrivilegeEscalation:IAMUser/AnomalousBehavior
<a name="privilegeescalation-iam-anomalousbehavior"></a>

### Eine API, die häufig verwendet wird, um hochrangige Berechtigungen für eine AWS Umgebung zu erhalten, wurde auf ungewöhnliche Weise aufgerufen.
<a name="privilegeescalation-iam-anomalousbehavior_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle**: Verwaltungsereignisse CloudTrail 

Diese Erkenntnis informiert Sie darüber, dass in Ihrem Konto eine ungewöhnliche API-Anfrage beobachtet wurde. Diese Erkenntnis kann eine einzelne API oder eine Reihe verwandter API-Anfragen umfassen, die in der Nähe von einer einzelnen [Benutzeridentität](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) getätigt wurden. Die beobachtete API wird häufig mit Taktiken zur Eskalation von Rechten in Verbindung gebracht, bei der ein Angreifer versucht, Berechtigungen auf höherer Ebene für eine Umgebung zu erlangen. APIs Zu dieser Kategorie gehören in der Regel Operationen, die IAM-Richtlinien, Rollen und Benutzer ändern, z. B.,, oder. `AssociateIamInstanceProfile` `AddUserToGroup` `PutUserPolicy` 

Diese API-Anfrage wurde vom ML-Modell (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal eingestuft. Das ML-Modell wertet alle API-Anfragen an Ihr Konto aus und identifiziert anomale Ereignisse, die mit Taktiken von Angreifern in Verbindung gebracht werden. Das ML-Modell verfolgt verschiedene Faktoren der API-Anfrage, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, und die spezifische API, die angefordert wurde. Einzelheiten darüber, welche Faktoren der API-Anfrage für die Benutzeridentität, die die Anfrage aufgerufen hat, ungewöhnlich sind, finden Sie in den [Erkenntnisdetails](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## Recon:IAMUser/MaliciousIPCaller
<a name="recon-iam-maliciousipcaller"></a>

### Eine API wurde von einer bekannten böswilligen IP-Adresse aufgerufen.
<a name="recon-iam-maliciousipcaller_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle**: Verwaltungsereignisse CloudTrail 

Diese Erkenntnis informiert Sie, dass ein API-Vorgang, der AWS -Ressourcen auflisten oder beschreiben kann, von einer IP-Adresse aufgerufen wurde, die in einer Bedrohungsliste enthalten ist. Ein Angreifer kann gestohlene Anmeldeinformationen verwenden, um diese Art der Erkennung Ihrer AWS Ressourcen durchzuführen, um wertvollere Anmeldeinformationen zu finden oder die Fähigkeiten der Anmeldeinformationen zu ermitteln, über die er bereits verfügt.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## Recon:IAMUser/MaliciousIPCaller.Custom
<a name="recon-iam-maliciousipcallercustom"></a>

### Eine API wurde von einer bekannten böswilligen IP-Adresse aufgerufen.
<a name="recon-iam-maliciousipcallercustom_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle**: Verwaltungsereignisse CloudTrail 

Diese Erkenntnis informiert Sie, dass ein API-Vorgang, der AWS -Ressourcen auflisten oder beschreiben kann, von einer IP-Adresse aufgerufen wurde, die in einer benutzerdefinierten Bedrohungsliste enthalten ist. Die verwendete Bedrohungsliste wird in den Erkenntnisdetails aufgeführt. Ein Angreifer könnte gestohlene Anmeldeinformationen verwenden, um diese Art der Erkennung Ihrer AWS Ressourcen durchzuführen, um wertvollere Anmeldeinformationen zu finden oder die Fähigkeiten der Anmeldeinformationen zu ermitteln, über die er bereits verfügt.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## Recon:IAMUser/TorIPCaller
<a name="recon-iam-toripcaller"></a>

### Eine API wurde von einer Tor-Exit-Knoten-IP-Adresse aufgerufen.
<a name="recon-iam-toripcaller_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle**: Verwaltungsereignisse CloudTrail 

Diese Erkenntnis informiert Sie, dass ein API-Vorgang, der Ihre AWS -Ressourcen auflisten oder beschreiben kann, von einer Tor-Ausgangsknotens-IP-Adresse aufgerufen wurde. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese nach dem Zufallsprinzip durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Ein Angreifer würde Tor verwenden, um seine wahre Identität zu verschleiern.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## Stealth:IAMUser/CloudTrailLoggingDisabled
<a name="stealth-iam-cloudtrailloggingdisabled"></a>

### AWS CloudTrail Die Protokollierung wurde deaktiviert.
<a name="stealth-iam-cloudtrailloggingdisabled_description"></a>

**Standard-Schweregrad: Niedrig**
+ **Datenquelle:** CloudTrail Verwaltungsereignisse

Dieser Befund informiert Sie darüber, dass ein CloudTrail Trail in Ihrer AWS Umgebung deaktiviert wurde. Dabei kann es sich um den Versuch eines Angreifers handeln, die Protokollierung seiner Aktivitäten zu deaktivieren, indem er alle Spuren beseitigt, während er mit böswilliger Absicht Zugriff auf die AWS -Ressourcen erlangt. Diese Erkenntnis kann durch das erfolgreiche Löschen oder Aktualisieren eines Trails ausgelöst werden. Dieses Ergebnis kann auch durch das erfolgreiche Löschen eines S3-Buckets ausgelöst werden, der die Logs eines zugehörigen Trails speichert GuardDuty.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## Stealth:IAMUser/PasswordPolicyChange
<a name="stealth-iam-passwordpolicychange"></a>

### Die Passwortrichtlinie des Kontos wurde geschwächt.
<a name="stealth-iam-passwordpolicychange_description"></a>

**Standard-Schweregrad: Niedrig\$1**

**Anmerkung**  
Der Schweregrad dieser Erkenntnis kann je nach Schweregrad der an der Passwortrichtlinie vorgenommenen Änderungen Niedrig, Mittel oder Hoch sein.
+ **Datenquelle:** CloudTrail Verwaltungsereignisse

Die AWS Kontopasswortrichtlinie wurde für das aufgelistete Konto in Ihrer AWS Umgebung geschwächt. Beispiel: Sie wurde gelöscht oder aktualisiert und erfordert jetzt weniger Zeichen, keine Sonderzeichen und Zahlen mehr oder das Ablaufdatum des Passworts musste verlängert werden. Dieses Ergebnis kann auch durch den Versuch ausgelöst werden, die Passwortrichtlinie für Ihr AWS Konto zu aktualisieren oder zu löschen. Die AWS Kontokennwortrichtlinie definiert die Regeln, die festlegen, welche Arten von Passwörtern für Ihre IAM-Benutzer festgelegt werden können. Eine schwächere Passwortrichtlinie ermöglicht das Erstellen von Passwörtern, die leicht zu merken und möglicherweise einfacher zu erraten sind. Dadurch entsteht ein Sicherheitsrisiko.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B
<a name="unauthorizedaccess-iam-consoleloginsuccessb"></a>

### Mehrere weltweit erfolgreiche Konsolenanmeldungen wurden beobachtet.
<a name="unauthorizedaccess-iam-consoleloginsuccessb_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle: CloudTrail Verwaltungsereignisse**

Diese Erkenntnis informiert Sie darüber, dass mehrere erfolgreiche Konsolenanmeldungen für denselben IAM-Benutzer zur etwa gleichen Zeit an verschiedenen geografischen Standorten beobachtet wurden. Solche anomalen und riskanten Zugriffsorte deuten auf einen potenziellen unbefugten Zugriff auf Ihre AWS Ressourcen hin. 

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS
<a name="unauthorizedaccess-iam-instancecredentialexfiltrationinsideaws"></a>

### Anmeldeinformationen, die ausschließlich für eine EC2-Instance über eine Instance-Startrolle erstellt wurden, werden von einem anderen Konto innerhalb von AWS verwendet.
<a name="unauthorizedaccess-iam-instancecredentialexfiltrationinsideaws_description"></a>

**Standard-Schweregrad: Hoch\$1**

**Anmerkung**  
Der Standard-Schweregrad diese Erkenntnis ist Hoch. Wenn die API jedoch von einem Konto aufgerufen wurde, das zu Ihrer AWS Umgebung gehört, lautet der Schweregrad Mittel.
+ **Datenquelle:** CloudTrail Verwaltungsereignisse oder CloudTrail Datenereignisse für S3

Dieses Ergebnis informiert Sie darüber, wenn Ihre Amazon EC2 EC2-Instance-Anmeldeinformationen verwendet werden, um APIs von einer IP-Adresse oder einem Amazon VPC-Endpunkt aus aufzurufen, der einem anderen AWS Konto gehört als dem, in dem die zugehörige Amazon EC2 EC2-Instance ausgeführt wird. Die VPC-Endpunkterkennung ist nur für Services verfügbar, die Netzwerkaktivitätsereignisse für VPC-Endpunkte unterstützen. Informationen zu Services, die Netzwerkaktivitätsereignisse für VPC-Endpunkte unterstützen, finden Sie im *Benutzerhandbuch für AWS CloudTrail * unter [Protokollieren von Netzwerkaktivitätsereignissen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-network-events-with-cloudtrail.html).

AWS empfiehlt nicht, temporäre Anmeldeinformationen außerhalb der Entität weiterzuverteilen, die sie erstellt hat (z. B. AWS Anwendungen, Amazon EC2 oder AWS Lambda). Allerdings können autorisierte Benutzer Anmeldeinformationen aus ihren Amazon-EC2-Instances exportieren, um legitime API-Aufrufe durchzuführen. Wenn das `remoteAccountDetails.Affiliated` Feld lautet, wurde `True` die API von einem Konto aufgerufen, das demselben Administratorkonto zugeordnet ist. Um einen möglichen Angriff auszuschließen und die Legitimität der Aktivität zu überprüfen, wenden Sie sich an den AWS-Konto Eigentümer oder IAM-Principal, dem diese Anmeldeinformationen zugewiesen wurden.

**Anmerkung**  
Wenn von einem Remote-Konto aus anhaltende Aktivitäten GuardDuty beobachtet werden, identifiziert das maschinelle Lernmodell (ML) dies als erwartetes Verhalten. Daher GuardDuty wird dieses Ergebnis nicht mehr für Aktivitäten von diesem Remote-Konto generiert. GuardDuty wird weiterhin Ergebnisse für neues Verhalten anderer Remote-Konten generieren und erlernte Remote-Konten neu bewerten, wenn sich das Verhalten im Laufe der Zeit ändert.

**Empfehlungen zur Abhilfe:**

Dieses Ergebnis wird generiert, wenn AWS API-Anfragen innerhalb AWS einer Amazon EC2 EC2-Instance außerhalb von Ihnen gestellt werden AWS-Konto, indem die Sitzungsanmeldedaten Ihrer Amazon EC2 EC2-Instance verwendet werden. Es kann üblich sein, z. B. für die Transit Gateway Gateway-Architektur in einer [Hub-and-Spoke-Konfiguration](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/transit-vpc-solution.html), den Verkehr über eine einzelne Hub-Ausgangs-VPC mit AWS Service-Endpunkten zu leiten. Wenn dieses Verhalten erwartet wird, GuardDuty empfiehlt es Ihnen, eine Regel mit zwei Filterkriterien zu verwenden [Unterdrückungsregeln](findings_suppression-rule.md) und zu erstellen. Das erste Kriterium ist der Erkenntnistyp, in diesem Fall UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS. Das zweite Filterkriterium ist die Remote-Konto-ID der Remote-Kontodetails.

Als Reaktion auf diese Erkenntnis können Sie den folgenden Workflow verwenden, um eine Vorgehensweise festzulegen:

1. Identifizieren Sie das betroffene Remote-Konto im `service.action.awsApiCallAction.remoteAccountDetails.accountId`-Feld.

1. Ermitteln Sie vor `service.action.awsApiCallAction.remoteAccountDetails.affiliated` Ort, ob dieses Konto mit Ihrer GuardDuty Umgebung verknüpft ist.

1. Wenn das Konto verbunden **ist**, wenden Sie sich an den Eigentümer des Remote-Kontos und den Eigentümer der Anmeldeinformationen für die Amazon-EC2-Instance, um dies zu untersuchen.

   Wenn das Konto **nicht verknüpft ist**, müssen Sie zunächst prüfen, ob dieses Konto Ihrer Organisation zugeordnet ist, aber nicht Teil Ihrer Umgebung mit GuardDuty mehreren Konten ist, oder ob GuardDuty es in diesem Konto noch nicht aktiviert wurde. Wenden Sie sich andernfalls an den Eigentümer der Anmeldeinformationen für die Amazon-EC2-Instance, um festzustellen, ob es einen Anwendungsfall für ein Remote-Konto zur Verwendung dieser Anmeldeinformationen gibt.

1. Wenn der Besitzer der Anmeldeinformationen das entfernte Konto nicht erkennt, wurden die Anmeldeinformationen möglicherweise von einem Bedrohungsakteur innerhalb von AWS kompromittiert. Sie sollten die unter empfohlenen Maßnahmen ergreifen[Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md), um Ihre Umgebung zu schützen. 

   Darüber hinaus können Sie [einen Missbrauchsbericht an das AWS Trust and Safety Team senden](https://support.aws.amazon.com/#/contacts/report-abuse), um eine Untersuchung des Remote-Kontos einzuleiten. Wenn Sie Ihre Meldung an AWS Trust and Safety einreichen, geben Sie die vollständigen JSON-Details des Befundes an.

## UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
<a name="unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws"></a>

### Anmeldeinformationen, die über eine Instance-Startrolle ausschließlich für eine EC2-Instance erstellt wurden, werden von einer externen IP-Adresse verwendet.
<a name="unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle:** CloudTrail Verwaltungsereignisse oder CloudTrail Datenereignisse für S3

Dieses Ergebnis informiert Sie darüber, dass ein Host außerhalb von versucht AWS hat, AWS API-Operationen mit temporären AWS Anmeldeinformationen auszuführen, die auf einer EC2-Instance in Ihrer AWS Umgebung erstellt wurden. Die aufgelistete EC2-Instance ist möglicherweise kompromittiert, und die temporären Anmeldeinformationen dieser Instance wurden möglicherweise auf einen Remote-Host außerhalb von exfiltriert. AWS AWS empfiehlt nicht, temporäre Anmeldeinformationen außerhalb der Entität weiterzuverteilen, die sie erstellt hat (z. B. AWS Anwendungen, EC2 oder Lambda). Allerdings können autorisierte Benutzer Anmeldeinformationen aus ihren EC2-Instances exportieren, um legitime API-Aufrufe durchzuführen. Um einen potenziellen Angriff auszuschließen und die Legitimität der Aktivität zu überprüfen, überprüfen Sie, ob die Verwendung von Instance-Anmeldeinformationen von der Remote-IP in der Erkenntnis erwartet wird. 

**Anmerkung**  
Wenn von einem Remote-Host aus anhaltende Aktivitäten GuardDuty beobachtet werden, identifiziert das maschinelle Lernmodell (ML) dies als erwartetes Verhalten. Daher GuardDuty wird dieses Ergebnis nicht mehr für Aktivitäten von diesem Remote-Host generiert. GuardDuty generiert weiterhin Ergebnisse für neues Verhalten von anderen Remote-Hosts und bewertet erlernte Remote-Hosts erneut, wenn sich das Verhalten im Laufe der Zeit ändert.

**Empfehlungen zur Abhilfe:**

Diese Erkenntnis wird generiert, wenn das Netzwerk so konfiguriert ist, dass der Internetverkehr von einem On-Premises-Gateway und nicht von einem VPC Internet Gateway (IGW) ausgeht. Geläufige Konfigurationen, z. B. die Verwendung von [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/), oder VPC-VPN-Verbindungen, können dazu führen, dass Datenverkehr auf diese Weise weitergeleitet wird. Wenn dies ein erwartetes Verhalten ist, empfiehlt es sich, Unterdrückungsregeln zu verwenden und eine Regel zu erstellen, die aus zwei Filterkriterien besteht. Das erste Kriterium ist der **Erkenntnistyp**, der `UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS` sein sollte. Das zweite Filterkriterium ist die ** IPv4 API-Aufruferadresse** mit der IP-Adresse oder dem CIDR-Bereich Ihres lokalen Internet-Gateways. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter [Unterdrückungsregeln in GuardDuty](findings_suppression-rule.md). 

**Anmerkung**  
Wenn eine kontinuierliche Aktivität aus einer externen Quelle GuardDuty beobachtet wird, identifiziert das maschinelle Lernmodell dieses Verhalten als erwartetes Verhalten und generiert diese Ergebnisse nicht mehr für Aktivitäten aus dieser Quelle. GuardDuty wird weiterhin Erkenntnisse für neues Verhalten aus anderen Quellen generieren und erlernte Quellen neu bewerten, wenn sich das Verhalten im Laufe der Zeit ändert.

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## UnauthorizedAccess:IAMUser/MaliciousIPCaller
<a name="unauthorizedaccess-iam-maliciousipcaller"></a>

### Eine API wurde von einer bekannten böswilligen IP-Adresse aufgerufen.
<a name="unauthorizedaccess-iam-maliciousipcaller_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle: CloudTrail Managementereignisse**

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang (z. B. ein Versuch zum Starten einer EC2-Instance, Erstellen eines neuen IAM-Benutzers, Ändern Ihrer AWS -Berechtigungen usw.) von einer bekannten böswilligen IP-Adresse aufgerufen wurde. Dies kann auf einen unbefugten Zugriff auf AWS Ressourcen in Ihrer Umgebung hinweisen.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom
<a name="unauthorizedaccess-iam-maliciousipcallercustom"></a>

### Eine API wurde von einer IP-Adresse aufgerufen, die sich auf einer benutzerdefinierten Bedrohungsliste befindet.
<a name="unauthorizedaccess-iam-maliciousipcallercustom_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle:** CloudTrail Verwaltungsereignisse

Dieses Ergebnis informiert Sie darüber, dass ein API-Vorgang (z. B. ein Versuch, eine EC2-Instance zu starten, einen neuen IAM-Benutzer zu erstellen oder AWS Rechte zu ändern) von einer IP-Adresse aus aufgerufen wurde, die in einer von Ihnen hochgeladenen Bedrohungsliste enthalten ist. In GuardDuty besteht eine Bedrohungsliste aus bekannten bösartigen IP-Adressen. Dies kann auf einen unbefugten Zugriff auf AWS Ressourcen in Ihrer Umgebung hinweisen.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS
<a name="unauthorizedaccess-iam-resourcecredentialexfiltrationoutsideaws"></a>

### Anmeldeinformationen, die ausschließlich für eine AWS Lambda Ressource erstellt wurden, werden von einer IP-Adresse außerhalb von verwendet AWS.
<a name="unauthorizedaccess-iam-resourcecredentialexfiltrationoutsideaws_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle:** CloudTrail Verwaltungsereignisse oder CloudTrail Datenereignisse für S3

 Dieses Ergebnis informiert Sie darüber, dass ein Host außerhalb von AWS versucht hat, AWS API-Operationen mithilfe temporärer AWS Anmeldeinformationen auszuführen, die für eine AWS Lambda Ressource in Ihrer AWS Umgebung erstellt wurden. Die aufgelistete Lambda-Ressource ist möglicherweise gefährdet, und die temporären Anmeldeinformationen von diesem Lambda wurden möglicherweise auf einen Remote-Host außerhalb von exfiltriert. AWS

AWS empfiehlt nicht, temporäre Anmeldeinformationen außerhalb der Entität, die sie erstellt hat, weiterzuverteilen (z. B. AWS Anwendungen wie Amazon Elastic Compute Cloud (Amazon EC2) oder AWS Lambda). Allerdings können autorisierte Benutzer Anmeldeinformationen aus ihren Lambda-Ressourcen exportieren, um legitime API-Aufrufe durchzuführen. Um einen potenziellen Angriff auszuschließen und die Legitimität der Aktivität zu überprüfen, überprüfen Sie, ob die Verwendung von Instance-Anmeldeinformationen von der Remote-IP in der Erkenntnis erwartet wird. 

**Anmerkung**  
Wenn von einem Remote-Host aus eine fortgesetzte Aktivität GuardDuty beobachtet wird, identifiziert dessen Modell für maschinelles Lernen (ML) dies als erwartetes Verhalten. Daher GuardDuty wird dieses Ergebnis nicht mehr für Aktivitäten von diesem Remote-Host generiert. GuardDuty generiert weiterhin Ergebnisse für neues Verhalten von anderen Remote-Hosts und bewertet erlernte Remote-Hosts erneut, wenn sich das Verhalten im Laufe der Zeit ändert.

**Empfehlungen zur Abhilfe:**

 Diese Erkenntnis wird generiert, wenn das Netzwerk so konfiguriert ist, dass der Internetdatenverkehr von einem On-Premises-Gateway und nicht von einem VPC-Internet-Gateway (IGW) ausgeht. Geläufige Konfigurationen, z. B. die Verwendung von [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/) oder VPC-VPN-Verbindungen, können dazu führen, dass Datenverkehr auf diese Weise weitergeleitet wird. Wenn dies erwartetes Verhalten ist, GuardDuty empfiehlt dann, eine Regel mit zwei Filterkriterien [Unterdrückungsregeln](findings_suppression-rule.md) zu erstellen. Das erste Kriterium ist der **Erkenntnistyp**, der `UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS` sein sollte. Das zweite Filterkriterium ist die ** IPv4 API-Anruferadresse** mit der IP-Adresse oder dem CIDR-Bereich für Ihr lokales Internet-Gateway. 

 Wenn solche Aktivitäten unerwartet auftreten, sind Ihre Anmeldeinformationen möglicherweise kompromittiert. Informationen zu den Schritten zur Behebung dieses Ergebnistyps finden Sie unter. [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md) 

## UnauthorizedAccess:IAMUser/TorIPCaller
<a name="unauthorizedaccess-iam-toripcaller"></a>

### Eine API wurde von einer Tor-Exit-Knoten-IP-Adresse aufgerufen.
<a name="unauthorizedaccess-iam-toripcaller_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle: CloudTrail Verwaltungsereignisse**

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang (Beispiel: ein Versuch zum Starten einer EC2-Instance, Erstellen eines neuen IAM-Benutzers oder Ändern Ihrer AWS -Rechte) von einer Tor-Ausgangsknotens-IP-Adresse aufgerufen wurde. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese nach dem Zufallsprinzip durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dies kann auf einen unbefugten Zugriff auf Ihre AWS -Ressourcen hinweisen, mit dem Ziel, die wahre Identität des Angreifers zu verbergen.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

# GuardDuty Arten der Suche nach Angriffssequenzen
<a name="guardduty-attack-sequence-finding-types"></a>

GuardDuty erkennt eine Angriffssequenz, wenn eine bestimmte Abfolge mehrerer Aktionen mit einer potenziell verdächtigen Aktivität übereinstimmt. Eine Angriffssequenz umfasst **Signale** wie API-Aktivitäten und GuardDuty Ergebnisse. Wenn eine Gruppe von Signalen in einer bestimmten Reihenfolge GuardDuty beobachtet wird, die auf eine laufende, anhaltende oder kürzlich aufgetretene Sicherheitsbedrohung hindeuten, wird ein Ergebnis der Angriffssequenz GuardDuty generiert. GuardDuty betrachtet einzelne API-Aktivitäten so[weak signals](guardduty_concepts.md#guardduty-weak-signals-attack-sequence), als ob sie sich nicht als potenzielle Bedrohung darstellen.

Die Erkennungen der Angriffssequenz konzentrieren sich auf die potenzielle Gefährdung von Amazon S3 S3-Daten (die Teil eines umfassenderen Ransomware-Angriffs sein können), kompromittierte AWS Anmeldeinformationen, kompromittierte Amazon EKS-Cluster, kompromittierte Amazon ECS-Cluster und kompromittierte Amazon EC2 EC2-Instanzgruppen. Die folgenden Abschnitte enthalten Einzelheiten zu den einzelnen Angriffssequenzen. 

**Topics**
+ [AttackSequence:EKS/CompromisedCluster](#attack-sequence-eks-compromised-cluster)
+ [AttackSequence:ECS/CompromisedCluster](#attack-sequence-ecs-compromised-cluster)
+ [AttackSequence:EC2/CompromisedInstanceGroup](#attack-sequence-ec2-compromised-instance-group)
+ [AttackSequence:IAM/CompromisedCredentials](#attack-sequence-iam-compromised-credentials)
+ [AttackSequence:S3/CompromisedData](#attack-sequence-s3-compromised-data)

## AttackSequence:EKS/CompromisedCluster
<a name="attack-sequence-eks-compromised-cluster"></a>

### Eine Abfolge verdächtiger Aktionen, die von einem potenziell kompromittierten Amazon EKS-Cluster ausgeführt werden.
<a name="attack-sequence-eks-compromised-cluster-description"></a>
+ Standardschweregrad: Kritisch
+ Datenquellen:
  + [EKS-Auditprotokollereignisse](https://docs.aws.amazon.com/guardduty/latest/ug/kubernetes-protection.html#guardduty_k8s-audit-logs)
  + [Laufzeitüberwachung für Amazon EKS](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-eks.html)
  + [Amazon EKS-Malware-Erkennung für Amazon EC2](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)
  + [AWS CloudTrail Datenereignisse für S3](s3-protection.md#guardduty_s3dataplane)
  + [AWS CloudTrail Management-Ereignisse](guardduty_data-sources.md#guardduty_controlplane)
  + [VPC Flow Logs](guardduty_data-sources.md#guardduty_vpc)
  + [Route53 Resolver DNS-Abfrageprotokolle](guardduty_data-sources.md#guardduty_dns)

Dieses Ergebnis informiert Sie darüber, dass Sie eine Abfolge verdächtiger Aktionen GuardDuty entdeckt haben, die auf einen potenziell gefährdeten Amazon EKS-Cluster in Ihrer Umgebung hindeuten. In demselben Amazon EKS-Cluster wurden mehrere verdächtige und anomale Angriffsverhalten beobachtet, z. B. bösartige Prozesse oder Verbindungen mit böswilligen Endpunkten.

GuardDuty verwendet seine eigenen Korrelationsalgorithmen, um die Reihenfolge der Aktionen zu beobachten und zu identifizieren, die mithilfe der IAM-Anmeldeinformationen ausgeführt werden. GuardDuty bewertet die Ergebnisse anhand von Schutzplänen und anderen Signalquellen, um gängige und sich abzeichnende Angriffsmuster zu identifizieren. GuardDuty nutzt mehrere Faktoren, um Bedrohungen aufzudecken, z. B. IP-Reputation, API-Sequenzen, Benutzerkonfiguration und potenziell betroffene Ressourcen.

**Behebungsmaßnahmen**: Wenn dieses Verhalten in Ihrer Umgebung unerwartet auftritt, ist Ihr Amazon EKS-Cluster möglicherweise gefährdet. Umfassende Anleitungen zur Problembehebung finden Sie unter und. [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md) [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md)

Da AWS Anmeldeinformationen möglicherweise durch den EKS-Cluster kompromittiert wurden, finden Sie außerdem weitere Informationen unter. [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md) Schritte zur Behebung anderer Ressourcen, die möglicherweise betroffen waren, finden Sie unter. [Behebung erkannter GuardDuty Sicherheitslücken](guardduty_remediate.md)

## AttackSequence:ECS/CompromisedCluster
<a name="attack-sequence-ecs-compromised-cluster"></a>

### Eine Abfolge verdächtiger Aktionen, die von einem potenziell kompromittierten Amazon ECS-Cluster ausgeführt werden.
<a name="attack-sequence-ecs-compromised-cluster-description"></a>
+ Standardschweregrad: Kritisch
+ Datenquellen:
  + [Laufzeitüberwachung für Amazon ECS Fargate](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-ecs-fargate.html)
  + [Laufzeitüberwachung für EC2-Instances in Amazon ECS](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-ec2.html)
  + [ GuardDuty Malware-Schutz für Amazon EC2](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)

Dieser Befund informiert Sie darüber, dass eine Folge verdächtiger Signale GuardDuty erkannt wurde, die auf einen potenziell gefährdeten Amazon ECS-Cluster in Ihrer Umgebung hinweisen. Zu diesen Signalen können bösartige Prozesse, Kommunikation mit böswilligen Endpunkten oder Verhalten beim Cryptocurrency Mining gehören.

GuardDuty verwendet firmeneigene Korrelationsalgorithmen und mehrere Erkennungsfaktoren, um Sequenzen verdächtiger Aktionen innerhalb von Amazon ECS-Clustern zu identifizieren. Durch die Analyse verschiedener Schutzpläne und verschiedener Signalquellen GuardDuty werden gängige und neu entstehende Angriffsmuster identifiziert, sodass potenzielle Sicherheitslücken mit hoher Zuverlässigkeit erkannt werden können.

**Abhilfemaßnahmen**: Wenn dieses Verhalten in Ihrer Umgebung unerwartet auftritt, ist Ihr Amazon ECS-Cluster möglicherweise gefährdet. Empfehlungen zur Eindämmung von Bedrohungen finden Sie unter. [Behebung eines potenziell gefährdeten ECS-Clusters](compromised-ecs.md) Beachten Sie, dass sich die Gefährdung auf eine oder mehrere ECS-Tasks oder Container-Workloads erstrecken kann, die zur Erstellung oder Änderung AWS von Ressourcen hätten verwendet werden können. Umfassende Hinweise zur Problembehebung für potenziell betroffene Ressourcen finden Sie unter. [Behebung erkannter GuardDuty Sicherheitslücken](guardduty_remediate.md)

## AttackSequence:EC2/CompromisedInstanceGroup
<a name="attack-sequence-ec2-compromised-instance-group"></a>

### Eine Abfolge verdächtiger Aktionen, die auf potenziell gefährdete Amazon EC2 EC2-Instances hinweisen.
<a name="attack-sequence-ec2-compromised-instance-group-description"></a>
+ Standardschweregrad: Kritisch
+ Datenquellen:
  + [Laufzeitüberwachung für Amazon EC2](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-ec2.html)
  + [Malware-Erkennung für Amazon EC2](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)
  + [VPC Flow Logs](guardduty_data-sources.md#guardduty_vpc)
  + [Route53 Resolver DNS-Abfrageprotokolle](guardduty_data-sources.md#guardduty_dns)

Dieses Ergebnis deutet darauf hin, dass eine Abfolge verdächtiger Aktionen GuardDuty erkannt wurde, die auf eine potenzielle Gefährdung einer Gruppe von Amazon EC2 EC2-Instances in Ihrer Umgebung hindeuten. Instanzgruppen stellen in der Regel Anwendungen dar infrastructure-as-code, über die verwaltet werden und ähnliche Konfigurationen wie Auto-Scaling-Gruppe, IAM-Instance-Profilrolle, AWS CloudFormation Stack, Amazon EC2 EC2-Startvorlage, AMI oder VPC-ID gemeinsam nutzen. GuardDuty beobachtete mehrere verdächtige Verhaltensweisen in einer oder mehreren Instances, darunter:
+ Bösartige Prozesse
+ Bösartige Dateien
+ Verdächtige Netzwerkverbindungen
+ Mining-Aktivitäten für Kryptowährungen
+ Verdächtige Verwendung von Amazon EC2 EC2-Instance-Anmeldeinformationen

**Erkennungsmethode**: GuardDuty verwendet firmeneigene Korrelationsalgorithmen, um verdächtige Aktionssequenzen innerhalb von Amazon EC2 EC2-Instances zu identifizieren. Durch die Auswertung der Ergebnisse anhand verschiedener Schutzpläne und verschiedener Signalquellen GuardDuty werden Angriffsmuster anhand mehrerer Faktoren wie IP- und Domain-Reputation sowie verdächtiger laufender Prozesse identifiziert.

**Abhilfemaßnahmen**: Wenn dieses Verhalten in Ihrer Umgebung unerwartet auftritt, sind Ihre Amazon EC2 EC2-Instances möglicherweise gefährdet. Der Kompromiss könnte Folgendes beinhalten:
+ Mehrere Prozesse
+ Instance-Anmeldeinformationen, die möglicherweise zur Änderung von Amazon EC2 EC2-Instances oder anderen AWS Ressourcen verwendet wurden

Empfehlungen zur Eindämmung von Bedrohungen finden Sie unter. [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md) Beachten Sie, dass sich die Kompromittierung auf eine oder mehrere Amazon EC2 EC2-Instances erstrecken kann und kompromittierte Prozesse oder Instance-Anmeldeinformationen beinhalten kann, die zur Erstellung oder Änderung von Amazon EC2 EC2-Instances oder anderen Ressourcen hätten verwendet werden können. AWS Umfassende Hinweise zur Problembehebung für potenziell betroffene Ressourcen finden Sie unter. [Behebung erkannter GuardDuty Sicherheitslücken](guardduty_remediate.md)

## AttackSequence:IAM/CompromisedCredentials
<a name="attack-sequence-iam-compromised-credentials"></a>

### Eine Abfolge von API-Anfragen, die unter Verwendung potenziell kompromittierter Anmeldeinformationen aufgerufen wurden. AWS
<a name="attack-sequence-iam-compromised-credentials-description"></a>
+ Standardschweregrad: Kritisch
+ Datenquelle: [AWS CloudTrail Management-Ereignisse](guardduty_data-sources.md#guardduty_controlplane)

Dieses Ergebnis informiert Sie darüber, dass Sie eine Folge verdächtiger Aktionen GuardDuty entdeckt haben, die mithilfe von AWS Anmeldeinformationen ausgeführt wurden und sich auf eine oder mehrere Ressourcen in Ihrer Umgebung auswirken. Mit denselben Anmeldeinformationen wurden mehrere verdächtige und anomale Angriffsverhaltensweisen beobachtet, was zu einer höheren Wahrscheinlichkeit führte, dass die Anmeldeinformationen missbraucht wurden.

GuardDuty verwendet seine firmeneigenen Korrelationsalgorithmen, um die Reihenfolge der Aktionen zu beobachten und zu identifizieren, die mithilfe der IAM-Anmeldeinformationen ausgeführt wurden. GuardDuty bewertet die Ergebnisse anhand von Schutzplänen und anderen Signalquellen, um gängige und sich abzeichnende Angriffsmuster zu identifizieren. GuardDuty nutzt mehrere Faktoren, um Bedrohungen aufzudecken, z. B. IP-Reputation, API-Sequenzen, Benutzerkonfiguration und potenziell betroffene Ressourcen.

**Behebungsmaßnahmen**: Wenn dieses Verhalten in Ihrer Umgebung unerwartet auftritt, wurden Ihre AWS Anmeldeinformationen möglicherweise kompromittiert. Schritte zur Problembehebung finden Sie unter. [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md) Die kompromittierten Anmeldeinformationen wurden möglicherweise verwendet, um zusätzliche Ressourcen wie Amazon S3-Buckets, AWS Lambda Funktionen oder Amazon EC2 EC2-Instances in Ihrer Umgebung zu erstellen oder zu ändern. Schritte zur Behebung anderer Ressourcen, die möglicherweise beeinträchtigt wurden, finden Sie unter. [Behebung erkannter GuardDuty Sicherheitslücken](guardduty_remediate.md)

## AttackSequence:S3/CompromisedData
<a name="attack-sequence-s3-compromised-data"></a>

### Bei einem möglichen Versuch, Daten in Amazon S3 zu exfiltrieren oder zu vernichten, wurde eine Abfolge von API-Anfragen aufgerufen.
<a name="attack-sequence-s3-compromised-data-description"></a>
+ Standardschweregrad: Kritisch
+ Datenquellen: [AWS CloudTrail Datenereignisse für S3](s3-protection.md#guardduty_s3dataplane) und [AWS CloudTrail Management-Ereignisse](guardduty_data-sources.md#guardduty_controlplane)

Dieses Ergebnis informiert Sie darüber, dass Sie in einem oder mehreren Amazon Simple Storage Service (Amazon S3) -Buckets eine Abfolge verdächtiger Aktionen GuardDuty entdeckt haben, die auf eine Datenkompromittierung hindeuten. Dabei wurden potenziell AWS kompromittierte Anmeldeinformationen verwendet. Es wurden mehrere verdächtige und ungewöhnliche Angriffsverhaltensweisen (API-Anfragen) beobachtet, was zu einer höheren Wahrscheinlichkeit führte, dass die Anmeldeinformationen missbraucht werden.

GuardDuty verwendet seine Korrelationsalgorithmen, um die Reihenfolge der Aktionen zu beobachten und zu identifizieren, die mithilfe der IAM-Anmeldeinformationen ausgeführt wurden. GuardDuty bewertet dann die Ergebnisse anhand von Schutzplänen und anderen Signalquellen, um gängige und sich abzeichnende Angriffsmuster zu identifizieren. GuardDuty nutzt mehrere Faktoren, um Bedrohungen aufzudecken, z. B. IP-Reputation, API-Sequenzen, Benutzerkonfiguration und potenziell betroffene Ressourcen.

**Abhilfemaßnahmen**: Wenn diese Aktivität in Ihrer Umgebung unerwartet auftritt, wurden Ihre AWS Anmeldeinformationen oder Amazon S3 S3-Daten möglicherweise exfiltriert oder zerstört. Schritte zur Problembehebung finden Sie unter und. [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md) [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md)

# GuardDuty Suchtypen für den S3-Schutz
<a name="guardduty_finding-types-s3"></a>

Die folgenden Ergebnisse sind spezifisch für Amazon S3 S3-Ressourcen und haben den **Ressourcentyp**, `S3Bucket` ob es sich bei der Datenquelle um **CloudTrail Datenereignisse für S3** oder `AccessKey` um **CloudTrail Verwaltungsereignisse** handelt. Der Schweregrad und die Details der Ergebnisse unterscheiden sich je nach Ergebnistyp und Berechtigung, die dem Bucket zugeordnet sind.

Die hier aufgeführten Erkenntnisse beinhalten die Datenquellen und Modelle, die zur Generierung dieses Erkenntnistyps verwendet wurden. Weitere Informationen zu Datenquellen und Modellen finden Sie unter [GuardDuty grundlegende Datenquellen](guardduty_data-sources.md).

**Wichtig**  
Ergebnisse mit einer Datenquelle von **CloudTrail Datenereignissen für S3** werden nur generiert, wenn Sie S3 Protection aktiviert haben. Nach dem 31. Juli 2020 ist S3 Protection standardmäßig aktiviert, wenn ein Konto GuardDuty zum ersten Mal aktiviert wird oder wenn ein delegiertes GuardDuty Administratorkonto GuardDuty in einem vorhandenen Mitgliedskonto aktiviert wird. Wenn jedoch ein neues Mitglied der GuardDuty Organisation beitritt, gelten die Einstellungen der Organisation für die automatische Aktivierung. Informationen zur automatischen Aktivierung von Einstellungen finden Sie unter[Einstellungen für die automatische Aktivierung von Organisationen festlegen](set-guardduty-auto-enable-preferences.md). Informationen zur Aktivierung von S3 Protection finden Sie unter [GuardDuty S3-Schutz](s3-protection.md)

Für alle `S3Bucket`-Arten von Erkenntnissen wird empfohlen, die Berechtigungen für den betreffenden Bucket und die Berechtigungen aller Benutzer, die an dem Erkenntniss beteiligt waren, zu überprüfen. Falls die Aktivität unerwartet ist, lesen Sie die Empfehlungen zur Problembehebung unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

**Topics**
+ [Discovery:S3/AnomalousBehavior](#discovery-s3-anomalousbehavior)
+ [Discovery:S3/MaliciousIPCaller](#discovery-s3-maliciousipcaller)
+ [Discovery:S3/MaliciousIPCaller.Custom](#discovery-s3-maliciousipcallercustom)
+ [Discovery:S3/TorIPCaller](#discovery-s3-toripcaller)
+ [Exfiltration:S3/AnomalousBehavior](#exfiltration-s3-anomalousbehavior)
+ [Exfiltration:S3/MaliciousIPCaller](#exfiltration-s3-maliciousipcaller)
+ [Impact:S3/AnomalousBehavior.Delete](#impact-s3-anomalousbehavior-delete)
+ [Impact:S3/AnomalousBehavior.Permission](#impact-s3-anomalousbehavior-permission)
+ [Impact:S3/AnomalousBehavior.Write](#impact-s3-anomalousbehavior-write)
+ [Impact:S3/MaliciousIPCaller](#impact-s3-maliciousipcaller)
+ [PenTest:S3/KaliLinux](#pentest-s3-kalilinux)
+ [PenTest:S3/ParrotLinux](#pentest-s3-parrotlinux)
+ [PenTest:S3/PentooLinux](#pentest-s3-pentoolinux)
+ [Policy:S3/AccountBlockPublicAccessDisabled](#policy-s3-accountblockpublicaccessdisabled)
+ [Policy:S3/BucketAnonymousAccessGranted](#policy-s3-bucketanonymousaccessgranted)
+ [Policy:S3/BucketBlockPublicAccessDisabled](#policy-s3-bucketblockpublicaccessdisabled)
+ [Policy:S3/BucketPublicAccessGranted](#policy-s3-bucketpublicaccessgranted)
+ [Stealth:S3/ServerAccessLoggingDisabled](#stealth-s3-serveraccessloggingdisabled)
+ [UnauthorizedAccess:S3/MaliciousIPCaller.Custom](#unauthorizedaccess-s3-maliciousipcallercustom)
+ [UnauthorizedAccess:S3/TorIPCaller](#unauthorizedaccess-s3-toripcaller)

## Discovery:S3/AnomalousBehavior
<a name="discovery-s3-anomalousbehavior"></a>

### Eine API, die häufig zum Auffinden von S3-Objekten verwendet wird, wurde auf ungewöhnliche Weise aufgerufen.
<a name="discovery-s3-anomalousbehavior_description"></a>

**Standard-Schweregrad: Niedrig**
+ **Datenquelle:** CloudTrail Datenereignisse für S3

Diese Erkenntnis informiert Sie darüber, dass eine IAM-Entität eine S3-API aufgerufen hat, um S3-Buckets in Ihrer Umgebung zu erkennen, z. B. `ListObjects`. Diese Art von Aktivität steht im Zusammenhang mit der Erkennungsphase eines Angriffs, in der ein Angreifer Informationen sammelt, um festzustellen, ob Ihre AWS Umgebung für einen umfassenderen Angriff anfällig ist. Diese Aktivität ist verdächtig, da die Art und Weise, wie die IAM-Entität die API aufgerufen hat, ungewöhnlich war. Beispielsweise ruft eine IAM-Entität ohne vorherige Historie eine S3-API auf, oder eine IAM-Entität ruft eine S3-API von einem ungewöhnlichen Ort aus auf. 

Diese API wurde durch das ML-Modell (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal identifiziert. Das ML-Modell wertet alle API-Anfragen an Ihr Konto aus und identifiziert anomale Ereignisse, die mit Techniken von Angreifern in Verbindung gebracht werden. Es verfolgt verschiedene Faktoren der API-Anfragen, wie z. B. den Nutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, die spezifische API, die angefordert wurde, den angeforderten Bucket und die Anzahl der durchgeführten API-Aufrufe. Weitere Informationen darüber, welche Faktoren der API-Anforderung für die Benutzeridentität, die die Anforderung aufgerufen hat, ungewöhnlich sind, finden Sie in den [Erkenntnisdetails](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

## Discovery:S3/MaliciousIPCaller
<a name="discovery-s3-maliciousipcaller"></a>

### Eine S3-API, die häufig zur Erkennung von Ressourcen in einer AWS Umgebung verwendet wird, wurde von einer bekannten bösartigen IP-Adresse aus aufgerufen.
<a name="discovery-s3-maliciousipcaller_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle:** CloudTrail Datenereignisse für S3

Dieses Ergebnis informiert Sie darüber, dass ein S3-API-Vorgang von einer IP-Adresse aus aufgerufen wurde, die mit bekannten böswilligen Aktivitäten in Verbindung steht. Die beobachtete API wird häufig mit der Erkennungsphase eines Angriffs in Verbindung gebracht, in der ein Angreifer Informationen über Ihre AWS Umgebung sammelt. Beispiele hierfür sind `GetObjectAcl` und `ListObjects`.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

## Discovery:S3/MaliciousIPCaller.Custom
<a name="discovery-s3-maliciousipcallercustom"></a>

### Eine S3-API wurde von einer IP-Adresse aufgerufen, die sich auf einer benutzerdefinierten Bedrohungsliste befindet.
<a name="discovery-s3-maliciousipcallercustom_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle:** CloudTrail Datenereignisse für S3

Dieses Ergebnis informiert Sie darüber, dass eine S3-API, wie z. B. `GetObjectAcl` oder `ListObjects` von einer IP-Adresse aufgerufen wurde, die auf einer von Ihnen hochgeladenen Bedrohungsliste steht. Die mit dieser Erkenntnis verknüpfte Bedrohungsliste ist im Abschnitt **Zusätzliche Informationen** der Details zu einer Erkenntnis aufgeführt. Die beobachtete API wird häufig mit der Erkennungsphase eines Angriffs in Verbindung gebracht, in der ein Angreifer Informationen sammelt, um festzustellen, ob Ihre AWS -Umgebung für einen umfassenderen Angriff anfällig ist.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

## Discovery:S3/TorIPCaller
<a name="discovery-s3-toripcaller"></a>

### Eine S3-API wurde von einer Tor-Ausgangsknotens-IP-Adresse aufgerufen.
<a name="discovery-s3-toripcaller_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle:** CloudTrail Datenereignisse für S3

Diese Erkenntnis informiert Sie darüber, dass eine S3-API, wie `GetObjectAcl` oder`ListObjects`, von einer IP-Adresse des Tor-Ausgangsknotens aus aufgerufen wurde. Diese Art von Aktivität steht im Zusammenhang mit der Erkennungsphase eines Angriffs, in der ein Angreifer Informationen sammelt, um festzustellen, ob Ihre AWS Umgebung für einen umfassenderen Angriff anfällig ist. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese nach dem Zufallsprinzip durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dies kann auf einen unbefugten Zugriff auf Ihre AWS Ressourcen hinweisen, um die wahre Identität des Angreifers zu verbergen.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

## Exfiltration:S3/AnomalousBehavior
<a name="exfiltration-s3-anomalousbehavior"></a>

### Eine IAM-Entität hat eine S3-API auf verdächtige Weise aufgerufen.
<a name="exfiltration-s3-anomalousbehavior_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle:** CloudTrail Datenereignisse für S3

Diese Erkenntnis informiert Sie darüber, dass eine IAM-Entität API-Aufrufe tätigt, die einen S3-Bucket betreffen, und dass sich diese Aktivität von der festgelegten Basisaktivität dieser Entität unterscheidet. Der in dieser Aktivität verwendete API-Aufruf steht im Zusammenhang mit der Exfiltrationsphase eines Angriffs, in der ein Angreifer versucht, Daten zu sammeln. Diese Aktivität ist verdächtig, da die Art und Weise, wie die IAM-Entität die API aufgerufen hat, ungewöhnlich war. Beispielsweise ruft eine IAM-Entität ohne vorherige Historie eine S3-API auf, oder eine IAM-Entität ruft eine S3-API von einem ungewöhnlichen Ort aus auf. 

Diese API wurde anhand des ML-Modells (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal identifiziert. Das ML-Modell wertet alle API-Anfragen an Ihr Konto aus und identifiziert anomale Ereignisse, die mit Techniken von Angreifern in Verbindung gebracht werden. Es verfolgt verschiedene Faktoren der API-Anfragen, wie z. B. den Nutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, die spezifische API, die angefordert wurde, den angeforderten Bucket und die Anzahl der durchgeführten API-Aufrufe. Weitere Informationen darüber, welche Faktoren der API-Anforderung für die Benutzeridentität, die die Anforderung aufgerufen hat, ungewöhnlich sind, finden Sie in den [Erkenntnisdetails](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

## Exfiltration:S3/MaliciousIPCaller
<a name="exfiltration-s3-maliciousipcaller"></a>

### Eine S3-API, die üblicherweise zum Sammeln von Daten aus einer AWS Umgebung verwendet wird, wurde von einer bekannten bösartigen IP-Adresse aus aufgerufen.
<a name="exfiltration-s3-maliciousipcaller_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle:** CloudTrail Datenereignisse für S3

Dieses Ergebnis informiert Sie darüber, dass ein S3-API-Vorgang von einer IP-Adresse aus aufgerufen wurde, die mit bekannten böswilligen Aktivitäten in Verbindung steht. Die beobachtete API wird häufig mit Exfiltrationstaktiken in Verbindung gebracht, bei denen ein Angreifer versucht, Daten aus Ihrem Netzwerk zu sammeln. Beispiele hierfür sind `GetObject` und `CopyObject`.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

## Impact:S3/AnomalousBehavior.Delete
<a name="impact-s3-anomalousbehavior-delete"></a>

### Eine IAM-Entität hat eine S3-API aufgerufen, die versucht, Daten auf verdächtige Weise zu löschen.
<a name="impact-s3-anomalousbehavior-delete_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle:** CloudTrail Datenereignisse für S3

Dieses Ergebnis informiert Sie darüber, dass eine IAM-Entität in Ihrer AWS Umgebung API-Aufrufe tätigt, die einen S3-Bucket betreffen, und dass sich dieses Verhalten von der festgelegten Baseline dieser Entität unterscheidet. Der in dieser Aktivität verwendete API-Aufruf steht im Zusammenhang mit einem Angriff, bei dem versucht wird, Daten zu löschen. Diese Aktivität ist verdächtig, da die Art und Weise, wie die IAM-Entität die API aufgerufen hat, ungewöhnlich war. Beispielsweise ruft eine IAM-Entität ohne vorherige Historie eine S3-API auf, oder eine IAM-Entität ruft eine S3-API von einem ungewöhnlichen Ort aus auf.

Diese API wurde durch das ML-Modell (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal identifiziert. Das ML-Modell wertet alle API-Anfragen an Ihr Konto aus und identifiziert anomale Ereignisse, die mit Techniken von Angreifern in Verbindung gebracht werden. Es verfolgt verschiedene Faktoren der API-Anfragen, wie z. B. den Nutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, die spezifische API, die angefordert wurde, den angeforderten Bucket und die Anzahl der durchgeführten API-Aufrufe. Weitere Informationen darüber, welche Faktoren der API-Anforderung für die Benutzeridentität, die die Anforderung aufgerufen hat, ungewöhnlich sind, finden Sie in den [Erkenntnisdetails](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

Wir empfehlen eine Prüfung des Inhalts Ihres S3-Buckets, um festzustellen, ob die vorherige Objektversion wiederhergestellt werden kann oder sollte.

## Impact:S3/AnomalousBehavior.Permission
<a name="impact-s3-anomalousbehavior-permission"></a>

### Eine API, die häufig zum Festlegen der Berechtigungen für Zugriffssteuerungslisten (ACL) verwendet wird, wurde auf ungewöhnliche Weise aufgerufen.
<a name="impact-s3-anomalousbehavior-permission_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle: CloudTrail Datenereignisse** für S3

Dieses Ergebnis informiert Sie darüber, dass eine IAM-Entität in Ihrer AWS Umgebung eine Bucket-Richtlinie oder ACL für die aufgelisteten S3-Buckets aktualisiert hat. Durch diese Änderung können Ihre S3-Buckets allen authentifizierten Benutzern öffentlich zugänglich gemacht werden. AWS 

Diese API wurde durch das ML-Modell (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal identifiziert. Das ML-Modell wertet alle API-Anfragen an Ihr Konto aus und identifiziert anomale Ereignisse, die mit Techniken von Angreifern in Verbindung gebracht werden. Es verfolgt verschiedene Faktoren der API-Anfragen, wie z. B. den Nutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, die spezifische API, die angefordert wurde, den angeforderten Bucket und die Anzahl der durchgeführten API-Aufrufe. Weitere Informationen darüber, welche Faktoren der API-Anforderung für die Benutzeridentität, die die Anforderung aufgerufen hat, ungewöhnlich sind, finden Sie in den [Erkenntnisdetails](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

Wir empfehlen eine Prüfung des Inhalts Ihres S3-Buckets, um sicherzustellen, dass kein unerwarteter öffentlicher Zugriff auf Objekte gewährt wurde.

## Impact:S3/AnomalousBehavior.Write
<a name="impact-s3-anomalousbehavior-write"></a>

### Eine IAM-Entität hat eine S3-API aufgerufen, die versucht, Daten auf verdächtige Weise zu schreiben.
<a name="impact-s3-anomalousbehavior-write_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle: CloudTrail Datenereignisse** für S3

Dieses Ergebnis informiert Sie darüber, dass eine IAM-Entität in Ihrer AWS Umgebung API-Aufrufe tätigt, die einen S3-Bucket betreffen, und dass sich dieses Verhalten von der festgelegten Baseline dieser Entität unterscheidet. Der in dieser Aktivität verwendete API-Aufruf steht im Zusammenhang mit einem Angriff, bei dem versucht wird, Daten zu schreiben. Diese Aktivität ist verdächtig, da die Art und Weise, wie die IAM-Entität die API aufgerufen hat, ungewöhnlich war. Beispielsweise ruft eine IAM-Entität ohne vorherige Historie eine S3-API auf, oder eine IAM-Entität ruft eine S3-API von einem ungewöhnlichen Ort aus auf.

Diese API wurde durch das ML-Modell (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal identifiziert. Das ML-Modell wertet alle API-Anfragen an Ihr Konto aus und identifiziert anomale Ereignisse, die mit Techniken von Angreifern in Verbindung gebracht werden. Es verfolgt verschiedene Faktoren der API-Anfragen, wie z. B. den Nutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, die spezifische API, die angefordert wurde, den angeforderten Bucket und die Anzahl der durchgeführten API-Aufrufe. Weitere Informationen darüber, welche Faktoren der API-Anforderung für die Benutzeridentität, die die Anforderung aufgerufen hat, ungewöhnlich sind, finden Sie in den [Erkenntnisdetails](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

Wir empfehlen eine Prüfung des Inhalts Ihres S3-Buckets, um sicherzustellen, dass bei diesem API-Aufruf keine schädlichen oder unautorisierten Daten geschrieben wurden.

## Impact:S3/MaliciousIPCaller
<a name="impact-s3-maliciousipcaller"></a>

### Eine S3-API, die häufig zur Manipulation von Daten oder Prozessen in einer AWS Umgebung verwendet wird, wurde von einer bekannten bösartigen IP-Adresse aus aufgerufen.
<a name="impact-s3-maliciousipcaller_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle:** CloudTrail Datenereignisse für S3

Dieses Ergebnis informiert Sie darüber, dass ein S3-API-Vorgang von einer IP-Adresse aus aufgerufen wurde, die mit bekannten böswilligen Aktivitäten in Verbindung steht. Die beobachtete API wird häufig mit Schlagtaktiken in Verbindung gebracht, bei denen ein Angreifer versucht, Daten in Ihrer Umgebung zu manipulieren, zu unterbrechen oder zu zerstören. AWS Beispiele hierfür sind `PutObject` und `PutObjectAcl`.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

## PenTest:S3/KaliLinux
<a name="pentest-s3-kalilinux"></a>

### Eine S3-API wurde von einem Kali-Linux-Computer aus aufgerufen.
<a name="pentest-s3-kalilinux_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle: CloudTrail Datenereignisse** für S3

Dieses Ergebnis informiert Sie darüber, dass ein Computer, auf dem Kali Linux ausgeführt wird, S3-API-Aufrufe mit Anmeldeinformationen durchführt, die zu Ihrem AWS Konto gehören. Ihre Anmeldeinformationen wurden möglicherweise kompromittiert. Kali Linux ist ein beliebtes Tool für Penetrationstests, das von Sicherheitsexperten verwendet wird, um Schwachstellen in EC2-Instances zu erkennen, für die Patches erforderlich sind. Angreifer verwenden dieses Tool auch, um Schwachstellen in der EC2-Konfiguration zu finden und sich unbefugten Zugriff auf Ihre AWS Umgebung zu verschaffen.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

## PenTest:S3/ParrotLinux
<a name="pentest-s3-parrotlinux"></a>

### Eine S3-API wurde von einem Computer mit Parrot Security Linux aufgerufen.
<a name="pentest-s3-parrotlinux_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle:** CloudTrail Datenereignisse für S3

Dieses Ergebnis informiert Sie darüber, dass ein Computer, auf dem Parrot Security Linux ausgeführt wird, S3-API-Aufrufe mit Anmeldeinformationen durchführt, die zu Ihrem AWS Konto gehören. Ihre Anmeldeinformationen wurden möglicherweise kompromittiert. Parrot Security Linux ist ein beliebtes Tool für Penetrationstests, das von Sicherheitsexperten verwendet wird, um Schwachstellen in EC2-Instances zu erkennen, für die Patches erforderlich sind. Dieses Tool wird allerdings auch von Angreifern verwendet, um Schwächen in der EC2-Konfiguration zu finden und nicht autorisierten Zugriff auf Ihre AWS -Umgebung zu erhalten.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

## PenTest:S3/PentooLinux
<a name="pentest-s3-pentoolinux"></a>

### Eine S3-API wurde von einem Pentoo-Linux-Computer aus aufgerufen.
<a name="pentest-s3-pentoolinux_description"></a>

**Standard-Schweregrad: Mittel**
+ **Datenquelle:** CloudTrail Datenereignisse für S3

Dieses Ergebnis informiert Sie darüber, dass ein Computer, auf dem Pentoo Linux ausgeführt wird, S3-API-Aufrufe mit Anmeldeinformationen durchführt, die zu Ihrem AWS Konto gehören. Ihre Anmeldeinformationen wurden möglicherweise kompromittiert. Pentoo Linux ist ein beliebtes Tool für Penetrationstests, das von Sicherheitsexperten verwendet wird, um Schwachstellen in EC2-Instances zu erkennen, für die Patches erforderlich sind. Angreifer verwenden dieses Tool auch, um Schwachstellen in der EC2-Konfiguration zu finden und sich unbefugten Zugriff auf Ihre AWS Umgebung zu verschaffen.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

## Policy:S3/AccountBlockPublicAccessDisabled
<a name="policy-s3-accountblockpublicaccessdisabled"></a>

### Eine IAM-Entität hat eine API aufgerufen, die verwendet wird, um Amazon S3 Block Public Access auf einen Bucket zu deaktivieren.
<a name="policy-s3-accountblockpublicaccessdisabled_description"></a>

**Standard-Schweregrad: Niedrig**
+ **Datenquelle: CloudTrail Verwaltungsereignisse**

Diese Erkenntnis informiert Sie darüber, dass Amazon S3 Block Public Access auf Kontoebene deaktiviert wurde. Wenn die S3 Block Public Access-Einstellungen aktiviert sind, werden sie als Sicherheitsmaßnahme verwendet, um die Richtlinien oder Zugriffskontrolllisten (ACLs) in Buckets zu filtern, um eine versehentliche Offenlegung von Daten zu verhindern. 

In der Regel ist S3 Block Public Access deaktiviert, um den öffentlichen Zugriff auf einen Bucket oder die Objekte im Bucket zuzulassen. Wenn S3 Block Public Access für ein Konto deaktiviert ist, wird der Zugriff auf Ihre Buckets durch die Richtlinien oder die Einstellungen für Block Public Access auf Bucket-Ebene gesteuert ACLs, die auf Ihre individuellen Buckets angewendet wurden. Dies bedeutet nicht, dass der Bucket öffentlich freigegeben ist. Sie sollten die auf den Bucket angewendeten Berechtigungen jedoch überprüfen, um sicherzustellen, dass die passenden Zugangsebenen angewendet werden.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

## Policy:S3/BucketAnonymousAccessGranted
<a name="policy-s3-bucketanonymousaccessgranted"></a>

### Ein IAM-Principal hat den Zugriff auf einen S3-Bucket auf das Internet gewährt, indem er die Bucket-Richtlinien geändert hat oder. ACLs
<a name="policy-s3-bucketanonymousaccessgranted_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle: CloudTrail Verwaltungsereignisse**

Diese Erkenntnis informiert Sie darüber, dass der aufgelistete S3-Bucket im Internet öffentlich zugänglich gemacht wurde, weil eine IAM-Entität eine Bucket-Richtlinie oder ACL für diesen Bucket geändert hat. 

Nachdem eine Änderung an der Richtlinie oder der Zugriffssteuerungsliste erkannt wurde, GuardDuty verwendet es automatisiertes Argumentieren auf Basis von [Zelkova](https://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/), um festzustellen, ob der Bucket öffentlich zugänglich ist.

**Anmerkung**  
Wenn die Richtlinien eines Buckets ACLs oder eines Buckets so konfiguriert sind, dass sie explizit oder alles verweigern, spiegelt dieses Ergebnis möglicherweise nicht den aktuellen Status des Buckets wider. Diese Erkenntnis spiegelt nicht die Einstellungen für den [öffentlichen Zugriff in S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html), die möglicherweise für Ihren S3-Bucket aktiviert wurden, wider. In solchen Fällen wird der `effectivePermission`-Wert im Ergebnis als `UNKNOWN` markiert.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

## Policy:S3/BucketBlockPublicAccessDisabled
<a name="policy-s3-bucketblockpublicaccessdisabled"></a>

### Ein IAM-Prinzipal hat eine API aufgerufen, die verwendet wird, um S3 Block Public Access auf einen Bucket zu deaktivieren.
<a name="policy-s3-bucketblockpublicaccessdisabled_description"></a>

**Standard-Schweregrad: Niedrig**
+ **Datenquelle:** CloudTrail Verwaltungsereignisse

Diese Erkenntnis informiert Sie darüber, dass Block Public Access für den S3-Bucket deaktiviert wurde. Wenn diese Option aktiviert ist, werden die Einstellungen von S3 Block Public Access als Sicherheitsmaßnahme verwendet, um die Richtlinien oder Zugriffskontrolllisten (ACLs) zu filtern, die auf Buckets angewendet werden, um eine versehentliche Offenlegung von Daten zu verhindern. 

In der Regel ist S3 Block Public Access deaktiviert, um den öffentlichen Zugriff auf einen Bucket oder die Objekte im Bucket zuzulassen. Wenn S3 Block Public Access für einen Bucket deaktiviert ist, wird der Zugriff auf den Bucket durch die Richtlinien gesteuert oder ACLs auf ihn angewendet. Dies bedeutet nicht, dass der Bucket öffentlich geteilt wird. Sie sollten jedoch die Richtlinien überprüfen und ACLs auf den Bucket anwenden, um sicherzustellen, dass die entsprechenden Berechtigungen angewendet werden.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

## Policy:S3/BucketPublicAccessGranted
<a name="policy-s3-bucketpublicaccessgranted"></a>

### Ein IAM-Prinzipal hat allen AWS Benutzern öffentlichen Zugriff auf einen S3-Bucket gewährt, indem er die Bucket-Richtlinien geändert hat oder ACLs.
<a name="policy-s3-bucketpublicaccessgranted_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle: CloudTrail Verwaltungsereignisse**

Dieses Ergebnis informiert Sie darüber, dass der aufgelistete S3-Bucket allen authentifizierten AWS Benutzern öffentlich zugänglich gemacht wurde, weil eine IAM-Entität eine Bucket-Richtlinie oder ACL für diesen S3-Bucket geändert hat. 

Nachdem eine Richtlinie- oder ACL-Änderung erkannt wurde, ermittelt GuardDuty anhand automatisierter Argumentation auf Basis von [Zelkova](https://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/), ob der Bucket öffentlich zugänglich ist.

**Anmerkung**  
Wenn die Richtlinien eines Buckets ACLs oder eines Buckets so konfiguriert sind, dass sie explizit oder alles verweigern, spiegelt dieses Ergebnis möglicherweise nicht den aktuellen Status des Buckets wider. Diese Erkenntnis spiegelt nicht die Einstellungen für den [öffentlichen Zugriff in S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html), die möglicherweise für Ihren S3-Bucket aktiviert wurden, wider. In solchen Fällen wird der `effectivePermission`-Wert im Ergebnis als `UNKNOWN` markiert.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

## Stealth:S3/ServerAccessLoggingDisabled
<a name="stealth-s3-serveraccessloggingdisabled"></a>

### S3-Server-Zugriffsprotokollierung für einen Bucket wurde deaktiviert.
<a name="stealth-s3-serveraccessloggingdisabled_description"></a>

**Standard-Schweregrad: Niedrig**
+ **Datenquelle:** CloudTrail Verwaltungsereignisse

Dieses Ergebnis informiert Sie darüber, dass die Protokollierung des S3-Serverzugriffs für einen Bucket in Ihrer AWS Umgebung deaktiviert ist. Wenn diese Option deaktiviert ist, werden keine Webanforderungsprotokolle für Versuche erstellt, auf den identifizierten S3-Bucket zuzugreifen. Aufrufe der S3-Management-API an den Bucket, z. B. [DeleteBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html), werden jedoch weiterhin verfolgt. Wenn die S3-Datenereignisprotokollierung CloudTrail für diesen Bucket aktiviert ist, werden Webanfragen für Objekte innerhalb des Buckets weiterhin verfolgt. Das Deaktivieren der Protokollierung ist eine Methode, die häufig von nicht autorisierten Benutzern verwendet wird, um ihre Spuren zu verwischen. Weitere Informationen zu S3-Protokollen finden Sie unter [S3-Serverzugriffsprotokollierung](https://docs.aws.amazon.com/AmazonS3/latest/dev/ServerLogs.html) und [Optionen für S3-Protokollierung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/logging-with-S3.html).

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

## UnauthorizedAccess:S3/MaliciousIPCaller.Custom
<a name="unauthorizedaccess-s3-maliciousipcallercustom"></a>

### Eine S3-API wurde von einer IP-Adresse aufgerufen, die sich auf einer benutzerdefinierten Bedrohungsliste befindet.
<a name="unauthorizedaccess-s3-maliciousipcallercustom_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle:** CloudTrail Datenereignisse für S3

Diese Erkenntnis informiert Sie darüber, dass ein S3-API-Vorgang, z. B. `PutObject` oder`PutObjectAcl` , von einer IP-Adresse aufgerufen wurde, die auf einer von Ihnen hochgeladenen Bedrohungsliste steht. Die mit dieser Erkenntnis verknüpfte Bedrohungsliste ist im Abschnitt **Zusätzliche Informationen** der Details zu einer Erkenntnis aufgeführt.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

## UnauthorizedAccess:S3/TorIPCaller
<a name="unauthorizedaccess-s3-toripcaller"></a>

### Eine S3-API wurde von einer Tor-Ausgangsknotens-IP-Adresse aufgerufen.
<a name="unauthorizedaccess-s3-toripcaller_description"></a>

**Standard-Schweregrad: Hoch**
+ **Datenquelle:** CloudTrail Datenereignisse für S3

Diese Erkenntnis informiert Sie darüber, dass ein S3-API-Vorgang, wie zum Beispiel `PutObject` oder `PutObjectAcl`, von einer IP-Adresse eines Tor-Ausgangsknotens aus aufgerufen wurde. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese nach dem Zufallsprinzip durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dieser Befund kann auf einen unbefugten Zugriff auf Ihre AWS Ressourcen hinweisen, um die wahre Identität des Angreifers zu verbergen.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

# Suchtypen für EKS-Schutz
<a name="guardduty-finding-types-eks-audit-logs"></a>

Die folgenden Ergebnisse beziehen sich spezifisch auf Amazon EKS-Ressourcen und haben einen **resource\$1type** von. `EKSCluster` Der Schweregrad und die Details der Erkenntnisse unterscheiden sich je nach Erkenntnistyp.

Für alle Ergebnisse vom Typ EKS-Audit-Logs empfehlen wir, dass Sie die betreffende Ressource untersuchen, um festzustellen, ob es sich bei der Aktivität um erwartete oder potenziell bösartige Aktivitäten handelt. Hinweise zur Behebung einer gefährdeten EKS-Auditprotokollressource, die durch einen GuardDuty Befund identifiziert wurde, finden Sie unter. [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md)

**Anmerkung**  
Wenn die Aktivität, aufgrund derer diese Erkenntnisse generiert werden, erwartet wird, sollten Sie erwägen, [Unterdrückungsregeln in GuardDuty](findings_suppression-rule.md) sie hinzuzufügen, um zukünftige Benachrichtigungen zu verhindern.

**Topics**
+ [CredentialAccess:Kubernetes/MaliciousIPCaller](#credentialaccess-kubernetes-maliciousipcaller)
+ [CredentialAccess:Kubernetes/MaliciousIPCaller.Custom](#credentialaccess-kubernetes-maliciousipcallercustom)
+ [CredentialAccess:Kubernetes/SuccessfulAnonymousAccess](#credentialaccess-kubernetes-successfulanonymousaccess)
+ [CredentialAccess:Kubernetes/TorIPCaller](#credentialaccess-kubernetes-toripcaller)
+ [DefenseEvasion:Kubernetes/MaliciousIPCaller](#defenseevasion-kubernetes-maliciousipcaller)
+ [DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom](#defenseevasion-kubernetes-maliciousipcallercustom)
+ [DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess](#defenseevasion-kubernetes-successfulanonymousaccess)
+ [DefenseEvasion:Kubernetes/TorIPCaller](#defenseevasion-kubernetes-toripcaller)
+ [Discovery:Kubernetes/MaliciousIPCaller](#discovery-kubernetes-maliciousipcaller)
+ [Discovery:Kubernetes/MaliciousIPCaller.Custom](#discovery-kubernetes-maliciousipcallercustom)
+ [Discovery:Kubernetes/SuccessfulAnonymousAccess](#discovery-kubernetes-successfulanonymousaccess)
+ [Discovery:Kubernetes/TorIPCaller](#discovery-kubernetes-toripcaller)
+ [Execution:Kubernetes/ExecInKubeSystemPod](#execution-kubernetes-execinkubesystempod)
+ [Impact:Kubernetes/MaliciousIPCaller](#impact-kubernetes-maliciousipcaller)
+ [Impact:Kubernetes/MaliciousIPCaller.Custom](#impact-kubernetes-maliciousipcallercustom)
+ [Impact:Kubernetes/SuccessfulAnonymousAccess](#impact-kubernetes-successfulanonymousaccess)
+ [Impact:Kubernetes/TorIPCaller](#impact-kubernetes-toripcaller)
+ [Persistence:Kubernetes/ContainerWithSensitiveMount](#persistence-kubernetes-containerwithsensitivemount)
+ [Persistence:Kubernetes/MaliciousIPCaller](#persistence-kubernetes-maliciousipcaller)
+ [Persistence:Kubernetes/MaliciousIPCaller.Custom](#persistence-kubernetes-maliciousipcallercustom)
+ [Persistence:Kubernetes/SuccessfulAnonymousAccess](#persistence-kubernetes-successfulanonymousaccess)
+ [Persistence:Kubernetes/TorIPCaller](#persistence-kubernetes-toripcaller)
+ [Policy:Kubernetes/AdminAccessToDefaultServiceAccount](#policy-kubernetes-adminaccesstodefaultserviceaccount)
+ [Policy:Kubernetes/AnonymousAccessGranted](#policy-kubernetes-anonymousaccessgranted)
+ [Policy:Kubernetes/ExposedDashboard](#policy-kubernetes-exposeddashboard)
+ [Policy:Kubernetes/KubeflowDashboardExposed](#policy-kubernetes-kubeflowdashboardexposed)
+ [PrivilegeEscalation:Kubernetes/PrivilegedContainer](#privilegeescalation-kubernetes-privilegedcontainer)
+ [CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed](#credaccess-kubernetes-anomalousbehavior-secretsaccessed)
+ [PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated](#privesc-kubernetes-anomalousbehavior-rolebindingcreated)
+ [Execution:Kubernetes/AnomalousBehavior.ExecInPod](#execution-kubernetes-anomalousbehvaior-execinprod)
+ [PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1PrivilegedContainer](#privesc-kubernetes-anomalousbehavior-workloaddeployed-privcontainer)
+ [Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1ContainerWithSensitiveMount](#privesc-kubernetes-anomalousbehavior-workloaddeployed-containerwithsensitivemount)
+ [Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed](#exec-kubernetes-anomalousbehavior-workloaddeployed)
+ [PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated](#privesc-kubernetes-anomalousbehavior-rolecreated)
+ [Discovery:Kubernetes/AnomalousBehavior.PermissionChecked](#discovery-kubernetes-anomalousbehavrior-permissionchecked)

**Anmerkung**  
Vor Kubernetes Version 1.14 war die `system:unauthenticated` Gruppe standardmäßig mit und verknüpft. `system:discovery` `system:basic-user` **ClusterRoles** Diese Zuordnung kann unbeabsichtigten Zugriff durch anonyme Benutzer ermöglichen. Durch Cluster-Updates werden diese Berechtigungen nicht aufgehoben. Auch wenn Sie Ihren Cluster auf Version 1.14 oder höher aktualisiert haben, sind diese Berechtigungen möglicherweise weiterhin aktiviert. Wir empfehlen, dass Sie die Zuordnung dieser Berechtigungen zu der `system:unauthenticated`-Gruppe aufheben. Anleitungen zum Widerrufen dieser Berechtigungen finden Sie unter [Bewährte Sicherheitsmethoden für Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) im *Amazon EKS-Benutzerhandbuch*.

## CredentialAccess:Kubernetes/MaliciousIPCaller
<a name="credentialaccess-kubernetes-maliciousipcaller"></a>

### Eine API, die häufig für den Zugriff auf Anmeldeinformationen oder Geheimnisse in einem Kubernetes-Cluster verwendet wird, wurde von einer bekannten bösartigen IP-Adresse aus aufgerufen.
<a name="credentialaccess-kubernetes-maliciousipcaller_description"></a>

**Standard-Schweregrad: Hoch**
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer IP-Adresse aus aufgerufen wurde, die mit bekannten böswilligen Aktivitäten in Verbindung steht. Die beobachtete API wird häufig mit der Phase des Zugriffs auf Anmeldeinformationen in Verbindung gebracht, wenn ein Angreifer versucht, Passwörter, Benutzernamen und Zugriffsschlüssel für Ihren Kubernetes-Cluster zu sammeln. 

**Empfehlungen zur Abhilfe:**

Wenn der in der Erkenntnis unter dem Abschnitt `KubernetesUserDetails` angegebene Benutzer `system:anonymous` ist, untersuchen Sie, warum der anonyme Benutzer die API aufrufen durfte. Widerrufen Sie die Berechtigungen, falls erforderlich, indem Sie die Anweisungen unter [Bewährte Methoden für die Sicherheit in Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) im *Amazon-EKS-Benutzerhandbuch* befolgen. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## CredentialAccess:Kubernetes/MaliciousIPCaller.Custom
<a name="credentialaccess-kubernetes-maliciousipcallercustom"></a>

### Eine API, die häufig für den Zugriff auf Anmeldeinformationen oder Geheimnisse in einem Kubernetes-Cluster verwendet wird, wurde von einer IP-Adresse auf einer benutzerdefinierten Bedrohungsliste aus aufgerufen.
<a name="credentialaccess-kubernetes-maliciousipcallercustom_description"></a>

**Standard-Schweregrad: Hoch**
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer IP-Adresse aus aufgerufen wurde, die in einer von Ihnen hochgeladenen Bedrohungsliste enthalten ist. Die mit dieser Erkenntnis verknüpfte Bedrohungsliste ist im Abschnitt **Zusätzliche Informationen** der Details zu einer Erkenntnis aufgeführt. Die beobachtete API wird häufig mit der Taktik des Zugriffs auf Anmeldeinformationen in Verbindung gebracht, wenn ein Angreifer versucht, Passwörter, Benutzernamen und Zugriffsschlüssel für Ihren Kubernetes-Cluster zu sammeln. 

**Empfehlungen zur Abhilfe:**

Falls es sich bei dem in den Ergebnissen unter dem `KubernetesUserDetails` Abschnitt gemeldeten Benutzer um einen handelt`system:anonymous`, untersuchen Sie, warum der anonyme Benutzer die API aufrufen durfte, und widerrufen Sie gegebenenfalls die Berechtigungen, indem Sie die Anweisungen unter [Bewährte Sicherheitsmethoden für Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) im *Amazon EKS-Benutzerhandbuch* befolgen. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## CredentialAccess:Kubernetes/SuccessfulAnonymousAccess
<a name="credentialaccess-kubernetes-successfulanonymousaccess"></a>

### Eine API, die häufig für den Zugriff auf Anmeldeinformationen oder Geheimnisse in einem Kubernetes-Cluster verwendet wird, wurde von einem nicht authentifizierten Benutzer aufgerufen.
<a name="credentialaccess-kubernetes-successfulanonymousaccess_description"></a>

**Standard-Schweregrad: Hoch**
+ **Funktion:** EKS-Prüfprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang vom `system:anonymous`-Benutzer erfolgreich aufgerufen wurde. API-Aufrufe von `system:anonymous` sind nicht authentifiziert. Die beobachtete API wird häufig mit der Taktik des Zugriffs auf Anmeldeinformationen in Verbindung gebracht, wenn ein Angreifer versucht, Passwörter, Benutzernamen und Zugriffsschlüssel für Ihren Kubernetes-Cluster zu sammeln. Diese Aktivität weist darauf hin, dass anonymer oder nicht authentifizierter Zugriff auf die in der Erkenntnis gemeldete API-Aktion zulässig ist und bei anderen Aktionen möglicherweise zulässig ist. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre Anmeldeinformationen kompromittiert wurden. 

**Empfehlungen zur Abhilfe:**

Sie sollten die Berechtigungen überprüfen, die dem `system:anonymous`-Benutzer in Ihrem Cluster gewährt wurden, und sicherstellen, dass alle Berechtigungen benötigt werden. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) im *Amazon-EKS-Benutzerhandbuch*.

Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## CredentialAccess:Kubernetes/TorIPCaller
<a name="credentialaccess-kubernetes-toripcaller"></a>

### Eine API, die häufig für den Zugriff auf Anmeldeinformationen oder Geheimnisse in einem Kubernetes-Cluster verwendet wird, wurde von einer bekannten bösartigen Tor-Ausgangsknotens-Adresse aus aufgerufen.
<a name="credentialaccess-kubernetes-toripcaller_description"></a>

**Standard-Schweregrad: Hoch**
+ **Funktion:** EKS-Auditprotokolle

Die Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer Tor-Ausgangsknotens-IP-Adresse aufgerufen wurde. Die beobachtete API wird häufig mit der Taktik des Zugriffs auf Anmeldeinformationen in Verbindung gebracht, wenn ein Angreifer versucht, Passwörter, Benutzernamen und Zugriffsschlüssel für Ihren Kubernetes-Cluster zu sammeln. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese nach dem Zufallsprinzip durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dies kann auf einen unbefugten Zugriff auf die Kubernetes-Cluster-Ressourcen hinweisen, mit dem Ziel, die wahre Identität des Angreifers zu verbergen. 

**Empfehlungen zur Abhilfe:**

Wenn der in der Erkenntnis unter dem Abschnitt `KubernetesUserDetails` angegebene Benutzer `system:anonymous` ist, untersuchen Sie, warum der anonyme Benutzer die API aufrufen durfte. Widerrufen Sie die Berechtigungen, falls erforderlich, indem Sie die Anweisungen unter [Bewährte Methoden für die Sicherheit in Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) im *Amazon-EKS-Benutzerhandbuch* befolgen. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## DefenseEvasion:Kubernetes/MaliciousIPCaller
<a name="defenseevasion-kubernetes-maliciousipcaller"></a>

### Eine API, die häufig verwendet wird, um Abwehrmaßnahmen zu umgehen, wurde von einer bekannten bösartigen IP-Adresse aus aufgerufen.
<a name="defenseevasion-kubernetes-maliciousipcaller_description"></a>

**Standard-Schweregrad: Hoch**
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer IP-Adresse aus aufgerufen wurde, die mit bekannten böswilligen Aktivitäten in Verbindung steht. Die beobachtete API wird häufig mit Umgehungstaktiken in Verbindung gebracht, bei denen ein Gegner versucht, seine Aktionen zu verbergen, um nicht entdeckt zu werden. 

**Empfehlungen zur Abhilfe:**

Wenn der in der Erkenntnis unter dem Abschnitt `KubernetesUserDetails` angegebene Benutzer `system:anonymous` ist, untersuchen Sie, warum der anonyme Benutzer die API aufrufen durfte. Widerrufen Sie die Berechtigungen, falls erforderlich, indem Sie die Anweisungen unter [Bewährte Methoden für die Sicherheit in Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) im *Amazon-EKS-Benutzerhandbuch* befolgen. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom
<a name="defenseevasion-kubernetes-maliciousipcallercustom"></a>

### Eine API, die üblicherweise zur Umgehung von Abwehrmaßnahmen verwendet wird, wurde von einer IP-Adresse auf einer benutzerdefinierten Bedrohungsliste aufgerufen.
<a name="defenseevasion-kubernetes-maliciousipcallercustom_description"></a>

**Standard-Schweregrad: Hoch**
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer IP-Adresse aus aufgerufen wurde, die in einer von Ihnen hochgeladenen Bedrohungsliste enthalten ist. Die mit dieser Erkenntnis verknüpfte Bedrohungsliste ist im Abschnitt **Zusätzliche Informationen** der Details zu einer Erkenntnis aufgeführt. Die beobachtete API wird häufig mit Umgehungstaktiken in Verbindung gebracht, bei denen ein Gegner versucht, seine Aktionen zu verbergen, um nicht entdeckt zu werden. 

**Empfehlungen zur Abhilfe:**

Wenn der in der Erkenntnis unter dem Abschnitt `KubernetesUserDetails` angegebene Benutzer `system:anonymous` ist, untersuchen Sie, warum der anonyme Benutzer die API aufrufen durfte. Widerrufen Sie die Berechtigungen, falls erforderlich, indem Sie die Anweisungen unter [Bewährte Methoden für die Sicherheit in Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) im *Amazon-EKS-Benutzerhandbuch* befolgen. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess
<a name="defenseevasion-kubernetes-successfulanonymousaccess"></a>

### Eine API, die häufig verwendet wird, um Abwehrmaßnahmen zu umgehen, wurde von einem nicht authentifizierten Benutzer aufgerufen.
<a name="defenseevasion-kubernetes-successfulanonymousaccess_description"></a>

**Standard-Schweregrad: Hoch**
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang vom `system:anonymous`-Benutzer erfolgreich aufgerufen wurde. API-Aufrufe von `system:anonymous` sind nicht authentifiziert. Die beobachtete API wird häufig mit Taktiken zur Umgehung der Verteidigung in Verbindung gebracht, bei der ein Gegner versucht, seine Aktionen zu verbergen, um nicht entdeckt zu werden. Diese Aktivität weist darauf hin, dass anonymer oder nicht authentifizierter Zugriff auf die in der Erkenntnis gemeldete API-Aktion zulässig ist und bei anderen Aktionen möglicherweise zulässig ist. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre Anmeldeinformationen kompromittiert wurden. 

**Empfehlungen zur Abhilfe:**

Sie sollten die Berechtigungen überprüfen, die dem `system:anonymous`-Benutzer in Ihrem Cluster gewährt wurden, und sicherstellen, dass alle Berechtigungen benötigt werden. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) im *Amazon-EKS-Benutzerhandbuch*.

Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## DefenseEvasion:Kubernetes/TorIPCaller
<a name="defenseevasion-kubernetes-toripcaller"></a>

### Eine API, die häufig verwendet wird, um Abwehrmaßnahmen zu umgehen, wurde von einer IP-Adresse des Tor-Ausgangsknotens aus aufgerufen.
<a name="defenseevasion-kubernetes-toripcaller_description"></a>

**Standard-Schweregrad: Hoch**
+ **Funktion:** EKS-Auditprotokolle

Die Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer Tor-Ausgangsknotens-IP-Adresse aufgerufen wurde. Die beobachtete API wird häufig mit Umgehungstaktiken in Verbindung gebracht, bei denen ein Gegner versucht, seine Aktionen zu verbergen, um nicht entdeckt zu werden. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese nach dem Zufallsprinzip durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird Exit-Knoten genannt. Dies kann auf einen unbefugten Zugriff auf Ihren Kubernetes-Cluster hinweisen, der das Ziel hat, die wahre Identität des Angreifers zu verbergen. 

**Empfehlungen zur Abhilfe:**

Wenn der in der Erkenntnis unter dem Abschnitt `KubernetesUserDetails` angegebene Benutzer `system:anonymous` ist, untersuchen Sie, warum der anonyme Benutzer die API aufrufen durfte. Widerrufen Sie die Berechtigungen, falls erforderlich, indem Sie die Anweisungen unter [Bewährte Methoden für die Sicherheit in Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) im *Amazon-EKS-Benutzerhandbuch* befolgen. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## Discovery:Kubernetes/MaliciousIPCaller
<a name="discovery-kubernetes-maliciousipcaller"></a>

### Eine API, die häufig zur Erkennung von Ressourcen in einem Kubernetes-Cluster verwendet wird, wurde von einer IP-Adresse aus aufgerufen.
<a name="discovery-kubernetes-maliciousipcaller_description"></a>

**Standard-Schweregrad: Mittel**
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer IP-Adresse aus aufgerufen wurde, die mit bekannten böswilligen Aktivitäten in Verbindung steht. Die beobachtete API wird häufig in der Erkennungsphase eines Angriffs verwendet, in der ein Angreifer Informationen sammelt, um festzustellen, ob Ihr Kubernetes-Cluster für einen umfassenderen Angriff anfällig ist. 

**Für nicht authentifizierten Zugriff**  
MaliciousIPCallerFür einen nicht authentifizierten Zugriff werden keine Ergebnisse generiert.   
SuccessfulAnonymousAccessErgebnisse werden für einen nicht authentifizierten oder anonymen Zugriff generiert.

**Empfehlungen zur Abhilfe:**

Wenn der in der Erkenntnis unter dem Abschnitt `KubernetesUserDetails` angegebene Benutzer `system:anonymous` ist, untersuchen Sie, warum der anonyme Benutzer die API aufrufen durfte. Widerrufen Sie die Berechtigungen, falls erforderlich, indem Sie die Anweisungen unter [Bewährte Methoden für die Sicherheit in Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) im *Amazon-EKS-Benutzerhandbuch* befolgen. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## Discovery:Kubernetes/MaliciousIPCaller.Custom
<a name="discovery-kubernetes-maliciousipcallercustom"></a>

### Eine API, die häufig zur Erkennung von Ressourcen in einem Kubernetes-Cluster verwendet wird, wurde von einer IP-Adresse aus einer benutzerdefinierten Bedrohungsliste aufgerufen.
<a name="discovery-kubernetes-maliciousipcallercustom_description"></a>

**Standard-Schweregrad: Mittel**
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass eine API von einer IP-Adresse aufgerufen wurde, die in einer von Ihnen hochgeladenen Bedrohungsliste enthalten ist. Die mit dieser Erkenntnis verknüpfte Bedrohungsliste ist im Abschnitt **Zusätzliche Informationen** der Details zu einer Erkenntnis aufgeführt. Die beobachtete API wird häufig in der Erkennungsphase eines Angriffs verwendet, in der ein Angreifer Informationen sammelt, um festzustellen, ob Ihr Kubernetes-Cluster für einen umfassenderen Angriff anfällig ist. 

**Empfehlungen zur Abhilfe:**

Wenn der in der Erkenntnis unter dem Abschnitt `KubernetesUserDetails` angegebene Benutzer `system:anonymous` ist, untersuchen Sie, warum der anonyme Benutzer die API aufrufen durfte. Widerrufen Sie die Berechtigungen, falls erforderlich, indem Sie die Anweisungen unter [Bewährte Methoden für die Sicherheit in Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) im *Amazon-EKS-Benutzerhandbuch* befolgen. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## Discovery:Kubernetes/SuccessfulAnonymousAccess
<a name="discovery-kubernetes-successfulanonymousaccess"></a>

### Eine API, die häufig zur Erkennung von Ressourcen in einem Kubernetes-Cluster verwendet wird, wurde von einem nicht authentifizierten Benutzer aufgerufen.
<a name="discovery-kubernetes-successfulanonymousaccess_description"></a>

**Standard-Schweregrad: Mittel**
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang vom `system:anonymous`-Benutzer erfolgreich aufgerufen wurde. API-Aufrufe von `system:anonymous` sind nicht authentifiziert. Die beobachtete API wird häufig mit der Erkennungsphase eines Angriffs in Verbindung gebracht, in der ein Angreifer Informationen über Ihren Kubernetes-Cluster sammelt. Diese Aktivität weist darauf hin, dass anonymer oder nicht authentifizierter Zugriff auf die in der Erkenntnis gemeldete API-Aktion zulässig ist und bei anderen Aktionen möglicherweise zulässig ist. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre Anmeldeinformationen kompromittiert wurden. 

Dieser Ergebnistyp schließt API-Endpunkte wie`/healthz`, `/livez``/readyz`, und aus. `/version`

**Empfehlungen zur Abhilfe:**

Sie sollten die Berechtigungen überprüfen, die dem `system:anonymous`-Benutzer in Ihrem Cluster gewährt wurden, und sicherstellen, dass alle Berechtigungen benötigt werden. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) im *Amazon-EKS-Benutzerhandbuch*. 

Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## Discovery:Kubernetes/TorIPCaller
<a name="discovery-kubernetes-toripcaller"></a>

### Eine API, die häufig zur Erkennung von Ressourcen in einem Kubernetes-Cluster verwendet wird, wurde von einer IP-Adresse des Tor-Ausgangsknotens aus aufgerufen.
<a name="discovery-kubernetes-toripcaller_description"></a>

**Standard-Schweregrad: Mittel**
+ **Funktion:** EKS-Auditprotokolle

Die Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer Tor-Ausgangsknotens-IP-Adresse aufgerufen wurde. Die beobachtete API wird häufig in der Erkennungsphase eines Angriffs verwendet, in der ein Angreifer Informationen sammelt, um festzustellen, ob Ihr Kubernetes-Cluster für einen umfassenderen Angriff anfällig ist. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese nach dem Zufallsprinzip durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird Exit-Knoten genannt. Dies kann auf einen unbefugten Zugriff auf Ihren Kubernetes-Cluster hinweisen, der das Ziel hat, die wahre Identität des Angreifers zu verbergen. 

**Empfehlungen zur Abhilfe:**

Falls es sich bei dem in den Ergebnissen unter dem `KubernetesUserDetails` Abschnitt gemeldeten Benutzer um einen handelt`system:anonymous`, untersuchen Sie, warum der anonyme Benutzer bei Bedarf den APIand Widerruf der Berechtigungen aufrufen durfte, indem Sie die Anweisungen unter [Bewährte Sicherheitsmethoden für Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) im *Amazon EKS-Benutzerhandbuch* befolgen. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## Execution:Kubernetes/ExecInKubeSystemPod
<a name="execution-kubernetes-execinkubesystempod"></a>

### Ein Befehl wurde in einem Pod innerhalb des `kube-system`-Namespace ausgeführt
<a name="execution-kubernetes-execinkubesystempod_description"></a>

**Standard-Schweregrad: Mittel**
+ **Funktion:** EKS-Prüfprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein Befehl in einem Pod innerhalb des `kube-system`-Namespace mithilfe der **Kubernetes-Exec-API** ausgeführt wurde. `kube-system`-Namespace ist ein Standard-Namespaces, der hauptsächlich für Komponenten auf Systemebene wie `kube-dns` und `kube-proxy` verwendet wird. Es ist sehr ungewöhnlich, Befehle innerhalb von Pods oder Containern unter einem `kube-system`-Namespace auszuführen, was auf verdächtige Aktivitäten hinweisen kann. 

**Empfehlungen zur Abhilfe:**

Wenn die Ausführung dieses Befehls unerwartet erfolgt, können die Anmeldeinformationen der Benutzeridentität, die zur Ausführung des Befehls verwendet wurde, kompromittiert sein. Sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## Impact:Kubernetes/MaliciousIPCaller
<a name="impact-kubernetes-maliciousipcaller"></a>

### Eine API, die häufig zur Manipulation von Ressourcen in einem Kubernetes-Cluster verwendet wird, wurde von einer bekannten bösartigen IP-Adresse aus aufgerufen.
<a name="impact-kubernetes-maliciousipcaller_description"></a>

**Standard-Schweregrad: Hoch**
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer IP-Adresse aus aufgerufen wurde, die mit bekannten böswilligen Aktivitäten in Verbindung steht. Die beobachtete API wird häufig mit Schlagtaktiken in Verbindung gebracht, bei denen ein Angreifer versucht, Daten in Ihrer Umgebung zu manipulieren, zu unterbrechen oder zu zerstören. AWS 

**Empfehlungen zur Abhilfe:**

Wenn der in der Erkenntnis unter dem Abschnitt `KubernetesUserDetails` angegebene Benutzer `system:anonymous` ist, untersuchen Sie, warum der anonyme Benutzer die API aufrufen durfte. Widerrufen Sie die Berechtigungen, falls erforderlich, indem Sie die Anweisungen unter [Bewährte Methoden für die Sicherheit in Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) im *Amazon-EKS-Benutzerhandbuch* befolgen. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## Impact:Kubernetes/MaliciousIPCaller.Custom
<a name="impact-kubernetes-maliciousipcallercustom"></a>

### Eine API, die häufig zur Manipulation von Ressourcen in einem Kubernetes-Cluster verwendet wird, wurde von einer IP-Adresse auf einer benutzerdefinierten Bedrohungsliste aufgerufen.
<a name="impact-kubernetes-maliciousipcallercustom_description"></a>

**Standard-Schweregrad: Hoch**
+ **Funktion: EKS-Auditprotokolle**

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer IP-Adresse aus aufgerufen wurde, die in einer von Ihnen hochgeladenen Bedrohungsliste enthalten ist. Die mit dieser Erkenntnis verknüpfte Bedrohungsliste ist im Abschnitt **Zusätzliche Informationen** der Details zu einer Erkenntnis aufgeführt. Die beobachtete API wird häufig mit Schlagtaktiken in Verbindung gebracht, bei denen ein Angreifer versucht, Daten in Ihrer Umgebung zu manipulieren, zu unterbrechen oder zu zerstören. AWS 

**Empfehlungen zur Abhilfe:**

Wenn der in der Erkenntnis unter dem Abschnitt `KubernetesUserDetails` angegebene Benutzer `system:anonymous` ist, untersuchen Sie, warum der anonyme Benutzer die API aufrufen durfte. Widerrufen Sie die Berechtigungen, falls erforderlich, indem Sie die Anweisungen unter [Bewährte Methoden für die Sicherheit in Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) im *Amazon-EKS-Benutzerhandbuch* befolgen. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## Impact:Kubernetes/SuccessfulAnonymousAccess
<a name="impact-kubernetes-successfulanonymousaccess"></a>

### Eine API, die häufig zur Manipulation von Ressourcen in einem Kubernetes-Cluster verwendet wird, wurde von einem nicht authentifizierten Benutzer aufgerufen.
<a name="impact-kubernetes-successfulanonymousaccess_description"></a>

**Standard-Schweregrad: Hoch**
+ **Funktion: EKS-Auditprotokolle**

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang vom `system:anonymous`-Benutzer erfolgreich aufgerufen wurde. API-Aufrufe von `system:anonymous` sind nicht authentifiziert. Die beobachtete API wird häufig mit der Auswirkungsphase eines Angriffs in Verbindung gebracht, wenn ein Angreifer Ressourcen in Ihrem Cluster manipuliert. Diese Aktivität weist darauf hin, dass anonymer oder nicht authentifizierter Zugriff auf die in der Erkenntnis gemeldete API-Aktion zulässig ist und bei anderen Aktionen möglicherweise zulässig ist. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre Anmeldeinformationen kompromittiert wurden. 

**Empfehlungen zur Abhilfe:**

Sie sollten die Berechtigungen überprüfen, die dem `system:anonymous`-Benutzer in Ihrem Cluster gewährt wurden, und sicherstellen, dass alle Berechtigungen benötigt werden. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) im *Amazon-EKS-Benutzerhandbuch*.

Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## Impact:Kubernetes/TorIPCaller
<a name="impact-kubernetes-toripcaller"></a>

### Eine API, die häufig verwendet wird, um Ressourcen in einem Kubernetes-Cluster zu manipulieren, wurde von einer IP-Adresse des Tor-Ausgangsknotens aus aufgerufen.
<a name="impact-kubernetes-toripcaller_description"></a>

**Standard-Schweregrad: Hoch**
+ **Funktion:** EKS-Auditprotokolle

Die Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer Tor-Ausgangsknotens-IP-Adresse aufgerufen wurde. Die beobachtete API wird häufig mit Auswirkungstaktiken in Verbindung gebracht, bei denen ein Angreifer versucht, Daten in Ihrer AWS -Umgebung zu manipulieren, zu unterbrechen oder zu zerstören. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese nach dem Zufallsprinzip durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird Exit-Knoten genannt. Dies kann auf einen unbefugten Zugriff auf Ihren Kubernetes-Cluster hinweisen, der das Ziel hat, die wahre Identität des Angreifers zu verbergen. 

**Empfehlungen zur Abhilfe:**

Wenn der in der Erkenntnis unter dem Abschnitt `KubernetesUserDetails` angegebene Benutzer `system:anonymous` ist, untersuchen Sie, warum der anonyme Benutzer die API aufrufen durfte. Widerrufen Sie die Berechtigungen, falls erforderlich, indem Sie die Anweisungen unter [Bewährte Methoden für die Sicherheit in Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) im *Amazon-EKS-Benutzerhandbuch* befolgen. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## Persistence:Kubernetes/ContainerWithSensitiveMount
<a name="persistence-kubernetes-containerwithsensitivemount"></a>

### Ein Container wurde gestartet, in dem ein sensibler externer Host-Pfad eingehängt war.
<a name="persistence-kubernetes-containerwithsensitivemount_description"></a>

**Standard-Schweregrad: Mittel**
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein Container mit einer Konfiguration gestartet wurde, die im Abschnitt `volumeMounts` einen sensiblen Host-Pfad mit Schreibzugriff enthielt. Dadurch ist der sensible Host-Pfad vom Container aus zugänglich und beschreibbar. Diese Technik wird häufig von Gegnern verwendet, um Zugriff auf das Dateisystem des Hosts zu erhalten. 

**Empfehlungen zur Abhilfe:**

Wenn dieser Container-Start unerwartet erfolgt, können die Anmeldeinformationen der Benutzeridentität, die zum Starten des Containers verwendet wurde, kompromittiert sein. Sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md). 

Wenn dieser Container-Start erwartet wird, wird empfohlen, eine Unterdrückungsregel zu verwenden, die aus Filterkriterien besteht, die auf dem Feld `resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix` basieren. In den Filterkriterien sollte das `imagePrefix`-Feld dem in der Erkenntnis angegebenen Feld `imagePrefix` entsprechen. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter [Unterdrückungsregeln](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule).

## Persistence:Kubernetes/MaliciousIPCaller
<a name="persistence-kubernetes-maliciousipcaller"></a>

### Eine API, die üblicherweise verwendet wird, um dauerhaften Zugriff auf einen Kubernetes-Cluster zu erhalten, wurde von einer bekannten bösartigen IP-Adresse aus aufgerufen.
<a name="persistence-kubernetes-maliciousipcaller_description"></a>

**Standard-Schweregrad: Mittel**
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer IP-Adresse aus aufgerufen wurde, die mit bekannten böswilligen Aktivitäten in Verbindung steht. Die beobachtete API wird häufig mit Persistenz-Taktiken in Verbindung gebracht, bei denen sich ein Angreifer Zugriff auf Ihren Kubernetes-Cluster verschafft hat und versucht, diesen Zugriff aufrechtzuerhalten. 

**Empfehlungen zur Abhilfe:**

Wenn der in der Erkenntnis unter dem Abschnitt `KubernetesUserDetails` angegebene Benutzer `system:anonymous` ist, untersuchen Sie, warum der anonyme Benutzer die API aufrufen durfte. Widerrufen Sie die Berechtigungen, falls erforderlich, indem Sie die Anweisungen unter [Bewährte Methoden für die Sicherheit in Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) im *Amazon-EKS-Benutzerhandbuch* befolgen. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## Persistence:Kubernetes/MaliciousIPCaller.Custom
<a name="persistence-kubernetes-maliciousipcallercustom"></a>

### Eine API, die häufig verwendet wird, um dauerhaften Zugriff auf einen Kubernetes-Cluster zu erhalten, wurde von einer IP-Adresse aus einer benutzerdefinierten Bedrohungsliste aufgerufen.
<a name="persistence-kubernetes-maliciousipcallercustom_description"></a>

**Standard-Schweregrad: Mittel**
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer IP-Adresse aus aufgerufen wurde, die in einer von Ihnen hochgeladenen Bedrohungsliste enthalten ist. Die mit dieser Erkenntnis verknüpfte Bedrohungsliste ist im Abschnitt **Zusätzliche Informationen** der Details zu einer Erkenntnis aufgeführt. Die beobachtete API wird häufig mit Persistenz-Taktiken in Verbindung gebracht, bei denen sich ein Angreifer Zugriff auf Ihren Kubernetes-Cluster verschafft hat und versucht, diesen Zugriff aufrechtzuerhalten. 

**Empfehlungen zur Abhilfe:**

Wenn der in der Erkenntnis unter dem Abschnitt `KubernetesUserDetails` angegebene Benutzer `system:anonymous` ist, untersuchen Sie, warum der anonyme Benutzer die API aufrufen durfte. Widerrufen Sie die Berechtigungen, falls erforderlich, indem Sie die Anweisungen unter [Bewährte Methoden für die Sicherheit in Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) im *Amazon-EKS-Benutzerhandbuch* befolgen. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## Persistence:Kubernetes/SuccessfulAnonymousAccess
<a name="persistence-kubernetes-successfulanonymousaccess"></a>

### Eine API, die häufig verwendet wird, um hochgradige Berechtigungen für einen Kubernetes-Cluster zu erhalten, wurde von einem nicht authentifizierten Benutzer aufgerufen.
<a name="persistence-kubernetes-successfulanonymousaccess_description"></a>

**Standard-Schweregrad: Hoch**
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang vom `system:anonymous`-Benutzer erfolgreich aufgerufen wurde. API-Aufrufe von `system:anonymous` sind nicht authentifiziert. Die beobachtete API wird häufig mit Persistenztaktiken in Verbindung gebracht, bei denen sich ein Angreifer Zugriff auf Ihren Cluster verschafft hat und versucht, diesen Zugriff aufrechtzuerhalten. Diese Aktivität weist darauf hin, dass anonymer oder nicht authentifizierter Zugriff auf die in der Erkenntnis gemeldete API-Aktion zulässig ist und bei anderen Aktionen möglicherweise zulässig ist. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre Anmeldeinformationen kompromittiert wurden. 

**Empfehlungen zur Abhilfe:**

Sie sollten die Berechtigungen überprüfen, die dem `system:anonymous`-Benutzer in Ihrem Cluster gewährt wurden, und sicherstellen, dass alle Berechtigungen benötigt werden. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) im *Amazon-EKS-Benutzerhandbuch*. 

Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## Persistence:Kubernetes/TorIPCaller
<a name="persistence-kubernetes-toripcaller"></a>

### Eine API, die häufig verwendet wird, um dauerhaften Zugriff auf einen Kubernetes-Cluster zu erhalten, wurde von einer IP-Adresse des Tor-Ausgangsknotens aus aufgerufen.
<a name="persistence-kubernetes-toripcaller_description"></a>

**Standard-Schweregrad: Mittel**
+ **Funktion:** EKS-Auditprotokolle

Die Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer Tor-Ausgangsknotens-IP-Adresse aufgerufen wurde. Die beobachtete API wird häufig mit Persistenz-Taktiken in Verbindung gebracht, bei denen sich ein Angreifer Zugriff auf Ihren Kubernetes-Cluster verschafft hat und versucht, diesen Zugriff aufrechtzuerhalten. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese nach dem Zufallsprinzip durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dies kann auf einen unbefugten Zugriff auf Ihre AWS Ressourcen hinweisen, mit der Absicht, die wahre Identität des Angreifers zu verbergen. 

**Empfehlungen zur Abhilfe:**

Wenn der in der Erkenntnis unter dem Abschnitt `KubernetesUserDetails` angegebene Benutzer `system:anonymous` ist, untersuchen Sie, warum der anonyme Benutzer die API aufrufen durfte. Widerrufen Sie die Berechtigungen, falls erforderlich, indem Sie die Anweisungen unter [Bewährte Methoden für die Sicherheit in Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) im *Amazon-EKS-Benutzerhandbuch* befolgen. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## Policy:Kubernetes/AdminAccessToDefaultServiceAccount
<a name="policy-kubernetes-adminaccesstodefaultserviceaccount"></a>

### Dem Standard-Servicekonto wurden Administratorrechte auf einem Kubernetes-Cluster gewährt.
<a name="policy-kubernetes-adminaccesstodefaultserviceaccount_description"></a>

**Standard-Schweregrad: Hoch**
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass dem Standard-Servicekonto für einen Namespace in Ihrem Kubernetes-Cluster Administratorrechte gewährt wurden. Kubernetes erstellt ein Standard-Servicekonto für alle Namespaces im Cluster. Es weist Pods, die nicht explizit einem anderen Servicekonto zugeordnet wurden, automatisch das Standard-Servicekonto als Identität zu. Wenn das Standard-Servicekonto über Administratorrechte verfügt, kann dies dazu führen, dass Pods unbeabsichtigt mit Administratorrechten gestartet werden. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre Anmeldeinformationen kompromittiert wurden. 

**Empfehlungen zur Abhilfe:**

Sie sollten nicht das Standard-Servicekonto verwenden, um Pods Berechtigungen zu erteilen. Stattdessen sollten Sie für jeden Workload ein eigenes Servicekonto erstellen und diesem Konto je nach Bedarf Berechtigungen erteilen. Um dieses Problem zu beheben, sollten Sie spezielle Servicekonten für all Ihre Pods und Workloads erstellen und die Pods und Workloads aktualisieren, um vom Standard-Servicekonto zu ihren dedizierten Konten zu migrieren. Anschließend sollten Sie die Administratorberechtigung aus dem Standard-Servicekonto entfernen. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## Policy:Kubernetes/AnonymousAccessGranted
<a name="policy-kubernetes-anonymousaccessgranted"></a>

### Dem `system:anonymous`-Benutzer wurde die API-Berechtigung für einen Kubernetes-Cluster erteilt.
<a name="policy-kubernetes-anonymousaccessgranted_description"></a>

**Standard-Schweregrad: Hoch**
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein Benutzer in Ihrem Kubernetes-Cluster erfolgreich ein `ClusterRoleBinding` oder `RoleBinding` erstellt hat, um den Benutzer `system:anonymous` an eine Rolle zu binden. Dies ermöglicht einen nicht authentifizierten Zugriff auf die API-Vorgänge, die von der Rolle zugelassen werden. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre Anmeldeinformationen kompromittiert wurden. 

**Empfehlungen zur Abhilfe:**

Sie sollten die Berechtigungen überprüfen, die dem `system:anonymous`-Benutzer oder der `system:unauthenticated`-Gruppe in Ihrem Cluster gewährt wurden, und unnötigen anonymen Zugriff widerrufen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) im *Amazon-EKS-Benutzerhandbuch*. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## Policy:Kubernetes/ExposedDashboard
<a name="policy-kubernetes-exposeddashboard"></a>

### Das Dashboard für einen Kubernetes-Cluster war im Internet verfügbar
<a name="policy-kubernetes-exposeddashboard_description"></a>

**Standard-Schweregrad: Mittel**
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass das Kubernetes-Dashboard für Ihren Cluster über einen Load Balancer-Service dem Internet zugänglich gemacht wurde. Ein offengelegtes Dashboard ermöglicht den Zugriff auf die Verwaltungsoberfläche Ihres Clusters über das Internet und ermöglicht es Gegnern, eventuell vorhandene Lücken in der Authentifizierungs- und Zugriffssteuerung auszunutzen. 

**Empfehlungen zur Abhilfe:**

Sie sollten sicherstellen, dass im Kubernetes-Dashboard eine starke Authentifizierung und Autorisierung durchgesetzt wird. Sie sollten auch eine Netzwerk-Zugriffssteuerung implementieren, um den Zugriff auf das Dashboard von bestimmten IP-Adressen aus zu beschränken. 

Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## Policy:Kubernetes/KubeflowDashboardExposed
<a name="policy-kubernetes-kubeflowdashboardexposed"></a>

### Das **Kubeflow**-Dashboard für einen Kubernetes-Cluster war im Internet verfügbar
<a name="policy-kubernetes-kubeflowdashboardexposed_description"></a>

**Standard-Schweregrad: Mittel**
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass das **Kubeflow-Dashboard** für Ihren Cluster über einen Load Balancer-Service dem Internet zugänglich gemacht wurde. Ein offengelegtes **Kubeflow**-Dashboard ermöglicht den Zugriff auf die Verwaltungsoberfläche Ihrer **Kubeflow**-Umgebung über das Internet und ermöglicht es Gegnern, eventuell vorhandene Lücken in der Authentifizierung und Zugriffssteuerung auszunutzen. 

**Empfehlungen zur Abhilfe:**

Sie sollten sicherstellen, dass im **Kubeflow**-Dashboard eine starke Authentifizierung und Autorisierung durchgesetzt wird. Sie sollten auch eine Netzwerk-Zugriffssteuerung implementieren, um den Zugriff auf das Dashboard von bestimmten IP-Adressen aus zu beschränken.

Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## PrivilegeEscalation:Kubernetes/PrivilegedContainer
<a name="privilegeescalation-kubernetes-privilegedcontainer"></a>

### Ein privilegierter Container mit Zugriff auf Root-Ebene wurde auf Ihrem Kubernetes-Cluster gestartet.
<a name="privilegeescalation-kubernetes-privilegedcontainer_description"></a>

**Standard-Schweregrad: Mittel**
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein privilegierter Container, der auf Ihrem Kubernetes-Cluster mithilfe eines Images gestartet wurde, das noch nie zuvor verwendet wurde, um privilegierte Container in Ihrem Cluster zu starten. Ein privilegierter Container hat Zugriff auf Root-Ebene auf den Host. Angreifer können als Taktik zur Erweiterung ihrer Rechte privilegierte Container starten, um sich Zugriff auf den Host zu verschaffen und ihn dann zu kompromittieren. 

**Empfehlungen zur Abhilfe:**

Wenn dieser Container-Start unerwartet erfolgt, können die Anmeldeinformationen der Benutzeridentität, die zum Starten des Containers verwendet wurde, kompromittiert sein. Sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed
<a name="credaccess-kubernetes-anomalousbehavior-secretsaccessed"></a>

### Eine Kubernetes-API, die häufig für den Zugriff auf Geheimnisse verwendet wird, wurde auf ungewöhnliche Weise aufgerufen.
<a name="credaccess-kubernetes-anomalousbehavior-secretsaccessed_description"></a>

**Standard-Schweregrad: Mittel**
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein Kubernetes-Benutzer in Ihrem Cluster einen anomalen API-Vorgang zum Abrufen vertraulicher Cluster-Geheimnisse aufgerufen hat. Die beobachtete API wird häufig mit Taktiken für den Zugriff auf Anmeldeinformationen in Verbindung gebracht, die zu einer privilegierten Eskalation und weiterem Zugriff innerhalb Ihres Clusters führen können. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre AWS -Anmeldeinformationen kompromittiert wurden.

Die beobachtete API wurde anhand des ML-Modells (Machine Learning) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle Benutzer-API-Aktivitäten innerhalb Ihres EKS-Clusters und identifiziert anomale Ereignisse, die mit Techniken in Verbindung stehen, die von nicht autorisierten Benutzern verwendet werden. Das ML-Modell verfolgt mehrere Faktoren des API-Vorgangs, z. B. den Benutzer, der die Anfrage stellt, den Standort, von dem aus die Anfrage gestellt wurde, den verwendeten Benutzeragenten und den Namespace, den der Benutzer verwendet hat. Die ungewöhnlichen Details der API-Anfrage finden Sie im Bereich mit den Suchdetails in der Konsole. GuardDuty 

**Empfehlungen zur Abhilfe:**

Sie sollten die Berechtigungen überprüfen, die dem Kubernetes-Benutzer in Ihrem Cluster gewährt wurden, und sicherstellen, dass all diese Berechtigungen benötigt werden. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md). 

Falls Ihre AWS Anmeldedaten kompromittiert wurden, finden Sie weitere Informationen unter[Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated
<a name="privesc-kubernetes-anomalousbehavior-rolebindingcreated"></a>

### In Ihrem RoleBinding ClusterRoleBinding Kubernetes-Cluster wurde ein oder für eine übermäßig freizügige Rolle oder einen sensiblen Namespace erstellt oder geändert.
<a name="privesc-kubernetes-anomalousbehavior-rolebindingcreated_description"></a>

**Standard-Schweregrad: Mittel\$1**

**Anmerkung**  
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn ein RoleBinding oder jedoch das Oder ClusterRoleBinding beinhaltet, ist der Schweregrad Hoch ClusterRoles `admin`. `cluster-admin`
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein Benutzer in Ihrem Kubernetes-Cluster ein `RoleBinding` oder `ClusterRoleBinding` erstellt hat, um einen Benutzer an eine Rolle mit Administratorberechtigungen oder sensiblen Namespaces zu binden. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre AWS -Anmeldeinformationen kompromittiert wurden.

Die beobachtete API wurde anhand des ML-Modells (Machine Learning) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle Benutzer-API-Aktivitäten innerhalb Ihres EKS-Clusters. Dieses ML-Modell identifiziert auch ungewöhnliche Ereignisse, die mit den von einem nicht autorisierten Benutzer verwendeten Techniken zusammenhängen. Das ML-Modell verfolgt mehrere Faktoren des API-Vorgangs, z. B. den Benutzer, der die Anfrage stellt, den Standort, von dem aus die Anfrage gestellt wurde, den verwendeten Benutzeragenten und den Namespace, den der Benutzer verwendet hat. Die ungewöhnlichen Details der API-Anfrage finden Sie im Bereich mit den Suchdetails in der Konsole. GuardDuty 

**Empfehlungen zur Abhilfe:**

Untersuchen Sie die dem Kubernetes-Benutzer erteilten Berechtigungen. Diese Berechtigungen sind in der Rolle und den beteiligten Subjekten in `RoleBinding` und `ClusterRoleBinding` definiert. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

Falls Ihre AWS Anmeldedaten kompromittiert wurden, finden Sie weitere Informationen unter[Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## Execution:Kubernetes/AnomalousBehavior.ExecInPod
<a name="execution-kubernetes-anomalousbehvaior-execinprod"></a>

### Ein Befehl wurde in einem Pod auf ungewöhnliche Weise ausgeführt.
<a name="execution-kubernetes-anomalousbehvaior-execinprod_description"></a>

**Standard-Schweregrad: Mittel**
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein Befehl in einem Pod mithilfe der Kubernetes-Exec-API ausgeführt wurde. Die Kubernetes-Exec-API ermöglicht die Ausführung beliebiger Befehle in einem Pod. Wenn dieses Verhalten für den Benutzer, den Namespace oder den Pod nicht erwartet wird, kann dies entweder auf einen Konfigurationsfehler hinweisen oder darauf, dass Ihre AWS Anmeldeinformationen kompromittiert wurden.

Die beobachtete API wurde durch das ML-Modell (Machine Learning) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle Benutzer-API-Aktivitäten innerhalb Ihres EKS-Clusters. Dieses ML-Modell identifiziert auch ungewöhnliche Ereignisse, die mit den von einem nicht autorisierten Benutzer verwendeten Techniken zusammenhängen. Das ML-Modell verfolgt mehrere Faktoren des API-Vorgangs, z. B. den Benutzer, der die Anfrage stellt, den Standort, von dem aus die Anfrage gestellt wurde, den verwendeten Benutzeragenten und den Namespace, den der Benutzer verwendet hat. Die ungewöhnlichen Details der API-Anfrage finden Sie im Bereich mit den Suchdetails in der Konsole. GuardDuty 

**Empfehlungen zur Abhilfe:**

Wenn die Ausführung dieses Befehls unerwartet erfolgt, wurden möglicherweise die Anmeldeinformationen der Benutzeridentität, die zur Ausführung des Befehls verwendet wurde, kompromittiert. Sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

Falls Ihre AWS Anmeldedaten kompromittiert wurden, finden Sie weitere Informationen unter[Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1PrivilegedContainer
<a name="privesc-kubernetes-anomalousbehavior-workloaddeployed-privcontainer"></a>

### Ein Workload wurde mit einem privilegierten Container auf ungewöhnliche Weise gestartet.
<a name="privesc-kubernetes-anomalousbehavior-workloaddeployed-privcontainer_description"></a>

**Standard-Schweregrad: Hoch**
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein Workload mit einem privilegierten Container in Ihrem Amazon-EKS-Cluster gestartet wurde. Ein privilegierter Container hat Zugriff auf Root-Ebene auf den Host. Unbefugte Benutzer können privilegierte Container als Taktik zur Rechteerweiterung starten, um sich zunächst Zugriff auf den Host zu verschaffen und ihn dann zu kompromittieren.

Die beobachtete Erstellung oder Änderung eines Containers wurde anhand des ML-Modells (Machine Learning) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle Benutzer-API- und Container-Image-Aktivitäten innerhalb Ihres EKS-Clusters. Dieses ML-Modell identifiziert auch ungewöhnliche Ereignisse, die mit den von einem nicht autorisierten Benutzer verwendeten Techniken zusammenhängen. Das ML-Modell verfolgt mehrere Faktoren des API-Vorgangs, z. B. den Benutzer, der die Anfrage stellt, den Standort, von dem aus die Anfrage gestellt wurde, den verwendeten Benutzeragenten, in Ihrem Konto beobachtete Container-Images und den Namespace, den der Benutzer verwendet hat. Die ungewöhnlichen Details der API-Anfrage finden Sie im Bereich mit den Suchdetails in der Konsole. GuardDuty

**Empfehlungen zur Abhilfe:**

Wenn dieser Container-Start unerwartet erfolgt, wurden möglicherweise die Anmeldeinformationen der Benutzeridentität, die zum Starten des Containers verwendet wurde, kompromittiert. Sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

Falls Ihre AWS Anmeldedaten kompromittiert wurden, finden Sie weitere Informationen unter[Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

Wenn dieser Container-Start erwartet wird, empfiehlt es sich, eine Unterdrückungsregel mit Filterkriterien zu verwenden, die auf dem `resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix`-Feld basieren. In den Filterkriterien sollte das `imagePrefix`-Feld dem in der Erkenntnis angegebenen Feld `imagePrefix` entsprechen. Weitere Informationen finden Sie unter [Unterdrückungsregeln in GuardDuty](findings_suppression-rule.md).

## Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1ContainerWithSensitiveMount
<a name="privesc-kubernetes-anomalousbehavior-workloaddeployed-containerwithsensitivemount"></a>

### Ein Workload wurde auf ungewöhnliche Weise bereitgestellt, wobei ein sensibler Host-Pfad innerhalb des Workloads eingehängt wurde.
<a name="privesc-kubernetes-anomalousbehavior-workloaddeployed-containerwithsensitivemount_description"></a>

**Standard-Schweregrad: Hoch**
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein Workload mit einem Container gestartet wurde, der im Abschnitt `volumeMounts` einen sensiblen Host-Pfad enthielt. Dadurch ist der sensible Host-Pfad potenziell vom Container aus zugänglich und beschreibbar. Diese Technik wird häufig von Gegnern verwendet, um Zugriff auf das Dateisystem des Hosts zu erhalten. 

Die beobachtete Erstellung oder Änderung eines Containers wurde anhand des ML-Modells (Machine Learning) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle Benutzer-API- und Container-Image-Aktivitäten innerhalb Ihres EKS-Clusters. Dieses ML-Modell identifiziert auch ungewöhnliche Ereignisse, die mit den von einem nicht autorisierten Benutzer verwendeten Techniken zusammenhängen. Das ML-Modell verfolgt mehrere Faktoren des API-Vorgangs, z. B. den Benutzer, der die Anfrage stellt, den Standort, von dem aus die Anfrage gestellt wurde, den verwendeten Benutzeragenten, in Ihrem Konto beobachtete Container-Images und den Namespace, den der Benutzer verwendet hat. Die ungewöhnlichen Details der API-Anfrage finden Sie im Bereich mit den Suchdetails in der Konsole. GuardDuty

**Empfehlungen zur Abhilfe:**

Wenn dieser Container-Start unerwartet erfolgt, wurden möglicherweise die Anmeldeinformationen der Benutzeridentität, die zum Starten des Containers verwendet wurde, kompromittiert. Sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

Falls Ihre AWS Anmeldedaten kompromittiert wurden, finden Sie weitere Informationen unter[Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

Wenn dieser Container-Start erwartet wird, empfiehlt es sich, eine Unterdrückungsregel mit Filterkriterien zu verwenden, die auf dem `resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix`-Feld basieren. In den Filterkriterien sollte das `imagePrefix`-Feld dem in der Erkenntnis angegebenen Feld `imagePrefix` entsprechen. Weitere Informationen finden Sie unter [Unterdrückungsregeln in GuardDuty](findings_suppression-rule.md).

## Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed
<a name="exec-kubernetes-anomalousbehavior-workloaddeployed"></a>

### Ein Workload wurde auf ungewöhnliche Weise gestartet.
<a name="exec-kubernetes-anomalousbehavior-workloaddeployed_description"></a>

**Standard-Schweregrad: Niedrig\$1**

**Anmerkung**  
Der Standardschweregrad ist Niedrig. Wenn der Workload jedoch einen potenziell verdächtigen Image-Namen enthält, z. B. ein bekanntes Pentest-Tool, oder einen Container, in dem beim Start ein potenziell verdächtiger Befehl ausgeführt wird, z. B. Reverse-Shell-Befehle, wird der Schweregrad dieses Ergebnistyps als Mittel eingestuft.
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein Kubernetes-Workload in Ihrem Amazon EKS-Cluster auf ungewöhnliche Weise erstellt oder geändert wurde, z. B. durch eine API-Aktivität, neue Container-Images oder eine riskante Workload-Konfiguration. Unbefugte Benutzer können privilegierte Container als Taktik zur Rechteerweiterung starten, um sich zunächst Zugriff auf den Host zu verschaffen und ihn dann zu kompromittieren. 

Die beobachtete Erstellung oder Änderung eines Containers wurde anhand des ML-Modells (Machine Learning) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle Benutzer-API- und Container-Image-Aktivitäten innerhalb Ihres EKS-Clusters. Dieses ML-Modell identifiziert auch ungewöhnliche Ereignisse, die mit den von einem nicht autorisierten Benutzer verwendeten Techniken zusammenhängen. Das ML-Modell verfolgt mehrere Faktoren des API-Vorgangs, z. B. den Benutzer, der die Anfrage stellt, den Standort, von dem aus die Anfrage gestellt wurde, den verwendeten Benutzeragenten, in Ihrem Konto beobachtete Container-Images und den Namespace, den der Benutzer verwendet hat. Die ungewöhnlichen Details der API-Anfrage finden Sie im Bereich mit den Suchdetails in der Konsole. GuardDuty

**Empfehlungen zur Abhilfe:**

Wenn dieser Container-Start unerwartet erfolgt, wurden möglicherweise die Anmeldeinformationen der Benutzeridentität, die zum Starten des Containers verwendet wurde, kompromittiert. Sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

Falls Ihre AWS Anmeldedaten kompromittiert wurden, finden Sie weitere Informationen unter[Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

Wenn dieser Container-Start erwartet wird, empfiehlt es sich, eine Unterdrückungsregel mit Filterkriterien zu verwenden, die auf dem `resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix`-Feld basieren. In den Filterkriterien sollte das `imagePrefix`-Feld dem in der Erkenntnis angegebenen Feld `imagePrefix` entsprechen. Weitere Informationen finden Sie unter [Unterdrückungsregeln in GuardDuty](findings_suppression-rule.md).

## PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated
<a name="privesc-kubernetes-anomalousbehavior-rolecreated"></a>

### Eine sehr freizügige Rolle oder ClusterRole wurde auf ungewöhnliche Weise erstellt oder geändert.
<a name="privesc-kubernetes-anomalousbehavior-rolecreated_description"></a>

**Standard-Schweregrad: Niedrig**
+ **Funktion**: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein Kubernetes-Benutzer in Ihrem Amazon-EKS-Cluster einen anomale API-Vorgang zur Erstellung eines `Role` oder `ClusterRole` mit übermäßigen Berechtigungen aufgerufen hat. Akteure können die Rollenerstellung mit leistungsstarken Berechtigungen verwenden, um die Verwendung integrierter Administratorrollen zu vermeiden und so zu verhindern, dass sie entdeckt werden. Die übermäßigen Berechtigungen können zur Eskalation von Rechten, zur Ausführung von Remote-Code und möglicherweise zur Kontrolle über einen Namespace oder Cluster führen. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre -Anmeldeinformationen kompromittiert wurden. 

Die beobachtete API wurde anhand des ML-Modells (Machine Learning) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle Benutzer-API-Aktivitäten innerhalb Ihres Amazon-EKS-Clusters und identifiziert anomale Ereignisse, die mit Techniken in Verbindung stehen, die von nicht autorisierten Benutzern verwendet werden. Das ML-Modell verfolgt mehrere Faktoren des API-Vorgangs, z. B. den Benutzer, der die Anfrage stellt, den Standort, von dem aus die Anfrage gestellt wurde, den verwendeten Benutzeragenten, in Ihrem Konto beobachtete Container-Images und den Namespace, den der Benutzer verwendet hat. Die ungewöhnlichen Details der API-Anfrage finden Sie im Bereich mit den Suchdetails in der Konsole. GuardDuty

**Empfehlungen zur Abhilfe:**

Prüfen Sie die in `Role` oder `ClusterRole` definierten Berechtigungen, um sicherzustellen, dass alle Berechtigungen benötigt werden, und halten Sie sich an die Grundsätze der geringsten Berechtigung. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

Falls Ihre AWS Anmeldedaten kompromittiert wurden, finden Sie weitere Informationen unter[Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## Discovery:Kubernetes/AnomalousBehavior.PermissionChecked
<a name="discovery-kubernetes-anomalousbehavrior-permissionchecked"></a>

### Ein Benutzer hat seine Zugriffsberechtigungen auf ungewöhnliche Weise überprüft.
<a name="discovery-kubernetes-anomalousbehavrior-permissionchecked_description"></a>

**Standard-Schweregrad: Niedrig**
+ **Funktion:** EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein Benutzer in Ihrem Kubernetes-Cluster erfolgreich geprüft hat, ob die bekannten mächtigen Berechtigungen, die zu privilegierter Eskalation und Remote-Codeausführung führen können, zulässig sind. Ein gängiger Befehl, der verwendet wird, um die Berechtigungen eines Benutzers zu überprüfen, ist beispielsweise `kubectl auth can-i`. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre Anmeldeinformationen kompromittiert wurden.

Die beobachtete API wurde anhand des ML-Modells (Machine Learning) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle Benutzer-API-Aktivitäten innerhalb Ihres Amazon-EKS-Clusters und identifiziert anomale Ereignisse, die mit Techniken in Verbindung stehen, die von nicht autorisierten Benutzern verwendet werden. Das ML-Modell verfolgt auch mehrere Faktoren des API-Vorgangs, z. B. den Benutzer, der die Anfrage stellt, den Standort, von dem aus die Anfrage gestellt wurde, die Überprüfung der Berechtigungen und den Namespace, den der Benutzer verwendet hat. Die ungewöhnlichen Details der API-Anfrage finden Sie im Bereich mit den Suchdetails in der Konsole. GuardDuty 

**Empfehlungen zur Abhilfe:**

Prüfen Sie die dem Kubernetes-Benutzer erteilten Berechtigungen, um sicherzustellen, dass alle Berechtigungen benötigt werden. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

Falls Ihre AWS Anmeldedaten kompromittiert wurden, finden Sie weitere Informationen unter[Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

# GuardDuty Runtime Monitoring: Typen finden
<a name="findings-runtime-monitoring"></a>

Amazon GuardDuty generiert die folgenden Runtime Monitoring-Ergebnisse, um auf potenzielle Bedrohungen hinzuweisen, die auf dem Verhalten von Amazon EC2 EC2-Hosts und Containern in Ihren Amazon EKS-Clustern, Fargate- und Amazon ECS-Workloads und Amazon EC2 EC2-Instances auf Betriebssystemebene basieren.

**Anmerkung**  
Die Erkenntnistypen der Laufzeit-Überwachung basieren auf den Laufzeit-Protokollen, die von Hosts gesammelt wurden. Die Protokolle enthalten Felder wie Dateipfade, die möglicherweise von einem böswilligen Akteur kontrolliert werden. Diese Felder sind auch in GuardDuty den Ergebnissen enthalten, um den Laufzeitkontext bereitzustellen. Wenn Sie die Ergebnisse von Runtime Monitoring außerhalb der GuardDuty Konsole verarbeiten, müssen Sie die Suchfelder bereinigen. Sie können z. B. Erkenntnisfelder HTML-kodieren, wenn Sie sie auf einer Webseite anzeigen.

**Topics**
+ [CryptoCurrency:Runtime/BitcoinTool.B](#cryptocurrency-runtime-bitcointoolb)
+ [Backdoor:Runtime/C&CActivity.B](#backdoor-runtime-ccactivityb)
+ [UnauthorizedAccess:Runtime/TorRelay](#unauthorizedaccess-runtime-torrelay)
+ [UnauthorizedAccess:Runtime/TorClient](#unauthorizedaccess-runtime-torclient)
+ [Trojan:Runtime/BlackholeTraffic](#trojan-runtime-blackholetraffic)
+ [Trojan:Runtime/DropPoint](#trojan-runtime-droppoint)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](#cryptocurrency-runtime-bitcointoolbdns)
+ [Backdoor:Runtime/C&CActivity.B\$1DNS](#backdoor-runtime-ccactivitybdns)
+ [Trojan:Runtime/BlackholeTraffic\$1DNS](#trojan-runtime-blackholetrafficdns)
+ [Trojan:Runtime/DropPoint\$1DNS](#trojan-runtime-droppointdns)
+ [Trojan:Runtime/DGADomainRequest.C\$1DNS](#trojan-runtime-dgadomainrequestcdns)
+ [Trojan:Runtime/DriveBySourceTraffic\$1DNS](#trojan-runtime-drivebysourcetrafficdns)
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](#trojan-runtime-phishingdomainrequestdns)
+ [Impact:Runtime/AbusedDomainRequest.Reputation](#impact-runtime-abuseddomainrequestreputation)
+ [Impact:Runtime/BitcoinDomainRequest.Reputation](#impact-runtime-bitcoindomainrequestreputation)
+ [Impact:Runtime/MaliciousDomainRequest.Reputation](#impact-runtime-maliciousdomainrequestreputation)
+ [Impact:Runtime/SuspiciousDomainRequest.Reputation](#impact-runtime-suspiciousdomainrequestreputation)
+ [UnauthorizedAccess:Runtime/MetadataDNSRebind](#unauthorizedaccess-runtime-metadatadnsrebind)
+ [Execution:Runtime/NewBinaryExecuted](#execution-runtime-newbinaryexecuted)
+ [PrivilegeEscalation:Runtime/DockerSocketAccessed](#privilegeesc-runtime-dockersocketaccessed)
+ [PrivilegeEscalation:Runtime/RuncContainerEscape](#privilegeesc-runtime-runccontainerescape)
+ [PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified](#privilegeesc-runtime-cgroupsreleaseagentmodified)
+ [DefenseEvasion:Runtime/ProcessInjection.Proc](#defenseeva-runtime-processinjectionproc)
+ [DefenseEvasion:Runtime/ProcessInjection.Ptrace](#defenseeva-runtime-processinjectionptrace)
+ [DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite](#defenseeva-runtime-processinjectionvirtualmemw)
+ [Execution:Runtime/ReverseShell](#execution-runtime-reverseshell)
+ [DefenseEvasion:Runtime/FilelessExecution](#defenseeva-runtime-filelessexecution)
+ [Impact:Runtime/CryptoMinerExecuted](#impact-runtime-cryptominerexecuted)
+ [Execution:Runtime/NewLibraryLoaded](#execution-runtime-newlibraryloaded)
+ [PrivilegeEscalation:Runtime/ContainerMountsHostDirectory](#privilegeescalation-runtime-containermountshostdirectory)
+ [PrivilegeEscalation:Runtime/UserfaultfdUsage](#privilegeescalation-runtime-userfaultfdusage)
+ [Execution:Runtime/SuspiciousTool](#execution-runtime-suspicioustool)
+ [Execution:Runtime/SuspiciousCommand](#execution-runtime-suspiciouscommand)
+ [DefenseEvasion:Runtime/SuspiciousCommand](#defenseevasion-runtime-suspicious-command)
+ [DefenseEvasion:Runtime/PtraceAntiDebugging](#defenseevasion-runtime-ptrace-anti-debug)
+ [Execution:Runtime/MaliciousFileExecuted](#execution-runtime-malicious-file-executed)
+ [Execution:Runtime/SuspiciousShellCreated](#execution-runtime-suspicious-shell-created)
+ [PrivilegeEscalation:Runtime/ElevationToRoot](#privilegeesc-runtime-elevation-to-root)
+ [Discovery:Runtime/SuspiciousCommand](#discovery-runtime-suspicious-command)
+ [Persistence:Runtime/SuspiciousCommand](#persistence-runtime-suspicious-command)
+ [PrivilegeEscalation:Runtime/SuspiciousCommand](#privilege-escalation-runtime-suspicious-command)
+ [DefenseEvasion:Runtime/KernelModuleLoaded](#defenseevasion-runtime-kernelmoduleloaded)

## CryptoCurrency:Runtime/BitcoinTool.B
<a name="cryptocurrency-runtime-bitcointoolb"></a>

### Eine Amazon-EC2-Instance oder ein Container fragt eine IP-Adresse ab, die mit einer Aktivität in Zusammenhang mit einer Kryptowährung in Verbindung steht.
<a name="cryptocurrency-runtime-bitcointoolb_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2-Instance oder einem Container in Ihrer AWS Umgebung ausgeführt wird, eine IP-Adresse abfragt, die mit einer kryptowährungsbezogenen Aktivität verknüpft ist. Bedrohungsakteure können versuchen, die Kontrolle über Datenverarbeitungsressourcen zu übernehmen, um sie böswillig für das unerlaubte Mining von Kryptowährungen umzuwidmen.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

**Empfehlungen zur Abhilfe:**

Wenn Sie diese EC2-Instance oder einen Container verwenden, um Kryptowährung zu minen oder zu verwalten, oder einer von beiden anderweitig in Blockchain-Aktivitäten involviert ist, könnte die CryptoCurrency:Runtime/BitcoinTool.B-Erkenntnis eine erwartete Aktivität für Ihre Umgebung darstellen. Wenn dies in Ihrer AWS Umgebung der Fall ist, empfehlen wir Ihnen, eine Unterdrückungsregel für dieses Ergebnis einzurichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Filterkriterium sollte das Attribut **Erkenntnistyp** mit dem Wert `CryptoCurrency:Runtime/BitcoinTool.B` verwenden. Das zweite Filterkriterium sollte die **Instance-ID** der Instance oder die **Container-Image-ID** des Containers sein, der an Aktivitäten im Zusammenhang mit Kryptowährungen oder Blockchain beteiligt ist. Weitere Informationen finden Sie unter [Unterdrückungsregeln](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html).

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## Backdoor:Runtime/C&CActivity.B
<a name="backdoor-runtime-ccactivityb"></a>

### Eine Amazon-EC2-Instance oder ein Container fragt eine IP-Adresse ab, die mit einem bekannten Command-and-Control-Server verbunden ist.
<a name="backdoor-runtime-ccactivityb_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2-Instance oder einem Container in Ihrer AWS Umgebung ausgeführt wird, eine IP-Adresse abfragt, die einem bekannten Command-and-Control-Server (C&C) zugeordnet ist. Die aufgeführte Instance oder der aufgeführte Container sind möglicherweise gefährdet. Command-and-control-Server sind Computer, die Befehle an Mitglieder eines Botnets senden. 

Ein Botnetz ist eine Sammlung von mit dem Internet verbundenen Geräten, zu denen Server PCs, mobile Geräte und Geräte für das Internet der Dinge gehören können, die mit einer gängigen Art von Malware infiziert sind und von ihr kontrolliert werden. Botnets dienen häufig zum Verteilen von Malware und zum Sammeln von sich widerrechtlich angeeigneten Informationen, wie z. B. Kreditkartennummern. Je nach Zweck und Struktur des Botnetzes kann der C&C-Server auch Befehle ausgeben, um einen verteilten Denial-of-Service (S) -Angriff zu starten. DDo

**Anmerkung**  
Wenn die abgefragte IP log4j-bezogen ist, enthalten die Felder der zugehörigen Erkenntnis die folgenden Werte:  
`service.additionalInfo.threatListName = Amazon`
`service.additionalInfo.threatName = Log4j Related`

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## UnauthorizedAccess:Runtime/TorRelay
<a name="unauthorizedaccess-runtime-torrelay"></a>

### Ihre Amazon-EC2-Instance oder Ihr Container stellt Verbindungen mit einem Tor-Netzwerk als Tor-Relays her.
<a name="unauthorizedaccess-runtime-torrelay_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2-Instance oder einem Container in Ihrer AWS Umgebung läuft, Verbindungen zu einem Tor-Netzwerk auf eine Weise herstellt, die darauf hindeutet, dass es sich um ein Tor-Relay handelt. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Tor-Relays erhöhen die Anonymität der Kommunikation, indem sie den möglicherweise illegalen Datenverkehr des Kunden von einem Tor-Relay zu einem anderen weiterleiten.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## UnauthorizedAccess:Runtime/TorClient
<a name="unauthorizedaccess-runtime-torclient"></a>

### Ihre Amazon-EC2-Instance oder ein Container stellt Verbindungen mit einem Tor Guard oder einem Authority-Knoten her.
<a name="unauthorizedaccess-runtime-torclient_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert dich darüber, dass ein Prozess, der auf der aufgelisteten EC2-Instance oder einem Container in deiner AWS Umgebung läuft, Verbindungen zu einem Tor Guard- oder einem Authority-Knoten herstellt. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Tor Guards und Authority-Knoten fungieren als erste Gateways in ein Tor-Netzwerk. Dieser Datenverkehr kann darauf hinweisen, dass diese EC2-Instance oder der Container als Client in einem Tor-Netzwerk fungieren. Dieses Ergebnis kann auf einen unbefugten Zugriff auf Ihre AWS Ressourcen hinweisen, mit der Absicht, die wahre Identität des Angreifers zu verbergen.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## Trojan:Runtime/BlackholeTraffic
<a name="trojan-runtime-blackholetraffic"></a>

### Eine Amazon-EC2-Instance oder ein Container versucht, mit einer IP-Adresse eines Remote-Hosts zu kommunizieren, der ein bekanntes schwarzes Loch ist.
<a name="trojan-runtime-blackholetraffic_description"></a>

**Standard-Schweregrad: Mittel**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2-Instance oder einem Container in Ihrer AWS Umgebung ausgeführt wird, möglicherweise gefährdet ist, weil er versucht, mit der IP-Adresse eines schwarzen Lochs (oder Sink Hole) zu kommunizieren. Schwarze Löcher sind Stellen im Netzwerk, an denen eingehender oder ausgehender Datenverkehr unbemerkt verworfen wird, ohne die Quelle darüber zu informieren, dass die Daten den vorgesehenen Empfänger nicht erreicht haben. Die IP-Adresse eines schwarzen Lochs gibt einen Hostcomputer an, der nicht ausgeführt wird, oder eine Adresse, der kein Host zugewiesen wurde.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## Trojan:Runtime/DropPoint
<a name="trojan-runtime-droppoint"></a>

### Eine Amazon-EC2-Instance oder ein Container versucht, mit einer IP-Adresse eines Remote-Hosts zu kommunizieren, von dem bekannt ist, dass er Anmeldeinformationen und andere mithilfe von Malware gestohlene Daten enthält.
<a name="trojan-runtime-droppoint_description"></a>

**Standard-Schweregrad: Mittel**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2-Instance oder einem Container in Ihrer AWS Umgebung ausgeführt wird, versucht, mit der IP-Adresse eines Remote-Hosts zu kommunizieren, auf dem sich bekanntermaßen Anmeldeinformationen und andere gestohlene Daten befinden, die von Malware erfasst wurden.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## CryptoCurrency:Runtime/BitcoinTool.B\$1DNS
<a name="cryptocurrency-runtime-bitcointoolbdns"></a>

### Eine Amazon EC2-Instance oder ein Container fragt einen Domainnamen ab, der mit einer Aktivität in Zusammenhang mit einer Kryptowährung in Verbindung steht.
<a name="cryptocurrency-runtime-bitcointoolbdns_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2-Instance oder einem Container in Ihrer AWS Umgebung ausgeführt wird, einen Domainnamen abfragt, der mit Bitcoin oder anderen kryptowährungsbezogenen Aktivitäten verknüpft ist. Bedrohungsakteure können versuchen, die Kontrolle über Datenverarbeitungsressourcen zu übernehmen, um sie böswillig für das unerlaubte Mining von Kryptowährungen umzuwidmen.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

**Empfehlungen zur Abhilfe:**

Wenn Sie diese EC2-Instance oder den Container verwenden, um Kryptowährung zu minen oder zu verwalten, oder diese Instance anderweitig an der Blockchain-Aktivität beteiligt ist, könnte diese CryptoCurrency:Runtime/BitcoinTool.B\$1DNS-Erkenntnis erwartete Aktivitäten für Ihre Umgebung repräsentieren. Wenn dies in Ihrer AWS Umgebung der Fall ist, empfehlen wir Ihnen, eine Unterdrückungsregel für dieses Ergebnis einzurichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut **Ergebnistyp** mit dem Wert `CryptoCurrency:Runtime/BitcoinTool.B!DNS` verwenden. Das zweite Filterkriterium sollte die **Instance-ID** der Instance oder die **Container-Image-ID** des Containers sein, der an Aktivitäten im Zusammenhang mit Kryptowährungen oder Blockchain beteiligt ist. Weitere Informationen finden Sie unter [Unterdrückungsregeln](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html).

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## Backdoor:Runtime/C&CActivity.B\$1DNS
<a name="backdoor-runtime-ccactivitybdns"></a>

### Eine Amazon EC2-Instance oder ein Container fragt einen Domainamen ab, der einem bekannten Command-and-Control-Server zugeordnet wird.
<a name="backdoor-runtime-ccactivitybdns_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2-Instance oder dem Container in Ihrer AWS Umgebung ausgeführt wird, einen Domainnamen abfragt, der einem bekannten Command-and-Control-Server (C&C) zugeordnet ist. Die aufgelistete EC2 Instance oder der aufgelistete Container sind möglicherweise kompromittiert. Command-and-control-Server sind Computer, die Befehle an Mitglieder eines Botnets senden. 

Ein Botnetz ist eine Sammlung von mit dem Internet verbundenen Geräten, zu denen Server PCs, mobile Geräte und Geräte für das Internet der Dinge gehören können, die mit einer gängigen Art von Malware infiziert sind und von ihr kontrolliert werden. Botnets dienen häufig zum Verteilen von Malware und zum Sammeln von sich widerrechtlich angeeigneten Informationen, wie z. B. Kreditkartennummern. Je nach Zweck und Struktur des Botnetzes kann der C&C-Server auch Befehle ausgeben, um einen verteilten Denial-of-Service (S) -Angriff zu starten. DDo

**Anmerkung**  
Wenn der abgefragte Domainname mit log4j zu tun hat, enthalten die Felder der zugehörigen Erkenntnis die folgenden Werte:  
`service.additionalInfo.threatListName = Amazon`
`service.additionalInfo.threatName = Log4j Related`

**Anmerkung**  
Um zu testen, wie dieser Erkennungstyp GuardDuty generiert wird, können Sie von Ihrer Instance aus (`dig`für Linux oder Windows) eine DNS-Anfrage `nslookup` für eine Testdomäne stellen. `guarddutyc2activityb.com`

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## Trojan:Runtime/BlackholeTraffic\$1DNS
<a name="trojan-runtime-blackholetrafficdns"></a>

### Eine Amazon EC2-Instance oder ein Container fragt einen Domainnamen ab, der an eine die IP-Adresse eines schwarzen Lochs weitergeleitet wird.
<a name="trojan-runtime-blackholetrafficdns_description"></a>

**Standard-Schweregrad: Mittel**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2-Instance oder dem Container in Ihrer AWS Umgebung ausgeführt wird, möglicherweise gefährdet ist, weil er einen Domainnamen abfragt, der an eine Black-Hole-IP-Adresse umgeleitet wird. Schwarze Löcher sind Stellen im Netzwerk, an denen ein- oder ausgehender Datenverkehr unbemerkt verworfen wird, ohne die Quelle darüber zu informieren, dass die Daten den vorgesehenen Empfänger nicht erreicht haben.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## Trojan:Runtime/DropPoint\$1DNS
<a name="trojan-runtime-droppointdns"></a>

### Eine Amazon-EC2-Instance oder ein Container fragt einen Domainnamen eines Remote-Hosts ab, von dem bekannt ist, dass er Anmeldeinformationen und andere mithilfe von Malware gestohlene Daten enthält.
<a name="trojan-runtime-droppointdns_description"></a>

**Standard-Schweregrad: Mittel**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2-Instance oder einem Container in Ihrer AWS Umgebung ausgeführt wird, den Domainnamen eines Remote-Hosts abfragt, auf dem sich bekanntermaßen Anmeldeinformationen und andere gestohlene Daten befinden, die von Malware erfasst wurden.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## Trojan:Runtime/DGADomainRequest.C\$1DNS
<a name="trojan-runtime-dgadomainrequestcdns"></a>

### Eine Amazon-EC2-Instance oder ein Container fragt algorithmisch generierte Domains ab. Solche Domains werden häufig von Malware genutzt und können auf eine kompromittierte EC2-Instance oder Container hinweisen.
<a name="trojan-runtime-dgadomainrequestcdns_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2-Instance oder dem Container in Ihrer AWS Umgebung ausgeführt wird, versucht, Domänen des Domänengenerierungsalgorithmus (DGA) abzufragen. Ihre Ressource wurde möglicherweise kompromittiert.

DGAs werden verwendet, um in regelmäßigen Abständen eine große Anzahl von Domainnamen zu generieren, die als Treffpunkte mit ihren Command-and-Control-Servern (C&C) verwendet werden können. Command-and-Control-Server sind Computer, die Befehle an die Mitglieder eines Botnets senden. Hierbei handelt es sich um eine Ansammlung von mit dem Internet verbundenen Geräten, die infiziert sind und von einer gängigen Malware kontrolliert werden. Die große Anzahl potenzieller Rendezvous Points erschwert ein effektives Stilllegen von Botnets, da infizierte Computer versuchen, einige dieser Domainnamen täglich zu kontaktieren, um Updates oder Befehle zu erhalten.

**Anmerkung**  
Dieses Ergebnis basiert auf bekannten DGA-Domänen aus Threat-Intelligence-Feeds. GuardDuty 

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## Trojan:Runtime/DriveBySourceTraffic\$1DNS
<a name="trojan-runtime-drivebysourcetrafficdns"></a>

### Eine Amazon-EC2-Instance oder ein Container fragt einen Domainnamen eines Remote-Host ab, der eine bekannte Quelle von Drive-By-Download-Angriffen ist.
<a name="trojan-runtime-drivebysourcetrafficdns_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2-Instance oder dem Container in Ihrer AWS Umgebung ausgeführt wird, möglicherweise gefährdet ist, weil er den Domainnamen eines Remote-Hosts abfragt, der eine bekannte Quelle für Drive-by-Download-Angriffe ist. Hierbei handelt es sich um unbeabsichtigte Downloads von Computersoftware aus dem Internet, die eine automatische Installation von Viren, Spyware oder Malware auslösen kann.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## Trojan:Runtime/PhishingDomainRequest\$1DNS
<a name="trojan-runtime-phishingdomainrequestdns"></a>

### Eine Amazon-EC2-Instance oder ein Container fragt Domains ab, die an Phishing-Angriffen beteiligt sind.
<a name="trojan-runtime-phishingdomainrequestdns_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2-Instance oder einem Container in Ihrer AWS Umgebung ausgeführt wird, versucht, eine Domain abzufragen, die an Phishing-Angriffen beteiligt ist. Phishing-Domains werden von jemandem eingerichtet, der sich als rechtmäßige Institution ausgibt, um Personen dazu zu bringen, sensible Daten bereitzustellen, wie beispielsweise personenbezogene Informationen, Bank- und Kreditkartendaten oder Passwörter. Ihre EC2-Instance oder der Container versucht möglicherweise, sensible Daten abzurufen, die auf einer Phishing-Website gespeichert sind, oder versucht möglicherweise, eine Phishing-Website einzurichten. Die EC2-Instance oder der Container sind möglicherweise kompromittiert.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## Impact:Runtime/AbusedDomainRequest.Reputation
<a name="impact-runtime-abuseddomainrequestreputation"></a>

### Eine Amazon-EC2-Instance oder ein Container fragt einen Domainnamen mit niedriger Reputation ab, der mit bekanntermaßen missbrauchten Domains verknüpft ist.
<a name="impact-runtime-abuseddomainrequestreputation_description"></a>

**Standard-Schweregrad: Mittel**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2-Instance oder dem Container in Ihrer AWS Umgebung ausgeführt wird, einen Domainnamen mit geringer Reputation abfragt, der mit bekanntermaßen missbrauchten Domänen oder IP-Adressen verknüpft ist. Beispiele für missbrauchte Domains sind Top-Level-Domainnamen (TLDs) und Second-Level-Domainnamen (2LDs), die kostenlose Subdomain-Registrierungen bieten, sowie dynamische DNS-Anbieter. Bedrohungsakteure nutzen diese Services in der Regel, um Domains kostenlos oder zu geringen Kosten zu registrieren. Bei Domains mit geringer Reputation in dieser Kategorie kann es sich auch um abgelaufene Domains handeln, die auf die Parking-IP-Adresse eines Registrars zurückgehen und daher möglicherweise nicht mehr aktiv sind. Bei einer Parking-IP leitet ein Registrar den Verkehr für Domains weiter, die mit keinem Service verknüpft wurden. Die aufgelistete Amazon-EC2-Instance oder der Container können kompromittiert sein, da Bedrohungsakteure diese Registrare oder Services häufig für C&C und die Verbreitung von Malware nutzen.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## Impact:Runtime/BitcoinDomainRequest.Reputation
<a name="impact-runtime-bitcoindomainrequestreputation"></a>

### Eine Amazon-EC2-Instance oder ein Container fragt einen Domainnamen ab, der mit einer Aktivität in Zusammenhang mit einer Kryptowährung in Verbindung steht.
<a name="impact-runtime-bitcoindomainrequestreputation_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2-Instance oder dem Container in Ihrer AWS Umgebung ausgeführt wird, einen Domainnamen mit niedriger Reputation abfragt, der mit Bitcoin oder anderen kryptowährungsbezogenen Aktivitäten in Verbindung steht. Bedrohungsakteure können versuchen, die Kontrolle über Datenverarbeitungsressourcen zu übernehmen, um sie böswillig für das unerlaubte Mining von Kryptowährungen umzuwidmen.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

**Empfehlungen zur Abhilfe:**

Wenn Sie diese EC2-Instance oder den Container verwenden, um Kryptowährung zu minen oder zu verwalten, oder diese Instance anderweitig an Blockchain-Aktivitäten beteiligt ist, könnte diese Erkenntnis erwartete Aktivitäten für Ihre Umgebung repräsentieren. Wenn dies in Ihrer AWS Umgebung der Fall ist, empfehlen wir Ihnen, eine Unterdrückungsregel für dieses Ergebnis einzurichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Filterkriterium sollte das Attribut **Erkenntnistyp** mit dem Wert `Impact:Runtime/BitcoinDomainRequest.Reputation` verwenden. Das zweite Filterkriterium sollte die **Instance-ID** der Instance oder die **Container-Image-ID** des Containers sein, der an Aktivitäten im Zusammenhang mit Kryptowährung oder Blockchain beteiligt ist. Weitere Informationen finden Sie unter [Unterdrückungsregeln](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html).

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## Impact:Runtime/MaliciousDomainRequest.Reputation
<a name="impact-runtime-maliciousdomainrequestreputation"></a>

### Eine Amazon-EC2-Instance oder ein Container fragt eine Domain mit niedriger Reputation ab, die mit bekannten bösartigen Domains verknüpft ist.
<a name="impact-runtime-maliciousdomainrequestreputation_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2-Instance oder dem Container in Ihrer AWS Umgebung ausgeführt wird, einen Domainnamen mit geringer Reputation abfragt, der mit bekannten bösartigen Domänen oder IP-Adressen verknüpft ist. Beispielsweise können Domains mit einer bekannten Sinkhole-IP-Adresse verknüpft sein. Sinkhole-Domains sind Domains, die zuvor von einem Bedrohungsakteur kontrolliert wurden, und Anfragen an sie können darauf hinweisen, dass die Instance kompromittiert wurde. Diese Domains können auch mit bekannten böswilligen Kampagnen oder Algorithmen zur Domain-Generierung korreliert sein.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## Impact:Runtime/SuspiciousDomainRequest.Reputation
<a name="impact-runtime-suspiciousdomainrequestreputation"></a>

### Eine Amazon-EC2-Instance oder ein Container fragt einen Domainnamen mit geringer Reputation ab, der aufgrund seines Alters oder seiner geringen Beliebtheit verdächtig ist.
<a name="impact-runtime-suspiciousdomainrequestreputation_description"></a>

**Standard-Schweregrad: Niedrig**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2-Instance oder dem Container in Ihrer AWS Umgebung ausgeführt wird, einen Domainnamen mit geringer Reputation abfragt, bei dem der Verdacht besteht, dass er bösartig ist. Die beobachteten Merkmale dieser Domäne stimmten mit denen der zuvor beobachteten bösartigen Domänen überein. Unser Reputationsmodell war jedoch nicht in der Lage, sie definitiv mit einer bekannten Bedrohung in Verbindung zu bringen. Diese Domains werden in der Regel neu beobachtet oder erhalten nur wenig Datenverkehr.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## UnauthorizedAccess:Runtime/MetadataDNSRebind
<a name="unauthorizedaccess-runtime-metadatadnsrebind"></a>

### Eine Amazon-EC2-Instance oder ein Container führen DNS-Lookups durch, die in den Instance-Metadatenservice aufgelöst werden.
<a name="unauthorizedaccess-runtime-metadatadnsrebind_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature: **Laufzeit-Überwachung

**Anmerkung**  
Derzeit wird dieser Befundtyp nur für AMD64 Architektur unterstützt.

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2-Instance oder einem Container in Ihrer AWS Umgebung ausgeführt wird, eine Domäne abfragt, die in die EC2-Metadaten-IP-Adresse (169.254.169.254) aufgelöst wird. Eine solche DNS-Abfrage kann darauf hinweisen, dass die Instance das Ziel einer DNS-Neubindung-Technik ist. Diese Technik kann verwendet werden, um Metadaten von einer EC2-Instance abzurufen, einschließlich der mit der Instance verknüpften IAM-Anmeldeinformationen.

Bei der DNS-Neubindung wird eine Anwendung, die auf der EC2-Instance läuft, dazu gebracht, Rückgabedaten von einer URL zu laden, wobei der Domainname in der URL in die IP-Adresse der EC2-Metadaten (`169.254.169.254`) aufgelöst wird. Dies bewirkt, dass die Anwendung auf EC2-Metadaten zugreift und sie möglicherweise für den Angreifer verfügbar macht. 

Der Zugriff auf EC2-Metadaten mit DNS-Neubindung ist nur möglich, wenn auf der EC2-Instance eine anfällige Anwendung ausgeführt wird, die das Einfügen von URLs ermöglicht, oder wenn ein menschlicher Benutzer in einem Webbrowser, der auf der EC2-Instance ausgeführt wird, auf die URL zugreift.

Der Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. GuardDuty Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

**Empfehlungen zur Abhilfe:**

Prüfen Sie als Reaktion auf diese Erkenntnis, ob auf der EC2-Instance oder dem Container eine anfällige Anwendung ausgeführt wird, oder ob ein menschlicher Benutzer über einen Browser auf die in der Erkenntnis angegebene Domain zugegriffen hat. Wenn die Ursache eine anfällige Anwendung ist, beheben Sie die Schwachstelle. Wenn ein Benutzer die identifizierte Domain aufgerufen hat, blockieren Sie die Domain oder verhindern Sie, dass Benutzer darauf zugreifen. Wenn Sie in dieser Erkenntnis einen Zusammenhang mit einem der obigen Fälle feststellen, sollten Sie die [mit der EC2-Instance verknüpfte Sitzung widerrufen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_revoke-sessions.html).

Manche AWS Kunden ordnen die Metadaten-IP-Adresse bewusst einem Domainnamen auf ihren autoritativen DNS-Servern zu. Wenn dies in Ihrer -Umgebung der Fall ist, empfehlen wir, für diese Erkenntnis eine Unterdrückungsregel festzulegen. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Filterkriterium sollte das Attribut **Erkenntnistyp** mit dem Wert `UnauthorizedAccess:Runtime/MetaDataDNSRebind` verwenden. Das zweite Filterkriterium sollte die **DNS-Anforderungs-Domain** oder die **Container-Image-ID** des Containers sein. Das zweite Filterkriterium sollte die **DNS-Anforderungs-Domain** sein, und der Wert sollte mit der Domain übereinstimmen, die Sie der Metadaten-IP-Adresse zugeordnet haben (`169.254.169.254`). Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter [Unterdrückungsregeln](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html).

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## Execution:Runtime/NewBinaryExecuted
<a name="execution-runtime-newbinaryexecuted"></a>

### Eine neu erstellte oder kürzlich geänderte Binärdatei in einem Container wurde ausgeführt.
<a name="execution-runtime-newbinaryexecuted_description"></a>

**Standard-Schweregrad: Mittel**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass eine neu erstellte oder kürzlich geänderte Binärdatei in einem Container ausgeführt wurde. Es ist eine bewährte Methode, Container zur Laufzeit unveränderlich zu halten. Binärdateien, Skripten oder Bibliotheken sollten während der Lebensdauer des Containers nicht erstellt oder geändert werden. Dieses Verhalten weist darauf hin, dass ein böswilliger Akteur Zugriff auf den Container erhalten, Malware oder andere Software heruntergeladen und im Rahmen der potenziellen Kompromittierung ausgeführt hat. Obwohl diese Art von Aktivität ein Hinweis auf eine Kompromittierung sein könnte, ist sie auch ein weit verbreitetes Nutzungsmuster. GuardDuty Verwendet daher Mechanismen zur Identifizierung verdächtiger Instanzen dieser Aktivität und generiert diesen Befundtyp nur für verdächtige Fälle.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Um den modifizierten Prozess und die neue Binärdatei zu identifizieren, sehen Sie sich die Details zum **Änderungsprozess** und die **Prozessdetails** an

Die Details des Änderungsprozesses befinden sich im `service.runtimeDetails.context.modifyingProcess` Feld des Such-JSON-Felds oder unter **Bearbeitungsprozess** im Bereich mit den Ergebnisdetails. Bei diesem Befundtyp wird `/usr/bin/dpkg` der Änderungsprozess entweder durch das `service.runtimeDetails.context.modifyingProcess.executablePath` Feld der Ergebnis-JSON identifiziert oder er ist Teil des **Änderungsprozesses** im Bereich mit den Ergebnisdetails.

Die Details der ausgeführten neuen oder geänderten Binärdatei sind im Abschnitt „`service.runtimeDetails.process`Finding-JSON“ oder im Abschnitt „**Prozess**“ unter „**Laufzeitdetails**“ enthalten. Für diesen Findetyp ist die neue oder geänderte Binärdatei`/usr/bin/python3.8`, wie im Feld `service.runtimeDetails.process.executablePath` (**Ausführbarer Pfad**) angegeben.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## PrivilegeEscalation:Runtime/DockerSocketAccessed
<a name="privilegeesc-runtime-dockersocketaccessed"></a>

### Ein Prozess in einem Container kommuniziert über den Docker-Socket mit dem Docker-Daemon.
<a name="privilegeesc-runtime-dockersocketaccessed_description"></a>

**Standard-Schweregrad: Mittel**
+ **Feature: **Laufzeit-Überwachung

Der Docker-Socket ist ein Unix-Domain-Socket, den Docker-Daemon (`dockerd`) verwendet, um mit seinen Clients zu kommunizieren. Ein Client kann verschiedene Aktionen ausführen, z. B. das Erstellen von Containern, indem er über den Docker-Socket mit dem Docker-Daemon kommuniziert. Es ist verdächtig, dass ein Container-Prozess auf den Docker-Socket zugreift. Ein Container-Prozess kann den Container verlassen und Zugriff auf Host-Ebene erhalten, indem er mit dem Docker-Socket kommuniziert und einen privilegierten Container erstellt. 

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## PrivilegeEscalation:Runtime/RuncContainerEscape
<a name="privilegeesc-runtime-runccontainerescape"></a>

### Ein Container-Escape-Versuch über runC wurde erkannt.
<a name="privilegeesc-runtime-runccontainerescape_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature: **Laufzeit-Überwachung

RunC ist die Low-Level-Container-Runtime, die Container-Laufzeiten auf hoher Ebene wie Docker und Containerd verwenden, um Container zu erzeugen und auszuführen. RunC wird immer mit Root-Rechten ausgeführt, da es die Low-Level-Aufgabe, einen Container zu erstellen, ausführen muss. Ein Bedrohungsakteur kann sich Zugriff auf Host-Ebene verschaffen, indem er eine Sicherheitslücke in der RunC-Binärdatei entweder modifiziert oder ausnutzt. 

Dieses Ergebnis deckt Änderungen an der RunC-Binärdatei und mögliche Versuche auf, die folgenden RunC-Schwachstellen auszunutzen:
+ [https://nvd.nist.gov/vuln/detail/CVE-2019-5736](https://nvd.nist.gov/vuln/detail/CVE-2019-5736)— CVE-2019-5736 Bei der Ausnutzung von wird die RunC-Binärdatei aus einem Container heraus überschrieben. Dieses Ergebnis wird ausgelöst, wenn die RunC-Binärdatei durch einen Prozess in einem Container geändert wird.
+ [https://nvd.nist.gov/vuln/detail/CVE-2024-21626](https://nvd.nist.gov/vuln/detail/CVE-2024-21626)— CVE-2024-21626 Bei der Ausnutzung von wird das aktuelle Arbeitsverzeichnis (CWD) oder ein Container auf einen offenen Dateideskriptor gesetzt. `/proc/self/fd/FileDescriptor` Dieser Befund wird aufgerufen, wenn ein Container-Prozess erkannt wird, unter dem sich ein aktuelles Arbeitsverzeichnis `/proc/self/fd/` befindet, z. B. `/proc/self/fd/7`

Diese Erkenntnis könnte darauf hindeuten, dass ein böswilliger Akteur versucht hat, einen der folgenden Containertypen auszunutzen:
+ Ein neuer Container mit einem vom Angreifer kontrollierten Image.
+ Ein vorhandener Container, auf den der Akteur mit Schreibberechtigungen auf der runC-Binärdatei auf Host-Ebene zugreifen konnte.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified
<a name="privilegeesc-runtime-cgroupsreleaseagentmodified"></a>

### Ein Versuch, einem Container durch den CGroups Release-Agent zu entkommen, wurde festgestellt.
<a name="privilegeesc-runtime-cgroupsreleaseagentmodified_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature: **Laufzeit-Überwachung

Diese Erkenntnis informiert Sie darüber, dass ein Versuch erkannt wurde, eine Release-Agent-Datei für eine Kontrollgruppe (Cgroup) zu ändern. Linux verwendet Kontrollgruppen (Cgroups), um die Ressourcennutzung einer Reihe von Prozessen einzuschränken, zu berücksichtigen und zu isolieren. Jede Cgroup hat eine Release-Agent-Datei (`release_agent`), ein Skript, das Linux ausführt, wenn ein Prozess innerhalb der Cgroup beendet wird. Die Release-Agent-Datei wird immer auf Host-Ebene ausgeführt. Ein Bedrohungsakteur in einem Container kann zum Host entkommen, indem er beliebige Befehle in die Release-Agent-Datei schreibt, die zu einer Cgroup gehört. Wenn ein Prozess innerhalb dieser Cgroup beendet wird, werden die vom Akteur geschriebenen Befehle ausgeführt. 

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## DefenseEvasion:Runtime/ProcessInjection.Proc
<a name="defenseeva-runtime-processinjectionproc"></a>

### In einem Container oder einer Amazon-EC2-Instance wurde eine Prozessinjektion mithilfe des proc-Dateisystems erkannt.
<a name="defenseeva-runtime-processinjectionproc_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature: **Laufzeit-Überwachung

Bei der Prozessinjektion handelt es sich um eine Technik, mit der Bedrohungsakteure Code in Prozesse einschleusen, um Schutzmaßnahmen zu umgehen und möglicherweise Rechte zu erweitern. Das proc-Dateisystem (procfs) ist ein spezielles Dateisystem in Linux, das den virtuellen Speicher eines Prozesses als Datei darstellt. Der Pfad dieser Datei ist `/proc/PID/mem`, wobei `PID` die eindeutige ID des Prozesses ist. Ein Bedrohungsakteur kann in diese Datei schreiben, um Code in den Prozess einzuschleusen. Diese Erkenntnis identifiziert potenzielle Versuche, in diese Datei zu schreiben. 

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität unerwartet ist, wurde Ihr Ressourcentyp möglicherweise kompromittiert. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## DefenseEvasion:Runtime/ProcessInjection.Ptrace
<a name="defenseeva-runtime-processinjectionptrace"></a>

### In einem Container oder einer Amazon-EC2-Instance wurde eine Prozessinjektion mithilfe des ptrace-Systemaufrufs erkannt.
<a name="defenseeva-runtime-processinjectionptrace_description"></a>

**Standard-Schweregrad: Mittel**
+ **Feature: **Laufzeit-Überwachung

Bei der Prozessinjektion handelt es sich um eine Technik, mit der Bedrohungsakteure Code in Prozesse einschleusen, um Schutzmaßnahmen zu umgehen und möglicherweise Rechte zu erweitern. Ein Prozess kann den ptrace-Systemaufruf verwenden, um Code in einen anderen Prozess einzuschleusen. Diese Erkenntnis identifiziert einen möglichen Versuch, mithilfe des Systemaufrufs ptrace Code in einen Prozess einzuschleusen. 

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität unerwartet ist, wurde Ihr Ressourcentyp möglicherweise kompromittiert. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite
<a name="defenseeva-runtime-processinjectionvirtualmemw"></a>

### In einem Container oder einer Amazon-EC2-Instance wurde eine Prozessinjektion durch direktes Schreiben in den virtuellen Speicher erkannt.
<a name="defenseeva-runtime-processinjectionvirtualmemw_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature: **Laufzeit-Überwachung

Bei der Prozessinjektion handelt es sich um eine Technik, mit der Bedrohungsakteure Code in Prozesse einschleusen, um Schutzmaßnahmen zu umgehen und möglicherweise Rechte zu erweitern. Ein Prozess kann einen Systemaufruf wie `process_vm_writev` verwenden, um Code direkt in den virtuellen Speicher eines anderen Prozesses einzuschleusen. Diese Erkenntnis identifiziert einen möglichen Versuch, mithilfe eines Systemaufrufs Code in den virtuellen Speicher eines Prozesses einzuschleusen. 

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität unerwartet ist, wurde Ihr Ressourcentyp möglicherweise kompromittiert. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## Execution:Runtime/ReverseShell
<a name="execution-runtime-reverseshell"></a>

### Ein Prozess in einem Container oder einer Amazon-EC2-Instance hat eine Reverse-Shell erstellt.
<a name="execution-runtime-reverseshell_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature: **Laufzeit-Überwachung

Eine Reverse-Shell ist eine Shell-Sitzung, die auf einer Verbindung erstellt wird, die vom Zielhost zum Host des Akteurs initiiert wird. Dies ist das Gegenteil einer normalen Shell, die vom Host des Akteurs zum Host des Ziels initiiert wird. Bedrohungsakteure erstellen eine Reverse-Shell, um Befehle auf dem Ziel auszuführen, nachdem sie sich den ersten Zugriff auf das Ziel verschafft haben. Dieses Ergebnis identifiziert potenziell verdächtige Reverse-Shell-Verbindungen. 

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext und generiert diesen Befundtyp nur, wenn sich herausstellt, dass die zugehörige Aktivität und der zugehörige Kontext ungewöhnlich oder verdächtig sind. Der Befund enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, und kann weiter untersucht werden.

**Empfehlungen zur Abhilfe:**

Der GuardDuty Security Agent überwacht Ereignisse aus mehreren Quellen. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Suchdetails in der GuardDuty Konsole unter **Ressourcentyp**. Wenn diese Aktivität unerwartet ist, wurde Ihr Ressourcentyp möglicherweise kompromittiert. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## DefenseEvasion:Runtime/FilelessExecution
<a name="defenseeva-runtime-filelessexecution"></a>

### Ein Prozess in einem Container oder einer Amazon-EC2-Instance führt Code aus dem Speicher aus.
<a name="defenseeva-runtime-filelessexecution_description"></a>

**Standard-Schweregrad: Mittel**
+ **Feature: **Laufzeit-Überwachung

Diese Erkenntnis informiert Sie darüber, wenn ein Prozess mit einer im Speicher befindlichen ausführbaren Datei auf der Festplatte ausgeführt wird. Dabei handelt es sich um eine gängige Technik zur Umgehung von Schutzmaßnahmen, bei der verhindert wird, dass die schädliche ausführbare Datei auf die Festplatte geschrieben wird, um der Erkennung durch Dateisystem-Scans zu entgehen. Diese Technik wird zwar von Schadsoftware verwendet, hat aber auch einige legitime Anwendungsfälle. Eines der Beispiele ist ein just-in-time (JIT-) Compiler, der kompilierten Code in den Speicher schreibt und ihn aus dem Speicher ausführt.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## Impact:Runtime/CryptoMinerExecuted
<a name="impact-runtime-cryptominerexecuted"></a>

### Ein Container oder eine Amazon-EC2-Instance führt eine Binärdatei aus, die mit einer Cryptocurrency-Mining-Aktivität verknüpft ist.
<a name="impact-runtime-cryptominerexecuted_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2-Instance oder dem aufgelisteten EC2-Container in Ihrer AWS Umgebung ausgeführt wird, eine Binärdatei ausführt, die mit einer Cryptocurrency-Mining-Aktivität verknüpft ist. Bedrohungsakteure können versuchen, die Kontrolle über Datenverarbeitungsressourcen zu übernehmen, um sie böswillig für das unerlaubte Mining von Kryptowährungen umzuwidmen.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

**Empfehlungen zur Abhilfe:**

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter **Ressourcentyp** und finden Sie unter[Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## Execution:Runtime/NewLibraryLoaded
<a name="execution-runtime-newlibraryloaded"></a>

### Eine neu erstellte oder kürzlich geänderte Bibliothek wurde von einem Prozess in einen Container geladen.
<a name="execution-runtime-newlibraryloaded_description"></a>

**Standard-Schweregrad: Mittel**
+ **Feature: **Laufzeit-Überwachung

Diese Erkenntnis informiert Sie darüber, dass eine Bibliothek während der Laufzeit in einem Container erstellt oder geändert und von einem Prozess geladen wurde, der innerhalb des Containers ausgeführt wird. Es ist eine bewährte Methode, Container zur Laufzeit unveränderlich zu halten. Binärdateien, Skripten oder Bibliotheken sollten während der Lebensdauer des Containers nicht erstellt oder geändert werden. Das Laden einer neu erstellten oder geänderten Bibliothek in einen Container kann auf verdächtige Aktivitäten hinweisen. Dieses Verhalten weist auf einen böswilligen Akteur hin, der sich Zugriff auf den Container verschafft und im Rahmen der potenziellen Sicherheitslücke Malware oder andere Software heruntergeladen und ausgeführt hat. Obwohl diese Art von Aktivität ein Hinweis auf eine Kompromittierung sein könnte, ist sie auch ein weit verbreitetes Nutzungsmuster. GuardDuty Verwendet daher Mechanismen zur Identifizierung verdächtiger Instanzen dieser Aktivität und generiert diesen Befundtyp nur für verdächtige Fälle.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter **Ressourcentyp**. Der Befund enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## PrivilegeEscalation:Runtime/ContainerMountsHostDirectory
<a name="privilegeescalation-runtime-containermountshostdirectory"></a>

### Ein Prozess in einem Container hat zur Laufzeit ein Host-Dateisystem gemountet.
<a name="privilegeescalation-runtime-containermountshostdirectory_description"></a>

**Standard-Schweregrad: Mittel**
+ **Feature: **Laufzeit-Überwachung

Bei mehreren Techniken zur Container-Escape-Methode wird zur Laufzeit ein Host-Dateisystem in einem Container gemountet. Diese Erkenntnis informiert Sie darüber, dass ein Prozess in einem Container möglicherweise versucht hat, ein Host-Dateisystem zu mounten, was auf einen Fluchtversuch zum Host hindeuten kann.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter **Ressourcentyp**. Der Befund enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## PrivilegeEscalation:Runtime/UserfaultfdUsage
<a name="privilegeescalation-runtime-userfaultfdusage"></a>

### Ein Prozess verwendete `userfaultfd`-Systemaufrufe, um Seitenfehler im Benutzerbereich zu behandeln.
<a name="privilegeescalation-runtime-userfaultfdusage_description"></a>

**Standard-Schweregrad: Mittel**
+ **Feature: **Laufzeit-Überwachung

Typischerweise werden Seitenfehler vom Kernel im Kernel-Space behandelt. Ein `userfaultfd`-Systemaufruf ermöglicht es einem Prozess jedoch, Seitenfehler in einem Dateisystem in der Benutzerumgebung zu behandeln. Dies ist eine nützliches Feature, die die Implementierung von Dateisystemen in der Benutzerumgebung ermöglicht. Andererseits kann sie auch von einem potenziell bösartigen Prozess verwendet werden, um den Kernel von der Benutzerumgebung aus zu unterbrechen. Das Unterbrechen des Kernels mithilfe eines `userfaultfd`-Systemaufrufs ist eine gängige Ausnutzungstechnik, um Race-Fenster zu verlängern, während die Kernel-Race-Bedingungen ausgenutzt werden. Die Verwendung von `userfaultfd` kann auf verdächtige Aktivitäten auf der Amazon Elastic Compute Cloud (Amazon EC2)-Instance hinweisen.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter **Ressourcentyp**. Der Befund enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## Execution:Runtime/SuspiciousTool
<a name="execution-runtime-suspicioustool"></a>

### Ein Container oder eine Amazon-EC2-Instance führt eine Binärdatei oder ein Skript aus, das häufig in offensiven Sicherheitsszenarien wie Pentesting-Angriffen verwendet wird.
<a name="execution-runtime-suspicioustool_description"></a>

**Standardschweregrad: Variabel**

Der Schweregrad dieses Ergebnisses kann entweder hoch oder niedrig sein, je nachdem, ob das entdeckte verdächtige Tool als doppelter Verwendungszweck eingestuft wird oder ob es ausschließlich für anstößige Zwecke bestimmt ist.
+ **Feature: **Laufzeit-Überwachung

Dieser Befund informiert Sie darüber, dass ein verdächtiges Tool auf einer EC2-Instance oder einem EC2-Container in Ihrer AWS Umgebung ausgeführt wurde. Dazu gehören Tools, die bei Pentesting-Projekten verwendet werden, auch bekannt als Backdoor-Tools, Netzwerkscanner und Netzwerk-Sniffer. All diese Tools können in harmlosen Kontexten eingesetzt werden, werden aber auch häufig von Bedrohungsakteuren mit böswilligen Absichten eingesetzt. Die Beobachtung anstößiger Sicherheitstools könnte darauf hindeuten, dass die zugehörige EC2-Instance oder der zugehörige EC2-Container kompromittiert wurde. 

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext, sodass dieser Befund nur generiert wird, wenn die zugehörige Aktivität und der zugehörige Kontext potenziell verdächtig sind.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter **Ressourcentyp**. Gegebenenfalls ist im Ergebnis zusätzlicher Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen verfügbar.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## Execution:Runtime/SuspiciousCommand
<a name="execution-runtime-suspiciouscommand"></a>

### Ein verdächtiger Befehl wurde auf einer Amazon-EC2-Instance oder in einem Container ausgeführt. Dies weist auf eine Kompromittierung hin.
<a name="execution-runtime-suspiciouscommand_description"></a>

**Standardschweregrad: Variabel**

Je nach Auswirkung des beobachteten bösartigen Musters kann der Schweregrad dieses Erkenntnistyps entweder niedrig, mittel oder hoch sein.
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein verdächtiger Befehl ausgeführt wurde, und weist darauf hin, dass eine Amazon EC2 EC2-Instance oder ein Container in Ihrer AWS Umgebung kompromittiert wurde. Dies kann bedeuten, dass entweder eine Datei aus einer verdächtigen Quelle heruntergeladen und dann ausgeführt wurde oder dass ein laufender Prozess in seiner Befehlszeile ein bekanntes bösartiges Muster zeigt. Dies weist außerdem darauf hin, dass Malware auf dem System ausgeführt wird.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext, sodass dieser Befund nur generiert wird, wenn die zugehörige Aktivität und der zugehörige Kontext potenziell verdächtig sind.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter **Ressourcentyp**. Gegebenenfalls ist im Ergebnis zusätzlicher Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen verfügbar.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

**Anmerkung**  
Befehlszeilenargumente für Prozesse können vertrauliche Daten enthalten. Zum Schutz vertraulicher Daten enthalten die Ergebnisse der GuardDuty Laufzeitüberwachung keine vollständigen Befehlszeilenargumente. `Service.RuntimeDetails.Context.CommandLineExample`Stellt stattdessen ein repräsentatives Beispiel für das Befehlszeilenmuster bereit, das den Befund generiert hat.

## DefenseEvasion:Runtime/SuspiciousCommand
<a name="defenseevasion-runtime-suspicious-command"></a>

### Ein Befehl wurde auf der aufgelisteten Amazon-EC2-Instance oder in einem Container ausgeführt. Damit wird versucht, einen Linux-Abwehrmechanismus wie eine Firewall oder wichtige Systemdienste zu ändern oder zu deaktivieren.
<a name="defenseevasion-runtime-suspicious-command_description"></a>

**Standardschweregrad: Variabel**

Je nachdem, welcher Abwehrmechanismus verändert oder deaktiviert wurde, kann der Schweregrad dieses Erkenntnistyps entweder hoch, mittel oder niedrig sein.
+ **Feature: **Laufzeit-Überwachung

Diese Erkenntnis informiert Sie darüber, dass ein Befehl ausgeführt wurde, mit dem versucht wird, einen Angriff vor den Sicherheitsdiensten des lokalen Systems zu verbergen. Dazu gehören Aktionen wie das Deaktivieren der Unix-Firewall, das Ändern lokaler IP-Tabellen, das Entfernen von crontab-Einträgen, das Deaktivieren eines lokalen Dienstes oder das Übernehmen der `LDPreload`-Funktion. Jede Änderung ist äußerst verdächtig und ein potenzieller Indikator für eine Gefährdung. Daher erkennen oder verhindern diese Mechanismen eine weitere Beeinträchtigung des Systems.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext, sodass dieser Befund nur generiert wird, wenn die zugehörige Aktivität und der zugehörige Kontext potenziell verdächtig sind.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** in den Ergebnisdetails in der GuardDuty Konsole. Gegebenenfalls ist im Ergebnis zusätzlicher Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen verfügbar.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## DefenseEvasion:Runtime/PtraceAntiDebugging
<a name="defenseevasion-runtime-ptrace-anti-debug"></a>

### Ein Prozess in einem Container oder auf einer Amazon-EC2-Instance hat mithilfe des ptrace-Systemaufrufs eine Anti-Debugging-Maßnahme ausgeführt.
<a name="defenseevasion-runtime-ptrace-anti-debug_description"></a>

**Standard-Schweregrad: Niedrig**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis zeigt, dass ein Prozess, der auf der aufgelisteten Amazon EC2 EC2-Instance oder einem Container in Ihrer AWS Umgebung läuft, den ptrace-Systemaufruf mit der `PTRACE_TRACEME` Option verwendet hat. Diese Aktivität würde dazu führen, dass sich ein angefügter Debugger vom laufenden Prozess löst. Wenn kein Debugger angefügt ist, hat sie keine Wirkung. Die Aktivität an sich erregt jedoch Verdacht. Dies könnte darauf hindeuten, dass Malware auf dem System ausgeführt wird. Bei Malware werden häufig Anti-Debugging-Techniken verwendet, um der Analyse zu entgehen. Diese Techniken können zur Laufzeit erkannt werden.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext, sodass dieser Befund nur generiert wird, wenn die zugehörige Aktivität und der zugehörige Kontext potenziell verdächtig sind.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter **Ressourcentyp**. Der Befund enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## Execution:Runtime/MaliciousFileExecuted
<a name="execution-runtime-malicious-file-executed"></a>

### Eine bekannte bösartige ausführbare Datei wurde auf einer Amazon-EC2-Instance oder in einem Container ausgeführt.
<a name="execution-runtime-malicious-file-executed_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass eine bekannte bösartige ausführbare Datei auf einer Amazon EC2 EC2-Instance oder einem Container in Ihrer AWS Umgebung ausgeführt wurde. Dies ist ein starker Indikator dafür, dass die Instance oder der Container potenziell kompromittiert und Malware ausgeführt wurde.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext, sodass dieser Befund nur generiert wird, wenn die zugehörige Aktivität und der zugehörige Kontext potenziell verdächtig sind.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter **Ressourcentyp**. Gegebenenfalls ist im Ergebnis zusätzlicher Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen verfügbar.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## Execution:Runtime/SuspiciousShellCreated
<a name="execution-runtime-suspicious-shell-created"></a>

### Ein Netzwerkdienst oder ein über das Netzwerk zugänglicher Prozess auf einer Amazon EC2 EC2-Instance oder in einem Container hat einen interaktiven Shell-Prozess gestartet.
<a name="execution-runtime-suspicious-shell-created_description"></a>

**Standard-Schweregrad: Niedrig**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein über das Netzwerk zugänglicher Service auf einer Amazon EC2 EC2-Instance oder in einem Container in Ihrer AWS Umgebung eine interaktive Shell gestartet hat. Unter bestimmten Umständen kann dieses Szenario auf ein Verhalten nach der Nutzung hinweisen. Interaktive Shells ermöglichen es Angreifern, beliebige Befehle auf einer kompromittierten Instance oder einem kompromittierten Container auszuführen.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter **Ressourcentyp**. Der Befund enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen. Sie können die über das Netzwerk zugänglichen Prozessinformationen in den Details des übergeordneten Prozesses einsehen.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## PrivilegeEscalation:Runtime/ElevationToRoot
<a name="privilegeesc-runtime-elevation-to-root"></a>

### Ein Prozess, der auf der aufgelisteten Amazon EC2 EC2-Instance oder dem aufgelisteten Amazon EC2-Container ausgeführt wird, hat Root-Rechte übernommen.
<a name="privilegeesc-runtime-elevation-to-root_description"></a>

**Standard-Schweregrad: Mittel**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf dem aufgelisteten Amazon EC2 oder im aufgelisteten Container in Ihrer AWS Umgebung läuft, durch ungewöhnliche oder verdächtige `setuid` Binärausführung Root-Rechte erlangt hat. Dies deutet darauf hin, dass ein laufender Prozess potenziell kompromittiert wurde, und zwar für die EC2-Instance durch einen Exploit oder durch Ausnutzung. `setuid` Mithilfe der Root-Rechte kann der Angreifer möglicherweise Befehle auf der Instance oder dem Container ausführen. 

Es GuardDuty ist zwar so konzipiert, dass es diesen Erkennungstyp nicht für Aktivitäten generiert, bei denen der `sudo` Befehl regelmäßig verwendet wird, generiert dieses Ergebnis jedoch, wenn es die Aktivität als ungewöhnlich oder verdächtig identifiziert.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext und generiert diesen Befundtyp nur, wenn die zugehörige Aktivität und der zugehörige Kontext ungewöhnlich oder verdächtig sind.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter **Ressourcentyp**. Der Befund enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## Discovery:Runtime/SuspiciousCommand
<a name="discovery-runtime-suspicious-command"></a>

### Ein verdächtiger Befehl wurde auf einer Amazon EC2 EC2-Instance oder in einem Container ausgeführt, der es einem Angreifer ermöglicht, Informationen über das lokale System, die umgebende AWS Infrastruktur oder die Container-Infrastruktur zu erhalten.
<a name="discovery-runtime-suspicious-command_description"></a>

**Standard-Schweregrad: Niedrig**

**Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten Amazon EC2 EC2-Instance oder dem aufgelisteten Amazon EC2-Container in Ihrer AWS Umgebung ausgeführt wird, einen Befehl ausgeführt hat, der einem Angreifer wichtige Informationen zur Verfügung stellen könnte, um den Angriff potenziell voranzutreiben. Die folgenden Informationen wurden möglicherweise abgerufen:
+ Lokales System, wie etwa die Benutzer- oder Netzwerkkonfiguration,
+ Andere verfügbare AWS Ressourcen und Berechtigungen oder
+ Kubernetes-Infrastruktur wie Services und Pods.

Die Amazon EC2 EC2-Instance oder der Container, der in den Ergebnisdetails aufgeführt ist, wurde möglicherweise kompromittiert.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** in den Ergebnisdetails in der GuardDuty Konsole. Die Details zum verdächtigen Befehl finden Sie im `service.runtimeDetails.context`-Feld der JSON-Erkenntnisdatei. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## Persistence:Runtime/SuspiciousCommand
<a name="persistence-runtime-suspicious-command"></a>

### Ein verdächtiger Befehl wurde auf einer Amazon EC2 EC2-Instance oder in einem Container ausgeführt, der es einem Angreifer ermöglicht, dauerhaft auf Ihre AWS Umgebung zuzugreifen und sie zu kontrollieren.
<a name="persistence-runtime-suspicious-command_description"></a>

**Standard-Schweregrad: Mittel**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten Amazon EC2 EC2-Instance oder in einem Container in Ihrer AWS Umgebung ausgeführt wird, einen verdächtigen Befehl ausgeführt hat. Der Befehl installiert eine Persistenzmethode, die es ermöglicht, dass Malware ununterbrochen ausgeführt wird, oder es einem Angreifer ermöglicht, kontinuierlich auf die potenziell gefährdete Instanz oder den Container-Ressourcentyp zuzugreifen. Dies könnte bedeuten, dass ein Systemdienst installiert oder geändert wurde, dass der Systemkonfiguration geändert `crontab` wurde oder dass ein neuer Benutzer zur Systemkonfiguration hinzugefügt wurde.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext und generiert diesen Befundtyp nur, wenn die zugehörige Aktivität und der zugehörige Kontext ungewöhnlich oder verdächtig sind.

Die Amazon EC2 EC2-Instance oder der Container, der in den Ergebnisdetails aufgeführt ist, wurde möglicherweise kompromittiert.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter **Ressourcentyp** in den Ergebnisdetails in der GuardDuty Konsole. Die Details zum verdächtigen Befehl finden Sie im `service.runtimeDetails.context`-Feld der JSON-Erkenntnisdatei. Gegebenenfalls ist im Ergebnis zusätzlicher Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen verfügbar.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## PrivilegeEscalation:Runtime/SuspiciousCommand
<a name="privilege-escalation-runtime-suspicious-command"></a>

### Ein verdächtiger Befehl wurde auf einer Amazon EC2 EC2-Instance oder in einem Container ausgeführt, der es einem Angreifer ermöglicht, Rechte zu erweitern.
<a name="privilege-escalation-runtime-suspicious-command_description"></a>

**Standard-Schweregrad: Mittel**
+ **Feature: **Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten Amazon EC2 EC2-Instance oder in einem Container in Ihrer AWS Umgebung ausgeführt wird, einen verdächtigen Befehl ausgeführt hat. Der Befehl versucht, eine Rechteeskalation durchzuführen, die es einem Angreifer ermöglicht, Aufgaben mit hohen Rechten auszuführen.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext und generiert diesen Befundtyp nur, wenn die zugehörige Aktivität und der zugehörige Kontext ungewöhnlich oder verdächtig sind.

Die Amazon EC2 EC2-Instance oder der Container, der in den Ergebnisdetails aufgeführt ist, wurde möglicherweise kompromittiert.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter **Ressourcentyp**. Gegebenenfalls ist im Ergebnis zusätzlicher Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen verfügbar.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

## DefenseEvasion:Runtime/KernelModuleLoaded
<a name="defenseevasion-runtime-kernelmoduleloaded"></a>

### Ein Kernelmodul wurde auf eine Amazon EC2 EC2-Instance geladen, was auf einen Versuch hinweist, Zugriff auf Kernel-Ebene zu erhalten.
<a name="defenseevasion-runtime-kernelmoduleloaded_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature: **Laufzeit-Überwachung

Diese Erkenntnis weist darauf hin, dass ein Kernelmodul auf die aufgelistete EC2-Instance geladen wurde. Da Kernelmodule über die höchsten Berechtigungen auf Systemebene (Ring 0) verfügen, könnte dies darauf hindeuten, dass sich ein Bedrohungsakteur Zugriff auf Kernelebene verschafft hat. Diese Zugriffsebene ermöglicht die vollständige Kontrolle über das System.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter **Ressourcentyp**. Gegebenenfalls ist im Ergebnis zusätzlicher Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen verfügbar.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter [Korrigieren von Erkenntnissen der Laufzeitüberwachung](guardduty-remediate-runtime-monitoring.md).

# Malware-Schutz für EC2-Suchtypen
<a name="findings-malware-protection"></a>

GuardDuty Malware Protection for EC2 bietet eine einzige Suche nach Malware Protection for EC2 für alle Bedrohungen, die beim Scan einer EC2-Instance oder eines Container-Workloads erkannt wurden. Die Erkenntnis umfasst die Gesamtzahl der während des Scans entdeckten Bedrohungen und liefert, basierend auf dem Schweregrad, Details zu den 32 am häufigsten erkannten Bedrohungen. Im Gegensatz zu anderen GuardDuty Ergebnissen werden die Ergebnisse von Malware Protection for EC2 nicht aktualisiert, wenn dieselbe EC2-Instance oder dieselbe Container-Workload erneut gescannt wird. 

Für jeden Scan, bei dem Malware erkannt wird, wird ein neues Ergebnis von Malware Protection for EC2 generiert. Die Ergebnisse von Malware Protection for EC2 umfassen Informationen über den entsprechenden Scan, der zu dem Ergebnis geführt hat, sowie über das GuardDuty Ergebnis, das diesen Scan ausgelöst hat. Dadurch ist es einfacher, das verdächtige Verhalten mit der erkannten Malware zu korrelieren.

**Anmerkung**  
Wenn bösartige Aktivitäten auf einem Container-Workload GuardDuty erkannt werden, generiert Malware Protection for EC2 kein Ergebnis auf EC2-Ebene.

Die folgenden Ergebnisse beziehen sich speziell auf GuardDuty Malware Protection for EC2.

**Topics**
+ [Execution:EC2/MaliciousFile](#execution-malware-ec2-maliciousfile)
+ [Execution:ECS/MaliciousFile](#execution-malware-ecs-maliciousfile)
+ [Execution:Kubernetes/MaliciousFile](#execution-malware-kubernetes-maliciousfile)
+ [Execution:Container/MaliciousFile](#execution-malware-container-maliciousfile)
+ [Execution:EC2/SuspiciousFile](#execution-malware-ec2-suspiciousfile)
+ [Execution:ECS/SuspiciousFile](#execution-malware-ecs-suspiciousfile)
+ [Execution:Kubernetes/SuspiciousFile](#execution-malware-kubernetes-suspiciousfile)
+ [Execution:Container/SuspiciousFile](#execution-malware-container-suspiciousfile)

## Execution:EC2/MaliciousFile
<a name="execution-malware-ec2-maliciousfile"></a>

### Auf einer EC2-Instance wurde eine schädliche Datei entdeckt.
<a name="execution-malware-ec2-maliciousfile_description"></a>

**Standardschweregrad: Variiert je nach erkannter Bedrohung.**
+ **Merkmal: EBS-Malware-Schutz**

Dieses Ergebnis weist darauf hin, dass der Scan von GuardDuty Malware Protection for EC2 eine oder mehrere schädliche Dateien auf der aufgelisteten EC2-Instance in Ihrer Umgebung entdeckt hat. AWS Die aufgeführte Instance ist möglicherweise kompromittiert. Weitere Informationen finden Sie im Abschnitt **Entdeckte Bedrohungen** in den Details zu den Erkenntnissen.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Execution:ECS/MaliciousFile
<a name="execution-malware-ecs-maliciousfile"></a>

### Auf einem ECS-Cluster wurde eine bösartige Datei entdeckt.
<a name="execution-malware-ecs-maliciousfile_description"></a>

**Standardschweregrad: Variiert je nach erkannter Bedrohung.**
+ **Funktion: EBS-Malware-Schutz**

Dieses Ergebnis weist darauf hin, dass der Scan von GuardDuty Malware Protection for EC2 eine oder mehrere schädliche Dateien auf einem Container-Workload entdeckt hat, der zu einem ECS-Cluster gehört. Weitere Informationen finden Sie im Abschnitt **Entdeckte Bedrohungen** in den Details zu den Erkenntnissen.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität unerwartet ist, ist Ihr Container, der zum ECS-Cluster gehört, möglicherweise kompromittiert. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten ECS-Clusters](compromised-ecs.md).

## Execution:Kubernetes/MaliciousFile
<a name="execution-malware-kubernetes-maliciousfile"></a>

### Auf einem Kubernetes-Cluster wurde eine bösartige Datei entdeckt.
<a name="execution-malware-kubernetes-maliciousfile_description"></a>

**Standardschweregrad: Variiert je nach erkannter Bedrohung.**
+ **Funktion: EBS-Malware-Schutz**

Dieses Ergebnis weist darauf hin, dass der Scan von GuardDuty Malware Protection for EC2 eine oder mehrere schädliche Dateien auf einem Container-Workload entdeckt hat, der zu einem Kubernetes-Cluster gehört. Wenn es sich um einen von EKS verwalteten Cluster handelt, enthalten die Erkenntnisdetails zusätzliche Informationen über die betroffene EKS-Ressource. Weitere Informationen finden Sie im Abschnitt **Entdeckte Bedrohungen** in den Details zu den Erkenntnissen.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität unerwartet ist, kann Ihr Container-Workload kompromittiert sein. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## Execution:Container/MaliciousFile
<a name="execution-malware-container-maliciousfile"></a>

### In einem eigenständigen Container wurde eine bösartige Datei entdeckt.
<a name="execution-malware-container-maliciousfile_description"></a>

**Standardschweregrad: Variiert je nach erkannter Bedrohung.**
+ **Funktion: EBS-Malware-Schutz**

Dieses Ergebnis weist darauf hin, dass der Scan von GuardDuty Malware Protection for EC2 eine oder mehrere schädliche Dateien auf einem Container-Workload erkannt hat und keine Clusterinformationen identifiziert wurden. Weitere Informationen finden Sie im Abschnitt **Entdeckte Bedrohungen** in den Details zu den Erkenntnissen.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität unerwartet ist, kann Ihr Container-Workload kompromittiert sein. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten Standalone-Containers](remediate-compromised-standalone-container.md).

## Execution:EC2/SuspiciousFile
<a name="execution-malware-ec2-suspiciousfile"></a>

### Auf einer EC2-Instance wurde eine verdächtige Datei entdeckt.
<a name="execution-malware-ec2-suspiciousfile_description"></a>

**Standardschweregrad: Variiert je nach erkannter Bedrohung.**
+ **Funktion: EBS-Malware-Schutz**

Dieses Ergebnis weist darauf hin, dass der Scan von GuardDuty Malware Protection for EC2 eine oder mehrere verdächtige Dateien auf einer EC2-Instance erkannt hat. Weitere Informationen finden Sie im Abschnitt **Entdeckte Bedrohungen** in den Details zu den Erkenntnissen.

Erkenntnisse vom Typ `SuspiciousFile` deuten darauf hin, dass sich auf einer betroffenen Ressource potenziell unerwünschte Programme wie Adware, Spyware oder Tools mit doppeltem Verwendungszweck befinden. Diese Programme können sich negativ auf Ihre Ressource auswirken oder von Angreifern für böswillige Zwecke verwendet werden. Netzwerktools können beispielsweise von Gegnern legitim oder böswillig als Hacking-Tools verwendet werden, um zu versuchen, Ressourcen zu kompromittieren.

Wenn eine verdächtige Datei erkannt wurde, prüfen Sie, ob Sie davon ausgehen, dass die erkannte Datei in Ihrer AWS Umgebung angezeigt wird. Falls die Datei unerwartet ist, befolgen Sie die Empfehlungen zur Problembehebung im nächsten Abschnitt.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Execution:ECS/SuspiciousFile
<a name="execution-malware-ecs-suspiciousfile"></a>

### Auf einem ECS-Cluster wurde eine verdächtige Datei entdeckt.
<a name="execution-malware-ecs-suspiciousfile_description"></a>

**Standardschweregrad: Variiert je nach erkannter Bedrohung.**
+ **Funktion:** EBS-Malware-Schutz

Dieses Ergebnis weist darauf hin, dass der Scan von GuardDuty Malware Protection for EC2 eine oder mehrere verdächtige Dateien in einem Container entdeckt hat, der zu einem ECS-Cluster gehört. Weitere Informationen finden Sie im Abschnitt **Entdeckte Bedrohungen** in den Details zu den Erkenntnissen.

Erkenntnisse vom Typ `SuspiciousFile` deuten darauf hin, dass sich auf einer betroffenen Ressource potenziell unerwünschte Programme wie Adware, Spyware oder Tools mit doppeltem Verwendungszweck befinden. Diese Programme können sich negativ auf Ihre Ressource auswirken oder von Angreifern für böswillige Zwecke verwendet werden. Netzwerktools können beispielsweise von Gegnern legitim oder böswillig als Hacking-Tools verwendet werden, um zu versuchen, Ressourcen zu kompromittieren.

Wenn eine verdächtige Datei erkannt wurde, prüfen Sie, ob Sie damit rechnen, die erkannte Datei in Ihrer AWS Umgebung zu sehen. Falls die Datei unerwartet ist, befolgen Sie die Empfehlungen zur Problembehebung im nächsten Abschnitt.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität unerwartet ist, ist Ihr Container, der zum ECS-Cluster gehört, möglicherweise kompromittiert. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten ECS-Clusters](compromised-ecs.md).

## Execution:Kubernetes/SuspiciousFile
<a name="execution-malware-kubernetes-suspiciousfile"></a>

### In einem Kubernetes-Cluster wurde eine verdächtige Datei entdeckt.
<a name="execution-malware-kubernetes-suspiciousfile_description"></a>

**Standardschweregrad: Variiert je nach erkannter Bedrohung.**
+ **Funktion:** EBS-Malware-Schutz

Dieses Ergebnis weist darauf hin, dass der Scan von GuardDuty Malware Protection for EC2 eine oder mehrere verdächtige Dateien in einem Container erkannt hat, der zu einem Kubernetes-Cluster gehört. Wenn es sich um einen von EKS verwalteten Cluster handelt, enthalten die Erkenntnisdetails zusätzliche Informationen über die betroffene EKS-Ressource. Weitere Informationen finden Sie im Abschnitt **Entdeckte Bedrohungen** in den Details zu den Erkenntnissen.

Erkenntnisse vom Typ `SuspiciousFile` deuten darauf hin, dass sich auf einer betroffenen Ressource potenziell unerwünschte Programme wie Adware, Spyware oder Tools mit doppeltem Verwendungszweck befinden. Diese Programme können sich negativ auf Ihre Ressource auswirken oder von Angreifern für böswillige Zwecke verwendet werden. Netzwerktools können beispielsweise von Gegnern legitim oder böswillig als Hacking-Tools verwendet werden, um zu versuchen, Ressourcen zu kompromittieren.

Wenn eine verdächtige Datei erkannt wurde, prüfen Sie, ob Sie damit rechnen, die erkannte Datei in Ihrer Umgebung zu sehen. AWS Falls die Datei unerwartet ist, befolgen Sie die Empfehlungen zur Problembehebung im nächsten Abschnitt.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität unerwartet ist, kann Ihr Container-Workload kompromittiert sein. Weitere Informationen finden Sie unter [Behebung der Ergebnisse des EKS-Schutzes](guardduty-remediate-kubernetes.md).

## Execution:Container/SuspiciousFile
<a name="execution-malware-container-suspiciousfile"></a>

### In einem eigenständigen Container wurde eine verdächtige Datei entdeckt.
<a name="execution-malware-container-suspiciousfile_description"></a>

**Standardschweregrad: Variiert je nach erkannter Bedrohung.**
+ **Funktion:** EBS-Malware-Schutz

Dieses Ergebnis weist darauf hin, dass der Scan von GuardDuty Malware Protection for EC2 eine oder mehrere verdächtige Dateien in einem Container ohne Clusterinformationen erkannt hat. Weitere Informationen finden Sie im Abschnitt **Entdeckte Bedrohungen** in den Details zu den Erkenntnissen.

Erkenntnisse vom Typ `SuspiciousFile` deuten darauf hin, dass sich auf einer betroffenen Ressource potenziell unerwünschte Programme wie Adware, Spyware oder Tools mit doppeltem Verwendungszweck befinden. Diese Programme können sich negativ auf Ihre Ressource auswirken oder von Angreifern für böswillige Zwecke verwendet werden. Netzwerktools können beispielsweise von Gegnern legitim oder böswillig als Hacking-Tools verwendet werden, um zu versuchen, Ressourcen zu kompromittieren.

Wenn eine verdächtige Datei erkannt wurde, prüfen Sie, ob Sie damit rechnen, die entdeckte Datei in Ihrer AWS Umgebung zu sehen. Falls die Datei unerwartet ist, befolgen Sie die Empfehlungen zur Problembehebung im nächsten Abschnitt.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität unerwartet ist, kann Ihr Container-Workload kompromittiert sein. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten Standalone-Containers](remediate-compromised-standalone-container.md).

# Suchtyp „Malware-Schutz für S3“
<a name="gdu-malware-protection-s3-finding-types"></a>

GuardDuty generiert nur dann ein Ergebnis, wenn es eine potenzielle Sicherheitsbedrohung in Ihrem erkennt AWS-Konto. Ein Ergebnis von Malware Protection for S3 weist darauf hin, dass das hochgeladene Objekt, das den Malware-Scan initiiert hat, eine potenziell schädliche Datei enthält. 

 GuardDuty Damit Amazon ein Ergebnis in Ihrem generiert AWS-Konto, aktivieren Sie GuardDuty sowohl als auch Malware Protection for S3. Es hat sich bewährt, zuerst den Malware-Schutz für S3 zu aktivieren GuardDuty und dann. Wenn diese Reihenfolge für Sie anders ist, stellen Sie sicher, dass Sie sie aktivieren, GuardDuty bevor ein S3-Objekt in Ihren geschützten Bucket hochgeladen wird.

**Anmerkung**  
GuardDuty kann keinen Befund für ein S3-Objekt generieren, das vor der Aktivierung gescannt wurde GuardDuty. Um ein vorhandenes S3-Objekt zu scannen, können Sie es erneut hochladen.

## Object:S3/MaliciousFile
<a name="s3-object-s3-malicious-file"></a>

### Auf einem gescannten S3-Objekt wurde eine schädliche Datei entdeckt.
<a name="s3-object-s3-malicious-file_description"></a>

**Standard-Schweregrad: Hoch**
+ **Funktion:** Malware-Schutz für S3

Diese Erkenntnis weist darauf hin, dass ein Malware-Scan das aufgelistete S3-Objekt als schädlich erkannt hat. Weitere Informationen finden Sie im Abschnitt **Entdeckte Bedrohungen** im Bereich mit den Funddetails.

**Empfehlung zur Behebung:**

Wenn diese Erkenntnis unerwartet war, ist das S3-Objekt potenziell schädlich. Informationen zu empfohlenen Behebungsschritten finden Sie unter. [Behebung eines potenziell bösartigen S3-Objekts](compromised-s3object-malware-protection-gdu.md)

# Malware-Schutz für Backup-Suchtypen
<a name="findings-malware-protection-backup"></a>

GuardDuty Malware Protection for Backup bietet eine einzige Suche für alle Bedrohungen, die beim Scannen der angeforderten Ressource erkannt wurden. Die Erkenntnis umfasst die Gesamtzahl der während des Scans entdeckten Bedrohungen und liefert, basierend auf dem Schweregrad, Details zu den 32 am häufigsten erkannten Bedrohungen. Im Gegensatz zu anderen GuardDuty Ergebnissen werden die Ergebnisse von Malware Protection for Backup nicht aktualisiert, wenn dieselbe Ressource erneut gescannt wird. Für jeden Scan, bei dem Malware erkannt wird, wird eine neue Entdeckung von Malware Protection for Backup generiert.

Die folgenden Ergebnisse beziehen sich speziell auf GuardDuty Malware Protection for Backup.

**Topics**
+ [Execution:EC2/MaliciousFile\$1Snapshot](#execution-malware-ec2-maliciousfile-snapshot)
+ [Execution:EC2/MaliciousFile\$1AMI](#execution-malware-ec2-maliciousfile-ami)
+ [Execution:EC2/MaliciousFile\$1RecoveryPoint](#execution-malware-ec2-maliciousfile-recoverypoint)
+ [Execution:S3/MaliciousFile\$1RecoveryPoint](#execution-malware-s3-maliciousfile-recoverypoint)

## Execution:EC2/MaliciousFile\$1Snapshot
<a name="execution-malware-ec2-maliciousfile-snapshot"></a>

### In einem EBS-Snapshot wurde eine schädliche Datei entdeckt.
<a name="execution-malware-ec2-maliciousfile-snapshot_description"></a>

**Standardschweregrad: Variiert je nach erkannter Bedrohung.**
+ **Feature:** Malware-Schutz für Backup

Dieses Ergebnis weist darauf hin, dass ein Scan von GuardDuty Malware Protection for Backup eine oder mehrere schädliche Dateien in einem EBS-Snapshot in Ihrer Umgebung entdeckt hat. Weitere Informationen finden Sie im Abschnitt „Erkannte Bedrohungen“ im Detailfenster „Erkenntnisse“. 

**Empfehlungen zur Abhilfe:**

Wenn dies nicht erwartet wird, ist Ihr Snapshot möglicherweise kompromittiert. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten EBS-Snapshots](compromised-snapshot.md).

## Execution:EC2/MaliciousFile\$1AMI
<a name="execution-malware-ec2-maliciousfile-ami"></a>

### In einem EC2-AMI wurde eine schädliche Datei entdeckt.
<a name="execution-malware-ec2-maliciousfile-ami_description"></a>

**Standardschweregrad: Variiert je nach erkannter Bedrohung.**
+ **Feature:** Malware-Schutz für Backup

Dieses Ergebnis deutet darauf hin, dass ein Scan von GuardDuty Malware Protection for Backup eine oder mehrere schädliche Dateien in einem AMI in Ihrer Umgebung entdeckt hat. Weitere Informationen finden Sie im Abschnitt „Erkannte Bedrohungen“ im Detailfenster „Erkenntnisse“.

**Empfehlungen zur Abhilfe:**

Wenn dies nicht erwartet wird, ist Ihr AMI möglicherweise kompromittiert. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten EC2-AMI](compromised-ami.md).

## Execution:EC2/MaliciousFile\$1RecoveryPoint
<a name="execution-malware-ec2-maliciousfile-recoverypoint"></a>

### In einem AWS Backup EC2 Recovery Point wurde eine schädliche Datei entdeckt.
<a name="execution-malware-ec2-maliciousfile-recoverypoint_description"></a>

**Standardschweregrad: Variiert je nach erkannter Bedrohung.**
+ **Feature:** Malware-Schutz für Backup

Dieses Ergebnis deutet darauf hin, dass ein Scan von GuardDuty Malware Protection for Backup eine oder mehrere schädliche Dateien in einem EC2-Wiederherstellungspunkt in Ihrer Umgebung entdeckt hat. Der betroffene Wiederherstellungspunkt Point könnte ein EBS-Snapshot oder ein EC2-AMI sein. Weitere Informationen finden Sie im Abschnitt „Erkannte Bedrohungen“ im Detailfenster „Erkenntnisse“.

**Empfehlungen zur Abhilfe:**

Wenn dies nicht erwartet wird, ist Ihr EC2-Wiederherstellungspunkt möglicherweise kompromittiert. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten EC2-Wiederherstellungspunkts](compromised-ec2-recoverypoint.md).

## Execution:S3/MaliciousFile\$1RecoveryPoint
<a name="execution-malware-s3-maliciousfile-recoverypoint"></a>

### In einem AWS Backup S3 Recovery Point wurde eine schädliche Datei entdeckt.
<a name="execution-malware-s3-maliciousfile-recoverypoint_description"></a>

**Standardschweregrad: Variiert je nach erkannter Bedrohung.**
+ **Feature:** Malware-Schutz für Backup

Dieses Ergebnis deutet darauf hin, dass ein Scan von GuardDuty Malware Protection for Backup ein oder mehrere schädliche Objekte in einem S3-Wiederherstellungspunkt in Ihrer Umgebung entdeckt hat. Weitere Informationen finden Sie im Abschnitt „Erkannte Bedrohungen“ im Detailfenster „Erkenntnisse“.

**Empfehlungen zur Abhilfe:**

Wenn dies nicht erwartet wird, ist Ihr S3-Wiederherstellungspunkt möglicherweise kompromittiert. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Wiederherstellungspunkts](compromised-s3-recoverypoint.md).

# GuardDuty Suchtypen für den RDS-Schutz
<a name="findings-rds-protection"></a>

GuardDuty RDS Protection erkennt ungewöhnliches Anmeldeverhalten auf Ihrer Datenbank-Instance. Die folgenden Ergebnisse beziehen sich auf den [Unterstützte Amazon Aurora-, Amazon RDS- und Aurora Limitless-Datenbanken](rds-protection.md#rds-pro-supported-db) und haben einen **Ressourcentyp von `RDSDBInstance` oder**. `RDSLimitlessDB` Der Schweregrad und die Details der Ergebnisse unterscheiden sich je nach Erkennungstyp.

**Topics**
+ [CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin](#credaccess-rds-anombehavior-successlogin)
+ [CredentialAccess:RDS/AnomalousBehavior.FailedLogin](#credaccess-rds-anombehavior-failedlogin)
+ [CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce](#credaccess-rds-anombehavior-successfulbruteforce)
+ [CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin](#credaccess-rds-maliciousipcaller-successfullogin)
+ [CredentialAccess:RDS/MaliciousIPCaller.FailedLogin](#credaccess-rds-maliciousipcaller-failedlogin)
+ [Discovery:RDS/MaliciousIPCaller](#discovery-rds-maliciousipcaller)
+ [CredentialAccess:RDS/TorIPCaller.SuccessfulLogin](#credaccess-rds-toripcaller-successfullogin)
+ [CredentialAccess:RDS/TorIPCaller.FailedLogin](#credaccess-rds-toripcaller-failedlogin)
+ [Discovery:RDS/TorIPCaller](#discovery-rds-toripcaller)

## CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin
<a name="credaccess-rds-anombehavior-successlogin"></a>

### Ein Benutzer hat sich erfolgreich auf ungewöhnliche Weise bei einer RDS-Datenbank in Ihrem Konto angemeldet.
<a name="credaccess-rds-anombehavior-successlogin_description"></a>

**Standardschweregrad: Variabel**

**Anmerkung**  
Je nach dem anomalen Verhalten, das mit diesem Ergebnis einhergeht, kann der Standardschweregrad Niedrig, Mittel und Hoch gewählt werden.   
**Niedrig** – Wenn der mit diesem Ergebnis verknüpfte Benutzername von einer IP-Adresse aus angemeldet ist, die einem privaten Netzwerk zugeordnet ist.
**Mittel** – Wenn der mit diesem Ergebnis verknüpfte Benutzername von einer öffentlichen IP-Adresse aus angemeldet ist.
**Hoch** – Wenn es ein einheitliches Muster von fehlgeschlagenen Anmeldeversuchen von öffentlichen IP-Adressen aus gibt, was auf zu freizügige Zugriffsrichtlinien hindeutet.
+ **Feature: **Überwachung der RDS-Anmeldeaktivitäten

Dieses Ergebnis informiert Sie darüber, dass eine ungewöhnliche erfolgreiche Anmeldung bei einer RDS-Datenbank in Ihrer AWS Umgebung beobachtet wurde. Dies kann darauf hindeuten, dass sich ein zuvor unbekannter Benutzer zum ersten Mal bei einer RDS-Datenbank angemeldet hat. Ein häufiges Szenario ist ein interner Benutzer, der sich bei einer Datenbank anmeldet, auf die programmgesteuert von Anwendungen und nicht von einzelnen Benutzern zugegriffen wird. 

Diese erfolgreiche Anmeldung wurde durch das ML-Modell (Machine Learning) zur Erkennung von GuardDuty Anomalien als ungewöhnlich eingestuft. Das ML-Modell bewertet alle Datenbank-Anmeldeereignisse in Ihrer [Unterstützte Amazon Aurora-, Amazon RDS- und Aurora Limitless-Datenbanken](rds-protection.md#rds-pro-supported-db) und identifiziert anomale Ereignisse, die mit den von Gegnern verwendeten Techniken in Verbindung stehen. Das ML-Modell verfolgt verschiedene Faktoren der RDS-Anmeldeaktivität, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, und die spezifischen Datenbank-Verbindungsdetails, die verwendet wurden. Informationen zu potenziell ungewöhnlichen Anmeldeereignissen finden Sie unter [Anomalien aufgrund von RDS-Anmeldeaktivitäten](guardduty_findings-summary.md#rds-pro-login-anomaly).

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für die zugehörige Datenbank unerwartet ist, wird empfohlen, das Passwort des zugehörigen Datenbankbenutzers zu ändern und die verfügbaren Audit-Logs auf Aktivitäten zu überprüfen, die von dem anomalen Benutzer ausgeführt wurden. Erkenntnisse mit mittlerem und hohem Schweregrad können darauf hindeuten, dass die Zugriffsrichtlinien für die Datenbank zu freizügig sind und die Anmeldeinformationen der Benutzer möglicherweise offengelegt oder kompromittiert wurden. Es wird empfohlen, die Datenbank in einer privaten VPC zu platzieren und die Sicherheitsgruppenregeln so zu beschränken, dass nur Datenverkehr aus den erforderlichen Quellen zugelassen wird. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Datenbank mit erfolgreichen Anmeldeereignissen](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-successful-attempt).

## CredentialAccess:RDS/AnomalousBehavior.FailedLogin
<a name="credaccess-rds-anombehavior-failedlogin"></a>

### Ein oder mehrere ungewöhnliche fehlgeschlagene Anmeldeversuche wurden in einer RDS-Datenbank in Ihrem Konto beobachtet.
<a name="credaccess-rds-anombehavior-failedlogin_description"></a>

**Standard-Schweregrad: Niedrig**
+ **Feature: **Überwachung der RDS-Anmeldeaktivitäten

Dieses Ergebnis informiert Sie darüber, dass eine oder mehrere anomale fehlgeschlagene Anmeldungen in einer RDS-Datenbank in Ihrer Umgebung beobachtet wurden. AWS Fehlgeschlagene Anmeldeversuche von öffentlichen IP-Adressen aus können darauf hindeuten, dass die RDS-Datenbank in Ihrem Konto einem Brute-Force-Angriff durch einen potenziell böswilligen Akteur ausgesetzt war.

Diese fehlgeschlagenen Anmeldungen wurden durch das ML-Modell (Machine Learning) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle Datenbank-Anmeldeereignisse in Ihrer [Unterstützte Amazon Aurora-, Amazon RDS- und Aurora Limitless-Datenbanken](rds-protection.md#rds-pro-supported-db) und identifiziert anomale Ereignisse, die mit den von Gegnern verwendeten Techniken in Verbindung stehen. Das ML-Modell verfolgt verschiedene Faktoren der RDS-Anmeldeaktivität, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, und die spezifischen Datenbank-Verbindungsdetails, die verwendet wurden. Informationen zu potenziell ungewöhnlichen RDS-Anmeldeaktivitäten finden Sie unter [Anomalien aufgrund von RDS-Anmeldeaktivitäten](guardduty_findings-summary.md#rds-pro-login-anomaly).

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für die zugehörige Datenbank unerwartet ist, kann dies darauf hindeuten, dass die Datenbank öffentlich zugänglich ist oder dass es eine zu freizügige Zugriffsrichtlinie für die Datenbank gibt. Es wird empfohlen, die Datenbank in einer privaten VPC zu platzieren und die Sicherheitsgruppenregeln so zu beschränken, dass nur Datenverkehr aus den erforderlichen Quellen zugelassen wird. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Datenbank mit erfolglosen Anmeldeereignissen](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt).

## CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce
<a name="credaccess-rds-anombehavior-successfulbruteforce"></a>

### Ein Benutzer hat sich nach einem konsistenten Muster ungewöhnlicher fehlgeschlagener Anmeldeversuche erfolgreich von einer öffentlichen IP-Adresse aus auf ungewöhnliche Weise bei einer RDS-Datenbank in Ihrem Konto angemeldet.
<a name="credaccess-rds-anombehavior-successfulbruteforce_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature: **Überwachung der RDS-Anmeldeaktivitäten

Dieses Ergebnis informiert Sie darüber, dass bei einer RDS-Datenbank in Ihrer Umgebung eine anomale Anmeldung beobachtet wurde, die auf eine erfolgreiche Brute-Force-Operation hindeutet. AWS Vor einer anomalen erfolgreichen Anmeldung wurde ein konsistentes Muster ungewöhnlicher fehlgeschlagener Anmeldeversuche beobachtet. Dies deutet darauf hin, dass der Benutzer und das Passwort, die mit der RDS-Datenbank in Ihrem Konto verknüpft sind, möglicherweise kompromittiert wurden und dass möglicherweise ein potenziell böswilliger Akteur auf die RDS-Datenbank zugegriffen hat.

Diese erfolgreiche Brute-Force-Anmeldung wurde durch das ML-Modell (Machine Learning) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle Datenbank-Anmeldeereignisse in Ihrer [Unterstützte Amazon Aurora-, Amazon RDS- und Aurora Limitless-Datenbanken](rds-protection.md#rds-pro-supported-db) und identifiziert anomale Ereignisse, die mit den von Gegnern verwendeten Techniken in Verbindung stehen. Das ML-Modell verfolgt verschiedene Faktoren der RDS-Anmeldeaktivität, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, und die spezifischen Datenbank-Verbindungsdetails, die verwendet wurden. Informationen zu potenziell ungewöhnlichen RDS-Anmeldeaktivitäten finden Sie unter [Anomalien aufgrund von RDS-Anmeldeaktivitäten](guardduty_findings-summary.md#rds-pro-login-anomaly).

**Empfehlungen zur Abhilfe:**

Diese Aktivität weist darauf hin, dass Datenbankanmeldeinformationen möglicherweise offengelegt oder kompromittiert wurden. Es wird empfohlen, das Passwort des zugehörigen Datenbankbenutzers zu ändern und die verfügbaren Prüfungsprotokolle auf Aktivitäten des potenziell kompromittierten Benutzers zu überprüfen. Ein konsistentes Muster ungewöhnlicher fehlgeschlagener Anmeldeversuche deutet auf eine zu freizügige Zugriffsrichtlinie auf die Datenbank hin, oder die Datenbank wurde möglicherweise auch öffentlich zugänglich gemacht. Es wird empfohlen, die Datenbank in einer privaten VPC zu platzieren und die Sicherheitsgruppenregeln so zu beschränken, dass nur Datenverkehr aus den erforderlichen Quellen zugelassen wird. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Datenbank mit erfolgreichen Anmeldeereignissen](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-successful-attempt).

## CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin
<a name="credaccess-rds-maliciousipcaller-successfullogin"></a>

### Ein Benutzer hat sich erfolgreich von einer bekannten bösartigen IP-Adresse aus bei einer RDS-Datenbank in Ihrem Konto angemeldet.
<a name="credaccess-rds-maliciousipcaller-successfullogin_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature: **Überwachung der RDS-Anmeldeaktivitäten

Dieses Ergebnis informiert Sie darüber, dass eine erfolgreiche RDS-Anmeldeaktivität von einer IP-Adresse aus erfolgte, die mit einer bekannten bösartigen Aktivität in Ihrer Umgebung in Verbindung steht. AWS Dies deutet darauf hin, dass der Benutzer und das Passwort, die mit der RDS-Datenbank in Ihrem Konto verknüpft sind, möglicherweise kompromittiert wurden und dass möglicherweise ein potenziell böswilliger Akteur auf die RDS-Datenbank zugegriffen hat.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für die zugehörige Datenbank unerwartet ist, kann dies darauf hindeuten, dass die Benutzeranmeldeinformationen möglicherweise offengelegt oder kompromittiert wurden. Es wird empfohlen, das Passwort des zugehörigen Datenbankbenutzers zu ändern und die verfügbaren Prüfungsprotokolle auf Aktivitäten des potenziell kompromittiert Benutzers zu überprüfen. Wenn diese Aktivität für die zugehörige Datenbank unerwartet ist, kann dies darauf hindeuten, dass die Datenbank öffentlich zugänglich ist oder dass es eine zu freizügige Zugriffsrichtlinie für die Datenbank gibt. Es wird empfohlen, die Datenbank in einer privaten VPC zu platzieren und die Sicherheitsgruppenregeln so zu beschränken, dass nur Datenverkehr aus den erforderlichen Quellen zugelassen wird. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Datenbank mit erfolgreichen Anmeldeereignissen](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-successful-attempt).

## CredentialAccess:RDS/MaliciousIPCaller.FailedLogin
<a name="credaccess-rds-maliciousipcaller-failedlogin"></a>

### Eine IP-Adresse, die mit einer bekannten böswilligen Aktivität verknüpft ist, hat erfolglos versucht, sich bei einer RDS-Datenbank in Ihrem Konto anzumelden.
<a name="credaccess-rds-maliciousipcaller-failedlogin_description"></a>

**Standard-Schweregrad: Mittel**
+ **Feature: **Überwachung der RDS-Anmeldeaktivitäten

Dieses Ergebnis informiert Sie darüber, dass eine IP-Adresse, die mit bekannten böswilligen Aktivitäten in Verbindung steht, versucht hat, sich bei einer RDS-Datenbank in Ihrer AWS Umgebung anzumelden, dabei aber nicht den richtigen Benutzernamen oder das richtige Passwort angegeben hat. Dies deutet darauf hin, dass ein potenziell böswilliger Akteur versucht, die RDS-Datenbank in Ihrem Konto zu kompromittieren.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für die zugehörige Datenbank unerwartet ist, kann dies darauf hindeuten, dass die Datenbank öffentlich zugänglich ist oder dass es eine zu freizügige Zugriffsrichtlinie für die Datenbank gibt. Es wird empfohlen, die Datenbank in einer privaten VPC zu platzieren und die Sicherheitsgruppenregeln so zu beschränken, dass nur Datenverkehr aus den erforderlichen Quellen zugelassen wird. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Datenbank mit erfolglosen Anmeldeereignissen](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt).

## Discovery:RDS/MaliciousIPCaller
<a name="discovery-rds-maliciousipcaller"></a>

### Eine IP-Adresse, die mit einer bekannten böswilligen Aktivität in Verbindung steht, hat eine RDS-Datenbank in Ihrem Konto untersucht. Es wurde kein Authentifizierungsversuch unternommen.
<a name="discovery-rds-maliciousipcaller_description"></a>

**Standard-Schweregrad: Mittel**
+ **Feature: **Überwachung der RDS-Anmeldeaktivitäten

Dieses Ergebnis informiert Sie darüber, dass eine IP-Adresse, die mit einer bekannten böswilligen Aktivität verknüpft ist, eine RDS-Datenbank in Ihrer AWS Umgebung untersucht hat, obwohl kein Anmeldeversuch unternommen wurde. Dies kann darauf hindeuten, dass ein potenziell böswilliger Akteur versucht, nach einer öffentlich zugänglichen Infrastruktur zu scannen.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für die zugehörige Datenbank unerwartet ist, kann dies darauf hindeuten, dass die Datenbank öffentlich zugänglich ist oder dass es eine zu freizügige Zugriffsrichtlinie für die Datenbank gibt. Es wird empfohlen, die Datenbank in einer privaten VPC zu platzieren und die Sicherheitsgruppenregeln so zu beschränken, dass nur Datenverkehr aus den erforderlichen Quellen zugelassen wird. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Datenbank mit erfolglosen Anmeldeereignissen](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt).

## CredentialAccess:RDS/TorIPCaller.SuccessfulLogin
<a name="credaccess-rds-toripcaller-successfullogin"></a>

### Ein Benutzer hat sich erfolgreich über eine IP-Adresse des Tor-Ausgangsknotens bei einer RDS-Datenbank in Ihrem Konto angemeldet.
<a name="credaccess-rds-toripcaller-successfullogin_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature: **Überwachung der RDS-Anmeldeaktivitäten

Dieses Ergebnis informiert Sie darüber, dass sich ein Benutzer erfolgreich von einer IP-Adresse des Tor-Ausgangsknotens aus bei einer RDS-Datenbank in Ihrer AWS -Umgebung angemeldet hat. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese nach dem Zufallsprinzip durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dies kann auf einen unbefugten Zugriff auf die RDS-Ressourcen hinweisen, der das Ziel hat, die wahre Identität des Angreifers zu verbergen.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für die zugehörige Datenbank unerwartet ist, kann dies darauf hindeuten, dass die Benutzeranmeldeinformationen möglicherweise offengelegt oder kompromittiert wurden. Es wird empfohlen, das Passwort des zugehörigen Datenbankbenutzers zu ändern und die verfügbaren Prüfungsprotokolle auf Aktivitäten des potenziell kompromittiert Benutzers zu überprüfen. Wenn diese Aktivität für die zugehörige Datenbank unerwartet ist, kann dies darauf hindeuten, dass die Datenbank öffentlich zugänglich ist oder dass es eine zu freizügige Zugriffsrichtlinie für die Datenbank gibt. Es wird empfohlen, die Datenbank in einer privaten VPC zu platzieren und die Sicherheitsgruppenregeln so zu beschränken, dass nur Datenverkehr aus den erforderlichen Quellen zugelassen wird. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Datenbank mit erfolgreichen Anmeldeereignissen](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-successful-attempt).

## CredentialAccess:RDS/TorIPCaller.FailedLogin
<a name="credaccess-rds-toripcaller-failedlogin"></a>

### Eine Tor-IP-Adresse hat erfolglos versucht, sich bei einer RDS-Datenbank in Ihrem Konto anzumelden.
<a name="credaccess-rds-toripcaller-failedlogin_description"></a>

**Standard-Schweregrad: Mittel**
+ **Feature: **Überwachung der RDS-Anmeldeaktivitäten

Dieses Ergebnis informiert Sie darüber, dass die IP-Adresse eines Tor-Ausgangsknotens versucht hat, sich bei einer RDS-Datenbank in Ihrer AWS Umgebung anzumelden, aber nicht den richtigen Benutzernamen oder das richtige Passwort angegeben hat. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese nach dem Zufallsprinzip durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dies kann auf einen unbefugten Zugriff auf die RDS-Ressourcen hinweisen, der das Ziel hat, die wahre Identität des Angreifers zu verbergen.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für die zugehörige Datenbank unerwartet ist, kann dies darauf hindeuten, dass die Datenbank öffentlich zugänglich ist oder dass es eine zu freizügige Zugriffsrichtlinie für die Datenbank gibt. Es wird empfohlen, die Datenbank in einer privaten VPC zu platzieren und die Sicherheitsgruppenregeln so zu beschränken, dass nur Datenverkehr aus den erforderlichen Quellen zugelassen wird. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Datenbank mit erfolglosen Anmeldeereignissen](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt).

## Discovery:RDS/TorIPCaller
<a name="discovery-rds-toripcaller"></a>

### Eine IP-Adresse des Tor-Ausgangsknotens hat eine RDS-Datenbank in Ihrem Konto untersucht, es wurde kein Authentifizierungsversuch unternommen.
<a name="discovery-rds-toripcaller_description"></a>

**Standard-Schweregrad: Mittel**
+ **Feature: **Überwachung der RDS-Anmeldeaktivitäten

Diese Erkenntnis informiert Sie darüber, dass die IP-Adresse eines Tor-Ausgangsknotens eine RDS-Datenbank in Ihrer AWS -Umgebung untersucht hat, obwohl kein Anmeldeversuch unternommen wurde. Dies kann darauf hindeuten, dass ein potenziell böswilliger Akteur versucht, nach einer öffentlich zugänglichen Infrastruktur zu scannen. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese beliebig durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dies kann auf einen unbefugten Zugriff auf die RDS-Ressourcen in Ihrem Konto hinweisen, der das Ziel hat, die wahre Identität des Angreifers zu verbergen.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für die zugehörige Datenbank unerwartet ist, kann dies darauf hindeuten, dass die Datenbank öffentlich zugänglich ist oder dass es eine zu freizügige Zugriffsrichtlinie für die Datenbank gibt. Es wird empfohlen, die Datenbank in einer privaten VPC zu platzieren und die Sicherheitsgruppenregeln so zu beschränken, dass nur Datenverkehr aus den erforderlichen Quellen zugelassen wird. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Datenbank mit erfolglosen Anmeldeereignissen](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt).

# Lambda-Protection-Erkenntnistypen
<a name="lambda-protection-finding-types"></a>

In diesem Abschnitt werden die Findetypen beschrieben, die für Ihre AWS Lambda Ressourcen spezifisch sind und in denen sie als `resourceType` `Lambda` aufgeführt sind. Für alle Lambda-Erkenntnisse wird empfohlen, die betreffende Ressource zu untersuchen, um festzustellen, ob sie sich erwartungsgemäß verhält. Wenn die Aktivität autorisiert ist, können Sie [Unterdrückungsregeln](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html) oder [Listen vertrauenswürdiger IP-Adressen und Bedrohungen](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_upload-lists.html) verwenden, um Falschmeldungen für diese Ressource zu verhindern.

Wenn die Aktivität unerwartet ist, besteht die bewährte Sicherheitsmethode darin, davon auszugehen, dass Lambda potenziell kompromittiert wurde, und die Empfehlungen zur Behebung zu befolgen.

**Topics**
+ [Backdoor:Lambda/C&CActivity.B](#backdoor-lambda-ccactivity-b)
+ [CryptoCurrency:Lambda/BitcoinTool.B](#cryptocurrency-lambda-bitcointool-b)
+ [Trojan:Lambda/BlackholeTraffic](#trojan-lambda-blackhole-traffic)
+ [Trojan:Lambda/DropPoint](#trojan-lambda-drop-point)
+ [UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom](#unauthorized-access-lambda-maliciousIPcaller-custom)
+ [UnauthorizedAccess:Lambda/TorClient](#unauthorized-access-lambda-tor-client)
+ [UnauthorizedAccess:Lambda/TorRelay](#unauthorized-access-lambda-tor-relay)

## Backdoor:Lambda/C&CActivity.B
<a name="backdoor-lambda-ccactivity-b"></a>

### Eine Lambda-Funktion fragt eine IP-Adresse ab, die einem bekannten Command-and-Control-Server zugeordnet wird.
<a name="backdoor-lambda-ccactivity-b_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature:** Lambda Network Activity Monitoring

Dieses Ergebnis informiert Sie darüber, dass eine aufgelistete Lambda-Funktion in Ihrer AWS Umgebung eine IP-Adresse abfragt, die einem bekannten Command-and-Control-Server (C&C) zugeordnet ist. Die mit der generierten Erkenntnis verknüpfte Lambda-Funktion ist möglicherweise kompromittiert. C&C-Server sind Computer, die Befehle an Mitglieder eines Botnets senden. 

Ein Botnetz ist eine Sammlung von mit dem Internet verbundenen Geräten, zu denen Server PCs, mobile Geräte und Geräte für das Internet der Dinge gehören können, die mit einer gängigen Art von Malware infiziert sind und von dieser kontrolliert werden. Botnets dienen häufig zum Verteilen von Malware und zum Sammeln von sich widerrechtlich angeeigneten Informationen, wie z. B. Kreditkartennummern. Je nach Zweck und Struktur des Botnets kann der C&C-Server auch den Befehl erteilen, einen DDoS (Distributed Denial of Service)-Angriff zu starten.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, könnte Ihre Lambda-Funktion kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Lambda-Funktion](remediate-lambda-protection-finding-types.md).

## CryptoCurrency:Lambda/BitcoinTool.B
<a name="cryptocurrency-lambda-bitcointool-b"></a>

### Eine Lambda-Funktion fragt eine IP-Adresse ab, die mit einer Aktivität in Zusammenhang mit einer Kryptowährung in Verbindung steht.
<a name="cryptocurrency-lambda-bitcointool-b_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature:** Lambda Network Activity Monitoring

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete Lambda-Funktion in Ihrer AWS Umgebung eine IP-Adresse abfragt, die mit einer Bitcoin- oder anderen kryptowährungsbezogenen Aktivität verknüpft ist. Bedrohungsakteure versuchen möglicherweise, die Kontrolle über Lambda-Funktionen zu übernehmen, um sie böswillig für das unbefugte Mining von Kryptowährungen wiederzuverwenden. 

**Empfehlungen zur Abhilfe:**

Wenn Sie diese Lambda-Funktion verwenden, um Kryptowährungen zu minen oder zu verwalten, oder wenn diese Funktion anderweitig an einer Blockchain-Aktivität beteiligt ist, handelt es sich möglicherweise um eine erwartete Aktivität für Ihre Umgebung. Wenn dies in Ihrer AWS Umgebung der Fall ist, empfehlen wir Ihnen, eine Unterdrückungsregel für dieses Ergebnis einzurichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Erkenntnistyp-Attribut mit dem Wert CryptoCurrency:Lambda/BitcoinTool.B verwenden. Das zweite Filterkriterium sollte der Lambda-Funktionsname des Features sein, die an der Blockchain-Aktivität beteiligt ist. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter [Unterdrückungsregeln](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html). 

Wenn solche Aktivitäten unerwartet auftreten, könnte Ihre Lambda-Funktion kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Lambda-Funktion](remediate-lambda-protection-finding-types.md).

## Trojan:Lambda/BlackholeTraffic
<a name="trojan-lambda-blackhole-traffic"></a>

### Die Lambda-Funktion versucht, mit einer IP-Adresse eines Remote-Hosts zu kommunizieren, der ein bekanntes schwarzes Loch ist.
<a name="trojan-lambda-blackhole-traffic_description"></a>

**Standard-Schweregrad: Mittel**
+ **Feature:** Lambda Network Activity Monitoring

Dieses Ergebnis informiert Sie darüber, dass eine aufgelistete Lambda-Funktion in Ihrer AWS Umgebung versucht, mit der IP-Adresse eines schwarzen Lochs (oder einer Senke) zu kommunizieren. Schwarze Löcher sind Stellen im Netzwerk, an denen eingehender oder ausgehender Datenverkehr stillschweigend verworfen wird, ohne die Quelle darüber zu informieren, dass die Daten den vorgesehenen Empfänger nicht erreicht haben. Die IP-Adresse eines schwarzen Lochs gibt einen Hostcomputer an, der nicht ausgeführt wird, oder eine Adresse, der kein Host zugewiesen wurde. Die aufgeführte Lambda-Funktion ist möglicherweise kompromittiert.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, könnte Ihre Lambda-Funktion kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Lambda-Funktion](remediate-lambda-protection-finding-types.md).

## Trojan:Lambda/DropPoint
<a name="trojan-lambda-drop-point"></a>

### Eine Lambda-Funktion versucht, mit einer IP-Adresse eines Remote-Hosts zu kommunizieren, von dem bekannt ist, dass er Anmeldeinformationen und andere mithilfe von Malware gestohlene Daten enthält.
<a name="trojan-lambda-drop-point_description"></a>

**Standard-Schweregrad: Mittel**
+ **Feature:** Lambda Network Activity Monitoring

Dieses Ergebnis informiert Sie darüber, dass eine aufgelistete Lambda-Funktion in Ihrer AWS Umgebung versucht, mit der IP-Adresse eines Remote-Hosts zu kommunizieren, der bekanntermaßen Anmeldeinformationen und andere gestohlene Daten enthält, die von Malware erfasst wurden.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, könnte Ihre Lambda-Funktion kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Lambda-Funktion](remediate-lambda-protection-finding-types.md).

## UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom
<a name="unauthorized-access-lambda-maliciousIPcaller-custom"></a>

### Eine Lambda-Funktion stellt Verbindungen zu einer IP-Adresse auf einer benutzerdefinierten Bedrohungsliste her.
<a name="unauthorized-access-lambda-maliciousIPcaller-custom_description"></a>

**Standard-Schweregrad: Mittel**
+ **Feature:** Lambda Network Activity Monitoring

Dieses Ergebnis informiert Sie darüber, dass eine Lambda-Funktion in Ihrer AWS Umgebung mit einer IP-Adresse kommuniziert, die in einer von Ihnen hochgeladenen Bedrohungsliste enthalten ist. In GuardDuty besteht eine [Bedrohungsliste](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_upload-lists.html) aus bekannten bösartigen IP-Adressen. GuardDuty generiert Ergebnisse auf der Grundlage der hochgeladenen Bedrohungslisten. Sie können die Details der Bedrohungsliste in den Funddetails auf der GuardDuty Konsole einsehen.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, könnte Ihre Lambda-Funktion kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Lambda-Funktion](remediate-lambda-protection-finding-types.md).

## UnauthorizedAccess:Lambda/TorClient
<a name="unauthorized-access-lambda-tor-client"></a>

### Eine Lambda-Funktion stellt Verbindungen zu einem Tor-Guard oder einem Authority-Knoten her.
<a name="unauthorized-access-lambda-tor-client_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature:** Lambda Network Activity Monitoring

Dieses Ergebnis informiert dich darüber, dass eine Lambda-Funktion in deiner AWS Umgebung Verbindungen zu einem Tor Guard- oder einem Authority-Knoten herstellt. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Tor-Guards und Authority-Knoten fungieren als erste Gateways in ein Tor-Netzwerk. Dieser Datenverkehr kann darauf hinweisen, dass diese Lambda-Funktion möglicherweise kompromittiert wurde. Sie fungiert jetzt als Client in einem Tor-Netzwerk.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, könnte Ihre Lambda-Funktion kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Lambda-Funktion](remediate-lambda-protection-finding-types.md).

## UnauthorizedAccess:Lambda/TorRelay
<a name="unauthorized-access-lambda-tor-relay"></a>

### Eine Lambda-Funktion stellt Verbindungen zu einem Tor-Netzwerk als Tor-Relay her.
<a name="unauthorized-access-lambda-tor-relay_description"></a>

**Standard-Schweregrad: Hoch**
+ **Feature:** Lambda Network Activity Monitoring

Dieses Ergebnis informiert Sie darüber, dass eine Lambda-Funktion in Ihrer AWS Umgebung Verbindungen zu einem Tor-Netzwerk auf eine Weise herstellt, die darauf hindeutet, dass es als Tor-Relay fungiert. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Tor erhöht die Anonymität der Kommunikation, indem es den möglicherweise illegalen Datenverkehr des Kunden von einem Tor-Relay zu einem anderen weiterleitet. 

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, könnte Ihre Lambda-Funktion kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Lambda-Funktion](remediate-lambda-protection-finding-types.md).

# Nicht mehr aktive Erkenntnistypen
<a name="guardduty_finding-types-retired"></a>

Ein Ergebnis ist eine Benachrichtigung, die Details zu einem von GuardDuty festgestellten potenziellen Sicherheitsrisiko enthält. Informationen zu wichtigen Änderungen an den GuardDuty Befundtypen, einschließlich neu hinzugefügter oder veralteter Findtypen, finden Sie unter[Dokumentenverlauf für Amazon GuardDuty](doc-history.md).

Die folgenden Befundtypen wurden eingestellt und nicht mehr von generiert GuardDuty. 

**Wichtig**  
Sie können veraltete GuardDuty Findtypen nicht reaktivieren. 



**Topics**
+ [Exfiltration:S3/ObjectRead.Unusual](#exfiltration-s3-objectreadunusual)
+ [Impact:S3/PermissionsModification.Unusual](#impact-s3-permissionsmodificationunusual)
+ [Impact:S3/ObjectDelete.Unusual](#impact-s3-objectdeleteunusual)
+ [Discovery:S3/BucketEnumeration.Unusual](#discovery-s3-bucketenumerationunusual)
+ [Persistence:IAMUser/NetworkPermissions](#persistence-iam-networkpermissions)
+ [Persistence:IAMUser/ResourcePermissions](#persistence-iam-resourcepermissions)
+ [Persistence:IAMUser/UserPermissions](#persistence-iam-userpermissions)
+ [PrivilegeEscalation:IAMUser/AdministrativePermissions](#privilegeescalation-iam-administrativepermissions)
+ [Recon:IAMUser/NetworkPermissions](#recon-iam-networkpermissions)
+ [Recon:IAMUser/ResourcePermissions](#recon-iam-resourcepermissions)
+ [Recon:IAMUser/UserPermissions](#recon-iam-userpermissions)
+ [ResourceConsumption:IAMUser/ComputeResources](#resourceconsumption-iam-computeresources)
+ [Stealth:IAMUser/LoggingConfigurationModified](#stealth-iam-loggingconfigurationmodified)
+ [UnauthorizedAccess:IAMUser/ConsoleLogin](#unauthorizedaccess-iam-consolelogin)
+ [UnauthorizedAccess:EC2/TorIPCaller](#unauthorizedaccess-ec2-toripcaller)
+ [Backdoor:EC2/XORDDOS](#backdoor2)
+ [Behavior:IAMUser/InstanceLaunchUnusual](#behavior1)
+ [CryptoCurrency:EC2/BitcoinTool.A](#crypto1)
+ [UnauthorizedAccess:IAMUser/UnusualASNCaller](#unauthorized6)

## Exfiltration:S3/ObjectRead.Unusual
<a name="exfiltration-s3-objectreadunusual"></a>

### Eine IAM-Entität hat eine S3-API auf verdächtige Weise aufgerufen.
<a name="exfiltration-s3-objectreadunusual_description"></a>

**Standard-Schweregrad: Mittel\$1**

**Anmerkung**  
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, hat das Ergebnis den Schweregrad Hoch.
+ **Datenquelle:** CloudTrail Datenereignisse für S3

Dieses Ergebnis informiert Sie darüber, dass eine IAM-Entität in Ihrer AWS Umgebung API-Aufrufe tätigt, die einen S3-Bucket betreffen und die sich von der festgelegten Baseline dieser Entität unterscheiden. Der in dieser Aktivität verwendete API-Aufruf steht im Zusammenhang mit der Exfiltrationsphase eines Angriffs, in der ein Angreifer versucht, Daten zu sammeln. Diese Aktivität ist verdächtig, da die Art und Weise, wie die IAM-Entität die API aufgerufen hat, ungewöhnlich war. Beispielsweise hatte diese IAM-Entität noch nie zuvor diese Art von API aufgerufen, oder die API wurde von einem ungewöhnlichen Ort aus aufgerufen.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

## Impact:S3/PermissionsModification.Unusual
<a name="impact-s3-permissionsmodificationunusual"></a>

### Eine IAM-Entität hat eine API aufgerufen, um die Berechtigungen für eine oder mehrere S3-Ressourcen zu ändern.
<a name="impact-s3-permissionsmodificationunusual_description"></a>

**Standard-Schweregrad: Mittel\$1**

**Anmerkung**  
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, ist der Schweregrad des Ergebnisses hoch.

Diese Erkenntnis informiert Sie darüber, dass eine IAM-Entität API-Aufrufe durchführt, um die Berechtigungen für einen oder mehrere Buckets oder Objekte in Ihrer AWS -Umgebung zu ändern. Diese Aktion kann von einem Angreifer ausgeführt werden, um die Weitergabe von Informationen außerhalb des Kontos zu ermöglichen. Diese Aktivität ist verdächtig, da die Art und Weise, wie die IAM-Entität die API aufgerufen hat, ungewöhnlich war. Beispielsweise hatte diese IAM-Entität noch nie zuvor diese Art von API aufgerufen, oder die API wurde von einem ungewöhnlichen Ort aus aufgerufen.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

## Impact:S3/ObjectDelete.Unusual
<a name="impact-s3-objectdeleteunusual"></a>

### Eine IAM-Entität rief eine API zum Löschen von Daten in einem S3-Bucket auf.
<a name="impact-s3-objectdeleteunusual_description"></a>

**Standard-Schweregrad: Mittel\$1**

**Anmerkung**  
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, hat das Ergebnis den Schweregrad Hoch.

Dieses Ergebnis informiert Sie darüber, dass eine bestimmte IAM-Entität in Ihrer AWS Umgebung API-Aufrufe durchführt, um Daten im aufgelisteten S3-Bucket zu löschen, indem der Bucket selbst gelöscht wird. Diese Aktivität ist verdächtig, da die Art und Weise, wie die IAM-Entität die API aufgerufen hat, ungewöhnlich war. Beispielsweise hatte diese IAM-Entität noch nie zuvor diese Art von API aufgerufen, oder die API wurde von einem ungewöhnlichen Ort aus aufgerufen.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

## Discovery:S3/BucketEnumeration.Unusual
<a name="discovery-s3-bucketenumerationunusual"></a>

### Eine IAM-Entität hat eine S3-API aufgerufen, um S3-Buckets in Ihrem Netzwerk zu erkennen.
<a name="discovery-s3-bucketenumerationunusual_description"></a>

**Standard-Schweregrad: Mittel\$1**

**Anmerkung**  
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, ist der Schweregrad des Ergebnisses hoch.

Diese Erkenntnis informiert Sie darüber, dass eine IAM-Entität eine S3-API aufgerufen hat, um S3-Buckets in Ihrer Umgebung zu erkennen, z. B. `ListBuckets`. Diese Art von Aktivität steht im Zusammenhang mit der Erkennungsphase eines Angriffs, in der ein Angreifer Informationen sammelt, um festzustellen, ob Ihre AWS Umgebung für einen umfassenderen Angriff anfällig ist. Diese Aktivität ist verdächtig, da die Art und Weise, wie die IAM-Entität die API aufgerufen hat, ungewöhnlich war. Beispielsweise hatte diese IAM-Entität noch nie zuvor diese Art von API aufgerufen, oder die API wurde von einem ungewöhnlichen Ort aus aufgerufen.

**Empfehlungen zur Abhilfe:**

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter [Behebung eines potenziell gefährdeten S3-Buckets](compromised-s3.md).

## Persistence:IAMUser/NetworkPermissions
<a name="persistence-iam-networkpermissions"></a>

### Eine IAM-Entität hat eine API aufgerufen, die üblicherweise zur Änderung der Netzwerkzugriffsberechtigungen für Sicherheitsgruppen, Routen und ACLs in Ihrem AWS Konto verwendet wird.
<a name="persistence-iam-networkpermissions_description"></a>

**Standard-Schweregrad: Mittel\$1**

**Anmerkung**  
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, hat das Ergebnis den Schweregrad Hoch.

Dieses Ergebnis deutet darauf hin, dass ein bestimmter Principal (Root-Benutzer des AWS-Kontos, eine IAM-Rolle oder ein bestimmter Benutzer) in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Ausgangslage unterscheidet. Dieser Prinzipal hat diese API bisher nicht aufgerufen.

Diese Erkenntnis wird ausgelöst, wenn Netzwerkkonfigurationseinstellungen unter verdächtigen Umständen geändert werden, z. B. wenn ein Prinzipal die `CreateSecurityGroup`-API aufruft, ohne dies jemals in der Vergangenheit getan zu haben. Angreifer versuchen häufig, Sicherheitsgruppen zu ändern, um bestimmten eingehenden Datenverkehr auf verschiedenen Ports zuzulassen und besser auf eine EC2-Instance zugreifen zu können.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## Persistence:IAMUser/ResourcePermissions
<a name="persistence-iam-resourcepermissions"></a>

### Ein Principal hat eine API aufgerufen, die üblicherweise verwendet wird, um die Sicherheitszugriffsrichtlinien verschiedener Ressourcen in Ihrer zu ändern. AWS-Konto
<a name="persistence-iam-resourcepermissions_description"></a>

**Standard-Schweregrad: Mittel\$1**

**Anmerkung**  
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die aufgerufene API jedoch temporäre AWS Anmeldeinformationen verwendet, die auf einer Instance erstellt wurden, ist der Schweregrad des Fehlers hoch.

Dieses Ergebnis deutet darauf hin, dass ein bestimmter Principal (Root-Benutzer des AWS-Kontos, eine IAM-Rolle oder ein bestimmter Benutzer) in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Baseline unterscheidet. Dieser Prinzipal hat diese API bisher nicht aufgerufen. 

Dieses Ergebnis wird ausgelöst, wenn eine Änderung an Richtlinien oder Berechtigungen festgestellt wird, die mit AWS Ressourcen verknüpft sind, z. B. wenn ein Principal in Ihrer AWS Umgebung die `PutBucketPolicy` API aufruft, ohne dies in der Vergangenheit getan zu haben. Einige Services, z. B. Amazon S3, unterstützen ressourcengebundene Berechtigungen, die einem oder mehreren Prinzipalen Zugriff auf die Ressource gewähren. Mit gestohlenen Anmeldeinformationen können Angreifer die einer Ressource zugeordneten Richtlinien ändern, um sich künftig Zugriff auf diese Ressource zu verschaffen.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## Persistence:IAMUser/UserPermissions
<a name="persistence-iam-userpermissions"></a>

### Ein Principal hat eine API aufgerufen, die üblicherweise zum Hinzufügen, Ändern oder Löschen von IAM-Benutzern, -Gruppen oder -Richtlinien in Ihrem Konto verwendet wird. AWS
<a name="persistence-iam-userpermissions_description"></a>

**Standard-Schweregrad: Mittel\$1**

**Anmerkung**  
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, hat das Ergebnis den Schweregrad Hoch.

Dieses Ergebnis deutet darauf hin, dass ein bestimmter Principal (Root-Benutzer des AWS-Kontos, eine IAM-Rolle oder ein bestimmter Benutzer) in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Ausgangslage unterscheidet. Dieser Prinzipal hat diese API bisher nicht aufgerufen. 

Dieses Ergebnis wird durch verdächtige Änderungen an den benutzerbezogenen Berechtigungen in Ihrer AWS Umgebung ausgelöst, z. B. wenn ein Principal in Ihrer AWS Umgebung die `AttachUserPolicy` API aufruft, ohne dies in der Vergangenheit getan zu haben. Angreifer können gestohlene Anmeldeinformationen verwenden, um neue Benutzer zu erstellen, Zugriffsrichtlinien für bestehende Benutzer hinzuzufügen oder Zugriffsschlüssel zu erstellen, um ihren Zugriff auf ein Konto zu maximieren, selbst wenn ihr ursprünglicher Zugangspunkt geschlossen ist. Beispielsweise könnte der Besitzer des Kontos feststellen, dass ein bestimmter IAM-Benutzer oder ein bestimmtes IAM-Passwort gestohlen wurde, und es aus dem Konto löschen. Andere Benutzer, die von einem betrügerisch erstellten Administratorprinzipal erstellt wurden, werden jedoch möglicherweise nicht gelöscht, sodass der Angreifer auf ihr AWS Konto zugreifen kann. 

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## PrivilegeEscalation:IAMUser/AdministrativePermissions
<a name="privilegeescalation-iam-administrativepermissions"></a>

### Ein Prinzipal hat versucht, sich selbst eine hochgradig weitreichende Richtlinie zuzuweisen.
<a name="privilegeescalation-iam-administrativepermissions_description"></a>

**Standard-Schweregrad: Niedrig\$1**

**Anmerkung**  
Wenn der Angriff auf die Berechtigungseskalation nicht erfolgreich war, ist der Schweregrad des Ergebnises „Niedrig“, wenn der Angriff erfolgreich war, ist der Schweregrad „Mittel“.

Dieses Ergebnis deutet darauf hin, dass eine bestimmte IAM-Entität in Ihrer AWS Umgebung ein Verhalten zeigt, das auf einen Angriff zur Eskalation von Rechten hinweisen kann. Diese Erkenntnis wird ausgelöst, wenn ein IAM-Benutzer oder eine Rolle versucht, sich selbst eine hochgradig weitreichende Richtlinie zuzuweisen. Wenn der betreffende Benutzer oder die betreffende Rolle nicht über Administratorrechte verfügen soll, sind entweder die Anmeldeinformationen des Benutzers gefährdet oder die Berechtigungen der Rolle sind möglicherweise nicht richtig konfiguriert. 

Angreifer können gestohlene Anmeldeinformationen verwenden, um neue Benutzer zu erstellen, Zugriffsrichtlinien für bestehende Benutzer hinzuzufügen oder Zugriffsschlüssel zu erstellen, um ihren Zugriff auf ein Konto zu maximieren, selbst wenn ihr ursprünglicher Zugangspunkt geschlossen ist. Der Eigentümer des Kontos stellt möglicherweise fest, dass ein bestimmter IAM-Benutzer oder ein Passwort gestohlen wurden, und löscht diese aus dem Konto. Hierbei entfernt er aber möglicherweise andere Benutzer nicht, die vom betrügerisch angelegten Admin-Prinzipal angelegt wurden, sodass ihr AWS -Konto dem Angreifer weiterhin zur Verfügung steht. 

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## Recon:IAMUser/NetworkPermissions
<a name="recon-iam-networkpermissions"></a>

### Ein Principal hat eine API aufgerufen, die üblicherweise verwendet wird, um die Netzwerkzugriffsberechtigungen für Sicherheitsgruppen, Routen und ACLs in Ihrem AWS Konto zu ändern.
<a name="recon-iam-networkpermissions_description"></a>

**Standard-Schweregrad: Mittel\$1**

**Anmerkung**  
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, hat das Ergebnis den Schweregrad Hoch.

Dieses Ergebnis deutet darauf hin, dass ein bestimmter Principal (Root-Benutzer des AWS-Kontos, eine IAM-Rolle oder ein bestimmter Benutzer) in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Ausgangslage unterscheidet. Dieser Prinzipal hat diese API bisher nicht aufgerufen. 

Diese Erkenntnis wird ausgelöst, wenn Ressourcen-Zugriffsberechtigungen in Ihrem AWS -Konto unter fragwürdigen Umständen untersucht werden. Dies trifft beispielsweise dann zu, wenn ein Prinzipal zum ersten Mal die `DescribeInstances`-API aufgerufen hat. Ein Angreifer könnte gestohlene Anmeldeinformationen verwenden, um diese Art der Erkennung Ihrer AWS Ressourcen durchzuführen, um wertvollere Anmeldeinformationen zu finden oder die Fähigkeiten der Anmeldeinformationen zu ermitteln, über die er bereits verfügt.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## Recon:IAMUser/ResourcePermissions
<a name="recon-iam-resourcepermissions"></a>

### Ein Principal hat eine API aufgerufen, die üblicherweise verwendet wird, um die Sicherheitszugriffsrichtlinien verschiedener Ressourcen in Ihrem Konto zu ändern. AWS
<a name="recon-iam-resourcepermissions_description"></a>

**Standard-Schweregrad: Mittel\$1**

**Anmerkung**  
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, hat das Ergebnis den Schweregrad Hoch.

Dieses Ergebnis deutet darauf hin, dass ein bestimmter Principal (Root-Benutzer des AWS-Kontos, eine IAM-Rolle oder ein bestimmter Benutzer) in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Ausgangslage unterscheidet. Dieser Prinzipal hat diese API bisher nicht aufgerufen. 

 Diese Erkenntnis wird ausgelöst, wenn Ressourcen-Zugriffsberechtigungen in Ihrem AWS -Konto unter fragwürdigen Umständen untersucht werden. Dies trifft beispielsweise dann zu, wenn ein Prinzipal zum ersten Mal die `DescribeInstances`-API aufgerufen hat. Ein Angreifer könnte gestohlene Anmeldeinformationen verwenden, um diese Art der Erkennung Ihrer AWS Ressourcen durchzuführen, um wertvollere Anmeldeinformationen zu finden oder die Fähigkeiten der Anmeldeinformationen zu ermitteln, über die er bereits verfügt.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## Recon:IAMUser/UserPermissions
<a name="recon-iam-userpermissions"></a>

### Ein Principal hat eine API aufgerufen, die üblicherweise zum Hinzufügen, Ändern oder Löschen von IAM-Benutzern, -Gruppen oder -Richtlinien in Ihrem Konto verwendet wird. AWS
<a name="recon-iam-userpermissions_description"></a>

**Standard-Schweregrad: Mittel\$1**

**Anmerkung**  
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, hat das Ergebnis den Schweregrad Hoch.

Dieses Ergebnis wird ausgelöst, wenn Benutzerberechtigungen in Ihrer AWS Umgebung unter verdächtigen Umständen geprüft werden. Dies trifft beispielsweise dann zu, wenn ein Prinzipal (Root-Benutzer des AWS-Kontos, IAM-Rolle, oder Benutzer) zum ersten Mal die `ListInstanceProfilesForRole`-API aufgerufen hat. Ein Angreifer könnte gestohlene Anmeldeinformationen verwenden, um diese Art der Erkennung Ihrer AWS Ressourcen durchzuführen, um wertvollere Anmeldeinformationen zu finden oder die Fähigkeiten der Anmeldeinformationen zu ermitteln, über die er bereits verfügt.

Dieses Ergebnis deutet darauf hin, dass ein bestimmter Principal in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Ausgangslage unterscheidet. Dieser Prinzipal hat diese API bisher nicht aufgerufen.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## ResourceConsumption:IAMUser/ComputeResources
<a name="resourceconsumption-iam-computeresources"></a>

### Ein Prinzipal hat eine API aufgerufen, die häufig zum Starten von Datenverarbeitungsressourcen verwendet wird, wie beispielsweise EC2-Instances.
<a name="resourceconsumption-iam-computeresources_description"></a>

**Standard-Schweregrad: Mittel\$1**

**Anmerkung**  
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, hat das Ergebnis den Schweregrad Hoch.

Diese Erkenntnis wird ausgelöst, wenn EC2-Instances im aufgeführten Konto in Ihrer AWS -Umgebung unter fragwürdigen Umständen gestartet werden. Dieses Ergebnis deutet darauf hin, dass ein bestimmter Principal in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Baseline unterscheidet, z. B. wenn ein Principal (Root-Benutzer des AWS-Kontos, eine IAM-Rolle oder ein IAM-Benutzer) die `RunInstances` API aufgerufen hat, ohne dies in der Vergangenheit getan zu haben. Dies kann ein Anzeichen für einen Angreifer sein, der gestohlene Anmeldeinformationen nutzt, um Rechenzeit zu stehlen (beispielsweise für das Mining von Kryptowährung oder zum Entschlüsseln von Passwörtern). Es kann auch ein Hinweis darauf sein, dass ein Angreifer eine EC2-Instance in Ihrer AWS Umgebung und deren Anmeldeinformationen verwendet, um den Zugriff auf Ihr Konto aufrechtzuerhalten.



**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## Stealth:IAMUser/LoggingConfigurationModified
<a name="stealth-iam-loggingconfigurationmodified"></a>

### Ein Principal hat eine API aufgerufen, die üblicherweise verwendet wird, um die CloudTrail Protokollierung zu beenden, bestehende Protokolle zu löschen und auf andere Weise Spuren von Aktivitäten in Ihrem AWS Konto zu beseitigen.
<a name="stealth-iam-loggingconfigurationmodified_description"></a>

**Standard-Schweregrad: Mittel\$1**

**Anmerkung**  
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, hat das Ergebnis den Schweregrad Hoch.

Diese Erkenntnis wird ausgelöst, wenn die Protokollierungskonfiguration in dem aufgeführten AWS -Konto in Ihrer Umgebung unter fragwürdigen Umständen geändert wird. Dieses Ergebnis informiert Sie darüber, dass ein bestimmter Principal in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Baseline unterscheidet, z. B. wenn ein Principal (Root-Benutzer des AWS-Kontos, eine IAM-Rolle oder ein IAM-Benutzer) die `StopLogging` API aufgerufen hat, ohne dies in der Vergangenheit getan zu haben. Dies kann darauf hinweisen, dass ein Angreifer versucht, seine Spuren zu verwischen, indem er alle Anzeichen von Aktivität entfernt.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## UnauthorizedAccess:IAMUser/ConsoleLogin
<a name="unauthorizedaccess-iam-consolelogin"></a>

### Es wurde eine ungewöhnliche Konsolenanmeldung durch einen Principal in Ihrem AWS Konto beobachtet.
<a name="unauthorizedaccess-iam-consolelogin_description"></a>

**Standard-Schweregrad: Mittel\$1**

**Anmerkung**  
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, hat das Ergebnis den Schweregrad Hoch.

Diese Erkenntnis wird ausgelöst, wenn eine Konsolenanmeldung unter fragwürdigen Umständen erkannt wird. Dies ist beispielsweise der Fall, wenn ein Principal, der dies in der Vergangenheit noch nicht getan hat, die ConsoleLogin API von einem never-before-used Client oder einem ungewöhnlichen Standort aus aufgerufen hat. Dies könnte ein Hinweis darauf sein, dass gestohlene Anmeldeinformationen verwendet wurden, um auf Ihr AWS Konto zuzugreifen, oder dass ein gültiger Benutzer auf ungültige oder weniger sichere Weise auf das Konto zugreift (z. B. nicht über ein zugelassenes VPN).

Dieses Ergebnis informiert Sie darüber, dass ein bestimmter Principal in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Ausgangslage unterscheidet. Für diesen Prinzipal gibt es keinen vorherigen Verlauf von Anmeldeaktivitäten mit dieser Client-Anwendung von diesem bestimmten Standort aus.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## UnauthorizedAccess:EC2/TorIPCaller
<a name="unauthorizedaccess-ec2-toripcaller"></a>

### Ihre EC2-Instance erhält eingehende Verbindungen von einem Tor-Exit-Knoten.
<a name="unauthorizedaccess-ec2-toripcaller_description"></a>

**Standard-Schweregrad: Mittel**

Dieses Ergebnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS Umgebung eingehende Verbindungen von einem Tor-Ausgangsknoten empfängt. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese nach dem Zufallsprinzip durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dieses Ergebnis kann auf einen unbefugten Zugriff auf Ihre AWS Ressourcen hinweisen, mit der Absicht, die wahre Identität des Angreifers zu verbergen.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Backdoor:EC2/XORDDOS
<a name="backdoor2"></a>

### Eine EC2-Instance versucht, mit einer IP-Adresse zu kommunizieren, die mit XOR DDo S-Malware verknüpft ist.
<a name="backdoor2_description"></a>

**Standard-Schweregrad: Hoch**

Dieses Ergebnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS Umgebung versucht, mit einer IP-Adresse zu kommunizieren, die mit XOR-DDoS-Malware in Verbindung steht. Diese EC2-Instance wurde möglicherweise kompromittiert. XOR DDo S ist eine trojanische Malware, die Linux-Systeme kapert. Sie versucht Zugriff auf das System zu erhalten, indem sie einen Brute-Force-Angriff startet, um das Passwort für Secure Shell (SSH)-Services unter Linux zu ermitteln. Nachdem die SSH-Anmeldeinformationen abgerufen wurden und die Anmeldung erfolgreich war, verwendet es Root-Benutzerrechte, um ein Skript auszuführen, das XOR S herunterlädt und installiert. DDo Diese Schadsoftware wird dann als Teil eines Botnetzes verwendet, um Distributed-Denial-of-Service (DDoS) -Angriffe gegen andere Ziele zu starten.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## Behavior:IAMUser/InstanceLaunchUnusual
<a name="behavior1"></a>

### Ein Benutzer hat eine EC2-Instance eines ungewöhnlichen Typs gestartet.
<a name="behavior1_description"></a>

**Standard-Schweregrad: Hoch**

Dieses Ergebnis informiert Sie darüber, dass ein bestimmter Benutzer in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Ausgangslage unterscheidet. Dieser Benutzer hat noch nie zuvor eine EC2-Instance dieses Typs gestartet. Ihre Anmeldeinformationen wurden möglicherweise kompromittiert.

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## CryptoCurrency:EC2/BitcoinTool.A
<a name="crypto1"></a>

### Eine EC2-Instance kommuniziert mit Bitcoin-Mining-Pools.
<a name="crypto1_description"></a>

**Standard-Schweregrad: Hoch**

Dieses Ergebnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS Umgebung mit Bitcoin-Mining-Pools kommuniziert. Beim Mining von Kryptowährungen werden Ressourcen in einem Pool kombiniert, damit die Verarbeitungsleistung über ein Netzwerk gemeinsam genutzt werden kann. Der Gewinn wird dann nach Maßgabe der zur Lösung des Blocks beigetragenen Arbeit aufgeteilt. Wenn Sie diese EC2-Instance nicht für Bitcoin-Mining verwenden, könnte Ihre EC2-Instance kompromittiert worden sein. 

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

## UnauthorizedAccess:IAMUser/UnusualASNCaller
<a name="unauthorized6"></a>

### Eine API wurde von einer IP-Adresse eines unüblichen Netzwerks aufgerufen.
<a name="unauthorized6_description"></a>

**Standard-Schweregrad: Hoch**

Dieses Ergebnis informiert Sie darüber, dass eine bestimmte Aktivität von einer IP-Adresse eines ungewöhnlichen Netzwerks aus aufgerufen wurde. Dieses Netzwerk wurde im gesamten AWS -Nutzungsverlauf des beschriebenen Benutzers noch nie beobachtet. Diese Aktivität kann eine Konsolen-Anmeldung, einen Versuch, eine EC2-Instance zu starten, einen neuen IAM-Benutzer anzulegen, Ihre AWS -Privilegien zu ändern usw. beinhalten. Dies kann auf einen unbefugten Zugriff auf Ihre AWS Ressourcen hinweisen. 

**Empfehlungen zur Abhilfe:**

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).

## GuardDuty Suchen nach Typen anhand potenziell betroffener Ressourcen
<a name="findings-by-resource"></a>

Die folgenden Seiten sind nach dem Typ der potenziell betroffenen Ressource, die mit einem GuardDuty Ergebnis verknüpft ist, kategorisiert:
+ [EC2-Erkenntnistypen](guardduty_finding-types-ec2.md)
+ [IAM-Erkenntnistypen](guardduty_finding-types-iam.md)
+ [Arten der Suche nach Angriffssequenzen](guardduty-attack-sequence-finding-types.md)
+ [Suchtypen für den S3-Schutz](guardduty_finding-types-s3.md)
+ [Arten der Suche nach EKS-Schutz](guardduty-finding-types-eks-audit-logs.md)
+ [Runtime Monitoring findet Typen](findings-runtime-monitoring.md)
+ [Malware-Schutz für EC2-Suchtypen](findings-malware-protection.md)
+ [Suchtyp „Malware-Schutz für S3“](gdu-malware-protection-s3-finding-types.md)
+ [Malware-Schutz für Backup-Suchtypen](findings-malware-protection-backup.md)
+ [Erkenntnistypen für RDS Protection](findings-rds-protection.md)
+ [Lambda-Protection-Erkenntnistypen](lambda-protection-finding-types.md)

## GuardDuty Typen von aktiven Ergebnissen
<a name="findings-table"></a>

Die folgende Tabelle zeigt alle aktiven Erkenntnistypen, sortiert nach der zugrunde liegenden Datenquelle oder das jeweiligen Feature. In der folgenden Tabelle sind die Werte in der Spalte „*Schweregrad* der Ergebnisse“ für einige Ergebnisse mit einem Sternchen (\$1) oder einem Pluszeichen (\$1) gekennzeichnet:

\$1 Diese Feststellungstypen haben einen unterschiedlichen Schweregrad. Ein Befund eines bestimmten Typs kann je nach dem für das Ergebnis spezifischen Kontext einen unterschiedlichen Schweregrad haben. Weitere Informationen zu einem Befundtyp finden Sie in der ausführlichen Beschreibung.

\$1 EC2-Ergebnisse, die VPC-Flow-Logs als Datenquelle verwenden, unterstützen IPv6 keinen Datenverkehr.


| Ergebnistyp | Ressourcentyp | Grundlegende Datenquelle/Feature | Der Schweregrad einer Erkenntnis | 
| --- | --- | --- | --- | 
| [Discovery:S3/AnomalousBehavior](guardduty_finding-types-s3.md#discovery-s3-anomalousbehavior) | Amazon S3 | CloudTrail Datenereignisse für S3 | Niedrig | 
| [Discovery:S3/MaliciousIPCaller](guardduty_finding-types-s3.md#discovery-s3-maliciousipcaller) | Amazon S3 | CloudTrail Datenereignisse für S3 | Hoch | 
| [Discovery:S3/MaliciousIPCaller.Custom](guardduty_finding-types-s3.md#discovery-s3-maliciousipcallercustom) | Amazon S3 | CloudTrail Datenereignisse für S3 | Hoch | 
| [Discovery:S3/TorIPCaller](guardduty_finding-types-s3.md#discovery-s3-toripcaller) | Amazon S3 | CloudTrail Datenereignisse für S3 | Mittel | 
| [Exfiltration:S3/AnomalousBehavior](guardduty_finding-types-s3.md#exfiltration-s3-anomalousbehavior) | Amazon S3 | CloudTrail Datenereignisse für S3 | Hoch | 
| [Exfiltration:S3/MaliciousIPCaller](guardduty_finding-types-s3.md#exfiltration-s3-maliciousipcaller) | Amazon S3 | CloudTrail Datenereignisse für S3 | Hoch | 
|  [Impact:EC2/MaliciousDomainRequest.Custom](guardduty_finding-types-ec2.md#impact-ec2-maliciousdomainrequest-custom)  |  Amazon EC2  | DNS-Protokolle |  Mittel  | 
| [Impact:S3/AnomalousBehavior.Delete](guardduty_finding-types-s3.md#impact-s3-anomalousbehavior-delete) | Amazon S3 | CloudTrail Datenereignisse für S3 | Hoch | 
| [Impact:S3/AnomalousBehavior.Permission](guardduty_finding-types-s3.md#impact-s3-anomalousbehavior-permission) | Amazon S3 | CloudTrail Datenereignisse für S3 | Hoch | 
| [Impact:S3/AnomalousBehavior.Write](guardduty_finding-types-s3.md#impact-s3-anomalousbehavior-write) | Amazon S3 | CloudTrail Datenereignisse für S3 | Mittel | 
| [Impact:S3/MaliciousIPCaller](guardduty_finding-types-s3.md#impact-s3-maliciousipcaller) | Amazon S3 | CloudTrail Datenereignisse für S3 | Hoch | 
| [PenTest:S3/KaliLinux](guardduty_finding-types-s3.md#pentest-s3-kalilinux) | Amazon S3 | CloudTrail Datenereignisse für S3 | Mittel | 
| [PenTest:S3/ParrotLinux](guardduty_finding-types-s3.md#pentest-s3-parrotlinux) | Amazon S3 | CloudTrail Datenereignisse für S3 | Mittel | 
| [PenTest:S3/PentooLinux](guardduty_finding-types-s3.md#pentest-s3-pentoolinux) | Amazon S3 | CloudTrail Datenereignisse für S3 | Mittel | 
| [UnauthorizedAccess:S3/TorIPCaller](guardduty_finding-types-s3.md#unauthorizedaccess-s3-toripcaller) | Amazon S3 | CloudTrail Datenereignisse für S3 | Hoch | 
| [UnauthorizedAccess:S3/MaliciousIPCaller.Custom](guardduty_finding-types-s3.md#unauthorizedaccess-s3-maliciousipcallercustom) | Amazon S3 | CloudTrail Datenereignisse für S3 | Hoch | 
| [CredentialAccess:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#credentialaccess-iam-anomalousbehavior) | IAM | CloudTrail Verwaltungsereignisse | Mittel | 
| [CredentialAccess:IAMUser/CompromisedCredentials](guardduty_finding-types-iam.md#credentialaccess-iam-compromisedcredentials) | IAM | CloudTrail Verwaltungsereignisse oder CloudTrail Datenereignisse für S3 | Hoch | 
| [DefenseEvasion:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#defenseevasion-iam-anomalousbehavior) | IAM | CloudTrail Verwaltungsereignisse | Mittel | 
| [DefenseEvasion:IAMUser/BedrockLoggingDisabled](guardduty_finding-types-iam.md#defenseevasion-iam-bedrockloggingdisabled) | IAM | CloudTrail Management-Ereignisse | Mittel | 
| [Discovery:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#discovery-iam-anomalousbehavior) | IAM | CloudTrail Management-Ereignisse | Niedrig | 
| [Exfiltration:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#exfiltration-iam-anomalousbehavior) | IAM | CloudTrail Management-Ereignisse | Hoch | 
| [Impact:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#impact-iam-anomalousbehavior) | IAM | CloudTrail Management-Ereignisse | Hoch | 
| [InitialAccess:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#initialaccess-iam-anomalousbehavior) | IAM | CloudTrail Management-Ereignisse | Mittel | 
| [PenTest:IAMUser/KaliLinux](guardduty_finding-types-iam.md#pentest-iam-kalilinux) | IAM | CloudTrail Management-Ereignisse | Mittel | 
| [PenTest:IAMUser/ParrotLinux](guardduty_finding-types-iam.md#pentest-iam-parrotlinux) | IAM | CloudTrail Management-Ereignisse | Mittel | 
| [PenTest:IAMUser/PentooLinux](guardduty_finding-types-iam.md#pentest-iam-pentoolinux) | IAM | CloudTrail Management-Ereignisse | Mittel | 
| [Persistence:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#persistence-iam-anomalousbehavior) | IAM | CloudTrail Management-Ereignisse | Mittel | 
| [Stealth:IAMUser/PasswordPolicyChange](guardduty_finding-types-iam.md#stealth-iam-passwordpolicychange) | IAM | CloudTrail Management-Ereignisse | Niedrig [*](#gdu-active-findings-variable-severity) | 
| [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationinsideaws) | IAM | CloudTrail Management-Ereignisse | Hoch [*](#gdu-active-findings-variable-severity) | 
| [Policy:S3/AccountBlockPublicAccessDisabled](guardduty_finding-types-s3.md#policy-s3-accountblockpublicaccessdisabled) | Amazon S3 | CloudTrail Management-Ereignisse | Niedrig | 
| [Policy:S3/BucketAnonymousAccessGranted](guardduty_finding-types-s3.md#policy-s3-bucketanonymousaccessgranted) | Amazon S3 | CloudTrail Management-Ereignisse | Hoch | 
| [Policy:S3/BucketBlockPublicAccessDisabled](guardduty_finding-types-s3.md#policy-s3-bucketblockpublicaccessdisabled) | Amazon S3 | CloudTrail Management-Ereignisse | Niedrig | 
| [Policy:S3/BucketPublicAccessGranted](guardduty_finding-types-s3.md#policy-s3-bucketpublicaccessgranted) | Amazon S3 | CloudTrail Management-Ereignisse | Hoch | 
| [PrivilegeEscalation:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#privilegeescalation-iam-anomalousbehavior) | IAM | CloudTrail Management-Ereignisse | Mittel | 
| [Recon:IAMUser/MaliciousIPCaller](guardduty_finding-types-iam.md#recon-iam-maliciousipcaller) | IAM | CloudTrail Management-Ereignisse | Mittel | 
| [Recon:IAMUser/MaliciousIPCaller.Custom](guardduty_finding-types-iam.md#recon-iam-maliciousipcallercustom) | IAM | CloudTrail Management-Ereignisse | Mittel | 
| [Recon:IAMUser/TorIPCaller](guardduty_finding-types-iam.md#recon-iam-toripcaller) | IAM | CloudTrail Management-Ereignisse | Mittel | 
| [Stealth:IAMUser/CloudTrailLoggingDisabled](guardduty_finding-types-iam.md#stealth-iam-cloudtrailloggingdisabled) | IAM | CloudTrail Management-Ereignisse | Niedrig | 
| [Stealth:S3/ServerAccessLoggingDisabled](guardduty_finding-types-s3.md#stealth-s3-serveraccessloggingdisabled) | Amazon S3 | CloudTrail Management-Ereignisse | Niedrig | 
| [UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B](guardduty_finding-types-iam.md#unauthorizedaccess-iam-consoleloginsuccessb) | IAM | CloudTrail Management-Ereignisse | Mittel | 
| [UnauthorizedAccess:IAMUser/MaliciousIPCaller](guardduty_finding-types-iam.md#unauthorizedaccess-iam-maliciousipcaller) | IAM | CloudTrail Management-Ereignisse | Mittel | 
| [UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom](guardduty_finding-types-iam.md#unauthorizedaccess-iam-maliciousipcallercustom) | IAM | CloudTrail Management-Ereignisse | Mittel | 
| [UnauthorizedAccess:IAMUser/TorIPCaller](guardduty_finding-types-iam.md#unauthorizedaccess-iam-toripcaller) | IAM | CloudTrail Management-Ereignisse | Mittel | 
| [Policy:IAMUser/RootCredentialUsage](guardduty_finding-types-iam.md#policy-iam-rootcredentialusage) | IAM | CloudTrail Verwaltungsereignisse oder CloudTrail Datenereignisse für S3 | Niedrig | 
| [Policy:IAMUser/ShortTermRootCredentialUsage](guardduty_finding-types-iam.md#policy-iam-user-short-term-root-credential-usage) | IAM | CloudTrail Verwaltungsereignisse oder CloudTrail Datenereignisse für S3 | Niedrig | 
| [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws) | IAM | CloudTrail Verwaltungsereignisse oder CloudTrail Datenereignisse für S3 | Hoch | 
| [UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-resourcecredentialexfiltrationoutsideaws) | IAM | CloudTrail Verwaltungsereignisse oder CloudTrail Datenereignisse für S3 | Hoch | 
|  [AttackSequence:EKS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-eks-compromised-cluster)  |  An der Angriffssequenz beteiligte Ressourcen  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/guardduty_finding-types-active.html)  |  Kritisch  | 
|  [AttackSequence:IAM/CompromisedCredentials](guardduty-attack-sequence-finding-types.md#attack-sequence-iam-compromised-credentials)  |  An der Angriffssequenz beteiligte Ressourcen  |  CloudTrail Verwaltungsereignisse  |  Kritisch  | 
|  [AttackSequence:S3/CompromisedData](guardduty-attack-sequence-finding-types.md#attack-sequence-s3-compromised-data)  |  An der Angriffssequenz beteiligte Ressourcen  |  CloudTrail Verwaltungsereignisse und CloudTrail Datenereignisse für S3  |  Kritisch  | 
|  [AttackSequence:ECS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-ecs-compromised-cluster)  |  An der Angriffssequenz beteiligte Ressourcen  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/guardduty_finding-types-active.html)  |  Kritisch  | 
|  [AttackSequence:EC2/CompromisedInstanceGroup](guardduty-attack-sequence-finding-types.md#attack-sequence-ec2-compromised-instance-group)  |  An der Angriffssequenz beteiligte Ressourcen  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/guardduty_finding-types-active.html)  |  Kritisch  | 
| [Backdoor:EC2/C&CActivity.B\$1DNS](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivitybdns) | Amazon EC2 | DNS-Protokolle | Hoch | 
| [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolbdns) | Amazon EC2 | DNS-Protokolle | Hoch | 
| [Impact:EC2/AbusedDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-abuseddomainrequestreputation) | Amazon EC2 | DNS-Protokolle | Mittel | 
| [Impact:EC2/BitcoinDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-bitcoindomainrequestreputation) | Amazon EC2 | DNS-Protokolle | Hoch | 
| [Impact:EC2/MaliciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-maliciousdomainrequestreputation) | Amazon EC2 | DNS-Protokolle | Hoch | 
| [Impact:EC2/SuspiciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-suspiciousdomainrequestreputation) | Amazon EC2 | DNS-Protokolle | Niedrig | 
| [Trojan:EC2/BlackholeTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-blackholetrafficdns) | Amazon EC2 | DNS-Protokolle | Mittel | 
| [Trojan:EC2/DGADomainRequest.B](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestb) | Amazon EC2 | DNS-Protokolle | Hoch | 
| [Trojan:EC2/DGADomainRequest.C\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestcdns) | Amazon EC2 | DNS-Protokolle | Hoch | 
| [Trojan:EC2/DNSDataExfiltration](guardduty_finding-types-ec2.md#trojan-ec2-dnsdataexfiltration) | Amazon EC2 | DNS-Protokolle | Hoch | 
| [Trojan:EC2/DriveBySourceTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-drivebysourcetrafficdns) | Amazon EC2 | DNS-Protokolle | Hoch | 
| [Trojan:EC2/DropPoint\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-droppointdns) | Amazon EC2 | DNS-Protokolle | Mittel | 
| [Trojan:EC2/PhishingDomainRequest\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-phishingdomainrequestdns) | Amazon EC2 | DNS-Protokolle | Hoch | 
| [UnauthorizedAccess:EC2/MetadataDNSRebind](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-metadatadnsrebind) | Amazon EC2 | DNS-Protokolle | Hoch | 
| [Execution:Container/MaliciousFile](findings-malware-protection.md#execution-malware-container-maliciousfile) | Behälter | EBS-Malware-Schutz | Variiert je nach erkannter Bedrohung | 
| [Execution:Container/SuspiciousFile](findings-malware-protection.md#execution-malware-container-suspiciousfile)  | Behälter | EBS-Malware-Schutz | Variiert je nach erkannter Bedrohung | 
| [Execution:EC2/MaliciousFile](findings-malware-protection.md#execution-malware-ec2-maliciousfile)  | Amazon EC2 | EBS-Malware-Schutz | Variiert je nach erkannter Bedrohung | 
| [Execution:EC2/SuspiciousFile](findings-malware-protection.md#execution-malware-ec2-suspiciousfile)  | Amazon EC2 | EBS-Malware-Schutz | Variiert je nach erkannter Bedrohung | 
| [Execution:ECS/MaliciousFile](findings-malware-protection.md#execution-malware-ecs-maliciousfile)  | ECS | EBS-Malware-Schutz | Variiert je nach erkannter Bedrohung | 
| [Execution:ECS/SuspiciousFile](findings-malware-protection.md#execution-malware-ecs-suspiciousfile)  | ECS | EBS-Malware-Schutz | Variiert je nach erkannter Bedrohung | 
| [Execution:Kubernetes/MaliciousFile](findings-malware-protection.md#execution-malware-kubernetes-maliciousfile)  | Kubernetes | EBS-Malware-Schutz | Variiert je nach erkannter Bedrohung | 
| [Execution:Kubernetes/SuspiciousFile](findings-malware-protection.md#execution-malware-kubernetes-suspiciousfile)  | Kubernetes | EBS-Malware-Schutz | Variiert je nach erkannter Bedrohung | 
| [Execution:EC2/MaliciousFile\$1Snapshot](findings-malware-protection-backup.md#execution-malware-ec2-maliciousfile-snapshot)  | Amazon EBS | Malware Protection for Backup | Variiert je nach erkannter Bedrohung | 
| [Execution:EC2/MaliciousFile\$1AMIIn einem EC2-AMI wurde eine schädliche Datei entdeckt.](findings-malware-protection-backup.md#execution-malware-ec2-maliciousfile-ami)  | Amazon EC2 | Malware Protection for Backup | Variiert je nach erkannter Bedrohung | 
| [Execution:EC2/MaliciousFile\$1RecoveryPoint](findings-malware-protection-backup.md#execution-malware-ec2-maliciousfile-recoverypoint)  | AWS Backup | Malware Protection for Backup | Variiert je nach erkannter Bedrohung | 
| [Execution:S3/MaliciousFile\$1RecoveryPoint](findings-malware-protection-backup.md#execution-malware-s3-maliciousfile-recoverypoint)  | AWS Backup | Malware Protection for Backup | Variiert je nach erkannter Bedrohung | 
| [CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed](guardduty-finding-types-eks-audit-logs.md#credaccess-kubernetes-anomalousbehavior-secretsaccessed)  | Kubernetes | EKS-Auditprotokolle | Mittel | 
| [CredentialAccess:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#credentialaccess-kubernetes-maliciousipcaller)  | Kubernetes | EKS-Auditprotokolle | Hoch | 
| [CredentialAccess:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#credentialaccess-kubernetes-maliciousipcallercustom)  | Kubernetes | EKS-Auditprotokolle | Hoch | 
| [CredentialAccess:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#credentialaccess-kubernetes-successfulanonymousaccess)  | Kubernetes | EKS-Auditprotokolle | Hoch | 
| [CredentialAccess:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#credentialaccess-kubernetes-toripcaller)  | Kubernetes | EKS-Auditprotokolle | Hoch | 
| [DefenseEvasion:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#defenseevasion-kubernetes-maliciousipcaller)  | Kubernetes | EKS-Auditprotokolle | Hoch | 
| [DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#defenseevasion-kubernetes-maliciousipcallercustom)  | Kubernetes | EKS-Auditprotokolle | Hoch | 
| [DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#defenseevasion-kubernetes-successfulanonymousaccess)  | Kubernetes | EKS-Auditprotokolle | Hoch | 
| [DefenseEvasion:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#defenseevasion-kubernetes-toripcaller)  | Kubernetes | EKS-Auditprotokolle | Hoch | 
|  [Discovery:Kubernetes/AnomalousBehavior.PermissionChecked](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-anomalousbehavrior-permissionchecked)  | Kubernetes | EKS-Auditprotokolle | Niedrig | 
| [Discovery:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-maliciousipcaller)  | Kubernetes | EKS-Auditprotokolle | Mittel | 
| [Discovery:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-maliciousipcallercustom)  | Kubernetes | EKS-Auditprotokolle | Mittel | 
| [Discovery:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-successfulanonymousaccess)  | Kubernetes | EKS-Auditprotokolle | Mittel | 
| [Discovery:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-toripcaller)  | Kubernetes | EKS-Auditprotokolle | Mittel | 
| [Execution:Kubernetes/ExecInKubeSystemPod](guardduty-finding-types-eks-audit-logs.md#execution-kubernetes-execinkubesystempod)  | Kubernetes | EKS-Auditprotokolle | Mittel | 
| [Execution:Kubernetes/AnomalousBehavior.ExecInPod](guardduty-finding-types-eks-audit-logs.md#execution-kubernetes-anomalousbehvaior-execinprod)  | Kubernetes | EKS-Auditprotokolle | Mittel | 
|  [Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed](guardduty-finding-types-eks-audit-logs.md#exec-kubernetes-anomalousbehavior-workloaddeployed)  | Kubernetes | EKS-Auditprotokolle | Niedrig | 
| [Impact:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-maliciousipcaller)  | Kubernetes | EKS-Auditprotokolle | Hoch | 
| [Impact:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-maliciousipcallercustom)  | Kubernetes | EKS-Auditprotokolle | Hoch | 
| [Impact:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-successfulanonymousaccess)  | Kubernetes | EKS-Auditprotokolle | Hoch | 
| [Impact:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-toripcaller)  | Kubernetes | EKS-Auditprotokolle | Hoch | 
| [Persistence:Kubernetes/ContainerWithSensitiveMount](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-containerwithsensitivemount)  | Kubernetes | EKS-Auditprotokolle | Mittel | 
| [Persistence:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-maliciousipcaller)  | Kubernetes | EKS-Auditprotokolle | Mittel | 
| [Persistence:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-maliciousipcallercustom)  | Kubernetes | EKS-Auditprotokolle | Mittel | 
| [Persistence:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-successfulanonymousaccess)  | Kubernetes | EKS-Auditprotokolle | Hoch | 
| [Persistence:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-toripcaller)  | Kubernetes | EKS-Auditprotokolle | Mittel | 
| [Policy:Kubernetes/AdminAccessToDefaultServiceAccount](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-adminaccesstodefaultserviceaccount)  | Kubernetes | EKS-Auditprotokolle | Hoch | 
| [Policy:Kubernetes/AnonymousAccessGranted](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-anonymousaccessgranted)  | Kubernetes | EKS-Auditprotokolle | Hoch | 
| [Policy:Kubernetes/KubeflowDashboardExposed](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-kubeflowdashboardexposed)  | Kubernetes | EKS-Auditprotokolle | Mittel | 
| [Policy:Kubernetes/ExposedDashboard](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-exposeddashboard)  | Kubernetes | EKS-Auditprotokolle | Mittel | 
| [PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated](guardduty-finding-types-eks-audit-logs.md#privesc-kubernetes-anomalousbehavior-rolebindingcreated)  | Kubernetes | EKS-Auditprotokolle | Mittel [*](#gdu-active-findings-variable-severity) | 
|  [PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated](guardduty-finding-types-eks-audit-logs.md#privesc-kubernetes-anomalousbehavior-rolecreated)  | Kubernetes | EKS-Auditprotokolle | Niedrig | 
|  [Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1ContainerWithSensitiveMount](guardduty-finding-types-eks-audit-logs.md#privesc-kubernetes-anomalousbehavior-workloaddeployed-containerwithsensitivemount)   | Kubernetes | EKS-Auditprotokolle | Hoch | 
| [PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1PrivilegedContainer](guardduty-finding-types-eks-audit-logs.md#privesc-kubernetes-anomalousbehavior-workloaddeployed-privcontainer)  | Kubernetes | EKS-Auditprotokolle | Hoch | 
| [PrivilegeEscalation:Kubernetes/PrivilegedContainer](guardduty-finding-types-eks-audit-logs.md#privilegeescalation-kubernetes-privilegedcontainer)  | Kubernetes | EKS-Auditprotokolle | Mittel | 
| [Backdoor:Lambda/C&CActivity.B](lambda-protection-finding-types.md#backdoor-lambda-ccactivity-b)  | Lambda | Lambda Network Activity Monitoring | Hoch | 
| [CryptoCurrency:Lambda/BitcoinTool.B](lambda-protection-finding-types.md#cryptocurrency-lambda-bitcointool-b)  | Lambda | Lambda Network Activity Monitoring | Hoch | 
| [Trojan:Lambda/BlackholeTraffic](lambda-protection-finding-types.md#trojan-lambda-blackhole-traffic)  | Lambda | Lambda Network Activity Monitoring | Mittel | 
| [Trojan:Lambda/DropPoint](lambda-protection-finding-types.md#trojan-lambda-drop-point)  | Lambda | Lambda Network Activity Monitoring | Mittel | 
| [UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom](lambda-protection-finding-types.md#unauthorized-access-lambda-maliciousIPcaller-custom)  | Lambda | Lambda Network Activity Monitoring | Mittel | 
| [UnauthorizedAccess:Lambda/TorClient](lambda-protection-finding-types.md#unauthorized-access-lambda-tor-client)  | Lambda | Lambda Network Activity Monitoring | Hoch | 
| [UnauthorizedAccess:Lambda/TorRelay](lambda-protection-finding-types.md#unauthorized-access-lambda-tor-relay)  | Lambda | Lambda Network Activity Monitoring | Hoch | 
|  [Object:S3/MaliciousFile](gdu-malware-protection-s3-finding-types.md#s3-object-s3-malicious-file)  |  S3Objekt  |  Malware-Schutz für S3  |  Hoch  | 
| [CredentialAccess:RDS/AnomalousBehavior.FailedLogin](findings-rds-protection.md#credaccess-rds-anombehavior-failedlogin)  | [Unterstützte Amazon Aurora-, Amazon RDS- und Aurora Limitless-Datenbanken](rds-protection.md#rds-pro-supported-db) | RDS Login Activity Monitoring | Niedrig | 
| [CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce](findings-rds-protection.md#credaccess-rds-anombehavior-successfulbruteforce)  | [Unterstützte Amazon Aurora-, Amazon RDS- und Aurora Limitless-Datenbanken](rds-protection.md#rds-pro-supported-db) | RDS Login Activity Monitoring | Hoch | 
| [CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin](findings-rds-protection.md#credaccess-rds-anombehavior-successlogin)  | [Unterstützte Amazon Aurora-, Amazon RDS- und Aurora Limitless-Datenbanken](rds-protection.md#rds-pro-supported-db) | RDS Login Activity Monitoring | Variabel [*](#gdu-active-findings-variable-severity) | 
| [CredentialAccess:RDS/MaliciousIPCaller.FailedLogin](findings-rds-protection.md#credaccess-rds-maliciousipcaller-failedlogin)  | [Unterstützte Amazon Aurora-, Amazon RDS- und Aurora Limitless-Datenbanken](rds-protection.md#rds-pro-supported-db) | RDS Login Activity Monitoring | Mittel | 
| [CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin](findings-rds-protection.md#credaccess-rds-maliciousipcaller-successfullogin)  | [Unterstützte Amazon Aurora-, Amazon RDS- und Aurora Limitless-Datenbanken](rds-protection.md#rds-pro-supported-db) | RDS Login Activity Monitoring | Hoch | 
| [CredentialAccess:RDS/TorIPCaller.FailedLogin](findings-rds-protection.md#credaccess-rds-toripcaller-failedlogin)  | [Unterstützte Amazon Aurora-, Amazon RDS- und Aurora Limitless-Datenbanken](rds-protection.md#rds-pro-supported-db) | RDS Login Activity Monitoring | Mittel | 
| [CredentialAccess:RDS/TorIPCaller.SuccessfulLogin](findings-rds-protection.md#credaccess-rds-toripcaller-successfullogin)  | [Unterstützte Amazon Aurora-, Amazon RDS- und Aurora Limitless-Datenbanken](rds-protection.md#rds-pro-supported-db) | RDS Login Activity Monitoring | Hoch | 
| [Discovery:RDS/MaliciousIPCaller](findings-rds-protection.md#discovery-rds-maliciousipcaller)  | [Unterstützte Amazon Aurora-, Amazon RDS- und Aurora Limitless-Datenbanken](rds-protection.md#rds-pro-supported-db) | RDS Login Activity Monitoring | Mittel | 
| [Discovery:RDS/TorIPCaller](findings-rds-protection.md#discovery-rds-toripcaller)  | [Unterstützte Amazon Aurora-, Amazon RDS- und Aurora Limitless-Datenbanken](rds-protection.md#rds-pro-supported-db) | RDS Login Activity Monitoring | Mittel | 
| [Backdoor:Runtime/C&CActivity.B](findings-runtime-monitoring.md#backdoor-runtime-ccactivityb)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Hoch | 
| [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Hoch | 
| [CryptoCurrency:Runtime/BitcoinTool.B](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolb)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Hoch | 
| [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Hoch | 
| [DefenseEvasion:Runtime/FilelessExecution](findings-runtime-monitoring.md#defenseeva-runtime-filelessexecution)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Mittel | 
| [DefenseEvasion:Runtime/KernelModuleLoaded](findings-runtime-monitoring.md#defenseevasion-runtime-kernelmoduleloaded)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Hoch | 
| [DefenseEvasion:Runtime/ProcessInjection.Proc](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionproc)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Hoch | 
| [DefenseEvasion:Runtime/ProcessInjection.Ptrace](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionptrace)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Mittel | 
| [DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionvirtualmemw)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Hoch | 
| [DefenseEvasion:Runtime/PtraceAntiDebugging](findings-runtime-monitoring.md#defenseevasion-runtime-ptrace-anti-debug)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Niedrig | 
| [DefenseEvasion:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#defenseevasion-runtime-suspicious-command)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Hoch | 
| [Discovery:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#discovery-runtime-suspicious-command)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Niedrig | 
| [Execution:Runtime/MaliciousFileExecuted](findings-runtime-monitoring.md#execution-runtime-malicious-file-executed)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Hoch | 
| [Execution:Runtime/NewBinaryExecuted](findings-runtime-monitoring.md#execution-runtime-newbinaryexecuted)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Mittel | 
| [Execution:Runtime/NewLibraryLoaded](findings-runtime-monitoring.md#execution-runtime-newlibraryloaded)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Mittel | 
| [Execution:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#execution-runtime-suspiciouscommand)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Variable | 
| [Execution:Runtime/SuspiciousShellCreated](findings-runtime-monitoring.md#execution-runtime-suspicious-shell-created)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Niedrig | 
| [Execution:Runtime/SuspiciousTool](findings-runtime-monitoring.md#execution-runtime-suspicioustool)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Variable | 
| [Execution:Runtime/ReverseShell](findings-runtime-monitoring.md#execution-runtime-reverseshell)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Hoch | 
| [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Mittel | 
| [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Hoch | 
| [Impact:Runtime/CryptoMinerExecuted](findings-runtime-monitoring.md#impact-runtime-cryptominerexecuted)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Hoch | 
| [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Mittel | 
| [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Niedrig | 
| [Persistence:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#persistence-runtime-suspicious-command)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Mittel | 
| [PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified](findings-runtime-monitoring.md#privilegeesc-runtime-cgroupsreleaseagentmodified)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Hoch | 
| [PrivilegeEscalation:Runtime/ContainerMountsHostDirectory](findings-runtime-monitoring.md#privilegeescalation-runtime-containermountshostdirectory)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Mittel | 
| [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Mittel | 
| [PrivilegeEscalation:Runtime/ElevationToRoot](findings-runtime-monitoring.md#privilegeesc-runtime-elevation-to-root)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Mittel | 
| [PrivilegeEscalation:Runtime/RuncContainerEscape](findings-runtime-monitoring.md#privilegeesc-runtime-runccontainerescape)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Hoch | 
| [PrivilegeEscalation:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#privilege-escalation-runtime-suspicious-command)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Mittel | 
| [PrivilegeEscalation:Runtime/UserfaultfdUsage](findings-runtime-monitoring.md#privilegeescalation-runtime-userfaultfdusage)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Mittel | 
| [Trojan:Runtime/BlackholeTraffic](findings-runtime-monitoring.md#trojan-runtime-blackholetraffic)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Mittel | 
| [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Mittel | 
| [Trojan:Runtime/DropPoint](findings-runtime-monitoring.md#trojan-runtime-droppoint)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Mittel | 
| [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Hoch | 
| [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Hoch | 
| [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Mittel | 
| [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Hoch | 
| [UnauthorizedAccess:Runtime/MetadataDNSRebind](findings-runtime-monitoring.md#unauthorizedaccess-runtime-metadatadnsrebind)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Hoch | 
| [UnauthorizedAccess:Runtime/TorClient](findings-runtime-monitoring.md#unauthorizedaccess-runtime-torclient)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Hoch | 
| [UnauthorizedAccess:Runtime/TorRelay](findings-runtime-monitoring.md#unauthorizedaccess-runtime-torrelay)  | Instanz, EKS-Cluster, ECS-Cluster oder Container | Laufzeitüberwachung | Hoch | 
| [Backdoor:EC2/C&CActivity.B](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivityb)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Hoch | 
| [Backdoor:EC2/DenialOfService.Dns](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicedns)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Hoch | 
| [Backdoor:EC2/DenialOfService.Tcp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicetcp)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Hoch | 
| [Backdoor:EC2/DenialOfService.Udp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudp)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Hoch | 
| [Backdoor:EC2/DenialOfService.UdpOnTcpPorts](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudpontcpports)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Hoch | 
| [Backdoor:EC2/DenialOfService.UnusualProtocol](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceunusualprotocol)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Hoch | 
| [Backdoor:EC2/Spambot](guardduty_finding-types-ec2.md#backdoor-ec2-spambot)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Mittel | 
| [Behavior:EC2/NetworkPortUnusual](guardduty_finding-types-ec2.md#behavior-ec2-networkportunusual)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Mittel | 
| [Behavior:EC2/TrafficVolumeUnusual](guardduty_finding-types-ec2.md#behavior-ec2-trafficvolumeunusual)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Mittel | 
| [CryptoCurrency:EC2/BitcoinTool.B](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolb)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Hoch | 
| [DefenseEvasion:EC2/UnusualDNSResolver](guardduty_finding-types-ec2.md#defenseevasion-ec2-unusualdnsresolver)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Mittel | 
| [DefenseEvasion:EC2/UnusualDoHActivity](guardduty_finding-types-ec2.md#defenseevasion-ec2-unsualdohactivity)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Mittel | 
| [DefenseEvasion:EC2/UnusualDoTActivity](guardduty_finding-types-ec2.md#defenseevasion-ec2-unusualdotactivity)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Mittel | 
| [Impact:EC2/PortSweep](guardduty_finding-types-ec2.md#impact-ec2-portsweep)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Hoch | 
| [Impact:EC2/WinRMBruteForce](guardduty_finding-types-ec2.md#impact-ec2-winrmbruteforce)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Niedrig [*](#gdu-active-findings-variable-severity) | 
| [Recon:EC2/PortProbeEMRUnprotectedPort](guardduty_finding-types-ec2.md#recon-ec2-portprobeemrunprotectedport)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Hoch | 
| [Recon:EC2/PortProbeUnprotectedPort](guardduty_finding-types-ec2.md#recon-ec2-portprobeunprotectedport)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Niedrig [*](#gdu-active-findings-variable-severity) | 
| [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Mittel | 
| [Trojan:EC2/BlackholeTraffic](guardduty_finding-types-ec2.md#trojan-ec2-blackholetraffic)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Mittel | 
| [Trojan:EC2/DropPoint](guardduty_finding-types-ec2.md#trojan-ec2-droppoint)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Mittel | 
| [UnauthorizedAccess:EC2/MaliciousIPCaller.Custom](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-maliciousipcallercustom)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Mittel | 
| [UnauthorizedAccess:EC2/RDPBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-rdpbruteforce)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Niedrig [*](#gdu-active-findings-variable-severity) | 
| [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Niedrig [*](#gdu-active-findings-variable-severity) | 
| [UnauthorizedAccess:EC2/TorClient](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torclient)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Hoch | 
| [UnauthorizedAccess:EC2/TorRelay](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torrelay)  | Amazon EC2 | VPC-Flussprotokolle [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Hoch |