Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erkenntnisdetails
<a name="guardduty_findings-summary"></a>

In der GuardDuty Amazon-Konsole können Sie die Details zu den Ergebnissen im Abschnitt Zusammenfassung der Ergebnisse einsehen. Die Erkenntnisdetails variieren je nach Erkenntnistyp.

Hauptsächlich bestimmen zwei Details, welche Arten von Informationen für jede Erkenntnis verfügbar sind. Der erste ist der Ressourcentyp, der`Instance`,`AccessKey`,`S3Bucket`,`S3Object`,`Kubernetes cluster`,`ECS cluster`, `Container` `RDSDBInstance``RDSLimitlessDB`, oder sein kann`Lambda`. Das zweite Detail, das die Suche nach Informationen bestimmt, ist die **Ressourcenrolle**. Die Rolle der Ressource kann sein`Target`, was bedeutet, dass die Ressource das Ziel verdächtiger Aktivitäten war. Bei Feststellungen vom Typ Instance kann die Rolle der Ressource auch `Actor` sein, was bedeutet, dass Ihre Ressource der Akteur war, der die verdächtige Aktivität durchgeführt hat. In diesem Thema werden einige der allgemein verfügbaren Erkenntnisdetails beschrieben. Für [GuardDuty Runtime Monitoring: Typen finden](findings-runtime-monitoring.md) und [Suchtyp „Malware-Schutz für S3“](gdu-malware-protection-s3-finding-types.md) ist die Ressourcenrolle nicht gefüllt.

**Topics**
+ [Überblick über Erkenntnisse](#findings-summary-section)
+ [Ressource](#findings-resource-affected)
+ [Einzelheiten zur Suche nach der Angriffssequenz](#guardduty-extended-threat-detection-attack-sequence-finding-details)
+ [Benutzerdetails für die RDS-Datenbank (DB)](#rds-pro-db-user-details)
+ [Details zu den Erkenntnissen der Laufzeitüberwachung](#runtime-monitoring-runtime-details)
+ [Scan-Details der EBS-Volumes](#mp-ebs-volumes-scan-details)
+ [Einzelheiten zur Suche nach Malware Protection for EC2](#malware-protection-scan-details)
+ [Einzelheiten zu Erkenntnissen von Malware Protection für S3](#gdu-malware-protection-for-s3-finding-details)
+ [Action](#finding-action-section)
+ [Akteur oder Ziel](#finding-actor-target)
+ [Einzelheiten zur Geolokalisierung](#guardduty-finding-details-geolocation)
+ [Zusätzliche Informationen](#finding-additional-info)
+ [Beweise](#finding-evidence)
+ [Anormales Verhalten](#finding-anomalous)

## Überblick über Erkenntnisse
<a name="findings-summary-section"></a>

Der Abschnitt **Überblick** enthält die grundlegendsten Merkmale, anhand derer die Erkenntnis identifiziert werden kann, einschließlich der folgenden Informationen:
+ **Konto-ID** — Die ID des AWS Kontos, in dem die Aktivität stattfand, die GuardDuty zur Generierung dieses Ergebnisses geführt hat.
+ **Anzahl** — Gibt an, wie oft GuardDuty eine Aktivität, die diesem Muster entspricht, mit dieser Ergebnis-ID aggregiert wurde.
+ **Erstellt am** – Uhrzeit und Datum des Zeitpunkts, an dem diese Erkenntnis erstmals erstellt wurde. Wenn dieser Wert von **Aktualisiert am** abweicht, bedeutet dies, dass die Aktivität mehrfach stattgefunden hat und ein fortlaufendes Problem darstellt.
**Anmerkung**  
Zeitstempel für Ergebnisse in der GuardDuty Konsole werden in Ihrer lokalen Zeitzone angezeigt, während JSON-Exporte und CLI-Ausgaben Zeitstempel in UTC anzeigen.
+ **Erkenntnis-ID** – Eine eindeutige Erkenntnis-ID für diesen Erkenntnistyp und Parametersatz. Neue Vorkommen von Aktivitäten, die diesem Muster entsprechen, werden für dieselbe ID aggregiert.
+ **Erkenntnistyp** – Eine formatierte Zeichenfolge, die den Typ der Aktivität darstellt, durch den die Erkenntnis ausgelöst wurde. Weitere Informationen finden Sie unter [GuardDuty Format finden](guardduty_finding-format.md).
+ **Region** — Die AWS Region, in der das Ergebnis generiert wurde. Weitere Informationen zu unterstützten Regionen finden Sie unter [Regionen und Endpunkte](guardduty_regions.md)
+ **Ressourcen-ID** — Die ID der AWS Ressource, für die die Aktivität stattgefunden hat, die GuardDuty zur Generierung dieses Ergebnisses geführt hat.
+ **Scan-ID** — Gilt für Ergebnisse, wenn GuardDuty Malware Protection for EC2 aktiviert ist. Dabei handelt es sich um eine Kennung des Malware-Scans, der auf den EBS-Volumes ausgeführt wird, die an die potenziell gefährdete EC2-Instance oder den Container-Workload angehängt sind. Weitere Informationen finden Sie unter [Einzelheiten zur Suche nach Malware Protection for EC2](#malware-protection-scan-details).
+ **Schweregrad** — Einem Ergebnis wird entweder der Schweregrad Kritisch, Hoch, Mittel oder Niedrig zugewiesen. Weitere Informationen finden Sie unter [Schweregrade der Ergebnisse](guardduty_findings-severity.md).
+ **Aktualisiert am** — Das letzte Mal, als dieses Ergebnis mit einer neuen Aktivität aktualisiert wurde, die dem Muster entspricht, das GuardDuty zur Generierung dieses Ergebnisses geführt hat.

## Ressource
<a name="findings-resource-affected"></a>

Die **betroffene Ressource** enthält Einzelheiten zu der AWS Ressource, auf die die auslösende Aktivität abzielte. Die verfügbaren Informationen variieren je nach Ressourcentyp und Aktionstyp. 

**Ressourcenrolle** — Die Rolle der AWS Ressource, die den Befund ausgelöst hat. Dieser Wert kann **TARGET** oder **ACTOR** lauten und repräsentiert, ob Ihre Ressource das Ziel verdächtiger Aktivitäten bzw. der Akteur war, der die verdächtigen Aktivitäten ausgeführt hat.

**Ressourcen-Typ** – der Typ der betroffenen Ressource. Wenn mehrere Ressourcen betroffen waren, kann eine Erkenntnis mehrere Ressourcentypen umfassen. **Die Ressourcentypen sind **Instance **AccessKey****, **S3Bucket**, **S3Object**,, **KubernetesCluster**, **Container **ECSCluster**RDSDBInstance******, **RDSLimitlessDB** und Lambda.** Je nach Ressourcentyp stehen unterschiedliche Erkenntnisdetails zur Verfügung. Wählen Sie eine Registerkarte mit Ressourcenoptionen aus, um mehr über die für diese Ressource verfügbaren Details zu erfahren.

------
#### [ Instance ]

**Instance-Details:**

**Anmerkung**  
Einige Instance-Details fehlen möglicherweise, wenn die Instance bereits gestoppt wurde oder wenn der zugrunde liegende API-Aufruf bei einem regionsübergreifenden API-Aufruf von einer EC2-Instance in einer anderen Region stammte.
+ **Instanz-ID** — Die ID der EC2-Instance, die an der Aktivität beteiligt war, die zur Generierung des Ergebnisses geführt hat. GuardDuty 
+ **Instance-Typ** – Der Typ der EC2-Instance, der an der Erkenntnis beteiligt ist.
+ **Startzeit** – Das Datum und die Uhrzeit, zu der die Instance gestartet wurde.
+ **Outpost ARN** — Der Amazon-Ressourcenname (ARN) von AWS Outposts. Gilt nur für AWS Outposts Instances. Weitere Informationen finden Sie unter [Was ist AWS Outposts?](https://docs.aws.amazon.com/outposts/latest/userguide/what-is-outposts.html) im *Benutzerhandbuch für Outposts-Racks*.
+ **Name der Sicherheitsgruppe** – Der Name der Sicherheitsgruppe, die der beteiligten Instance angefügt ist.
+ **Sicherheitsgruppen-ID** – Die ID der Sicherheitsgruppe, die der beteiligten Instance angefügt ist.
+ **Instance-Status** – Der aktuelle Status der Ziel-Instance.
+ **Availability Zone** – Die Availability Zone der AWS -Region, in der sich die betroffene Instance befindet.
+ **Image-ID** – Die ID des Amazon Machine Image, das zum Erstellen der an der Aktivität beteiligten Instance verwendet wurde.
+ **Image-Beschreibung** – Eine Beschreibung der ID des Amazon Machine Image, das zum Erstellen der Instance verwendet wurde, die an der Aktivität beteiligt war.
+ **Tags** – Eine Liste der Tags, die dieser Ressource angefügt sind, die im Format `key`:`value` aufgeführt werden.

------
#### [ AccessKey ]

**Details zu Zugriffsschlüsseln:**
+ **Zugriffsschlüssel-ID** — Die Zugriffsschlüssel-ID des Benutzers, der an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat. 
+ **Prinzipal-ID** — Die Prinzipal-ID des Benutzers, der an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat. 
+ **Benutzertyp** — Der Benutzertyp, der an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat. Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html#cloudtrail-event-reference-user-identity-fields).
+ **Benutzername — Der Name** des Benutzers, der an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.

------
#### [ S3Bucket ]

**Details zum Amazon-S3-Bucket:**
+ **Name** – Der Name des Buckets, der an der Erkenntnis beteiligt war.
+ **ARN** – Der ARN des Buckets, der an der Erkenntnis beteiligt war.
+ **Eigentümer** – Die kanonische Benutzer-ID des Benutzers, dem der Bucket gehört, der an der Erkenntnis beteiligt war. Weitere Informationen zu kanonischen Benutzern IDs finden Sie unter [AWS Kontokennungen](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html).
+ **Typ** – Der Typ der Bucket-Erkenntnis. Mögliche Werte sind **Ziel** oder **Quelle**.
+ **Standardmäßige serverseitige Verschlüsselung** – Verschlüsselungsdetails für den Bucket.
+ **Bucket-Tags** – Eine Liste der Tags, die dieser Ressource zugeordnet sind und im Format `key`:`value` aufgeführt werden.
+ **Effektive Berechtigungen** – Eine Auswertung aller effektiven Berechtigungen und Richtlinien für den Bucket, die angibt, ob der betreffende Bucket öffentlich verfügbar ist. Werte können **Öffentlich** oder **Nicht öffentlich** sein.

------
#### [ S3Object ]
+ **S3-Objektdetails** — Enthält die folgenden Informationen über das gescannte S3-Objekt:
  + **ARN** — Amazon-Ressourcenname (ARN) des gescannten S3-Objekts.
  + **Schlüssel** — Der Name, der der Datei zugewiesen wurde, als sie im S3-Bucket erstellt wurde.
  + **Versions-ID** — Wenn Sie die Bucket-Versionierung aktiviert haben, gibt dieses Feld die Versions-ID an, die der neuesten Version des gescannten S3-Objekts zugeordnet ist. Weitere Informationen finden Sie unter [Verwenden der Versionierung in S3-Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) im *Amazon S3 S3-Benutzerhandbuch*.
  + **ETag** — Stellt die spezifische Version des gescannten S3-Objekts dar.
  + **Hash** — Der Hash der Bedrohung, die in diesem Ergebnis erkannt wurde.
+ **S3-Bucket-Details** — Enthält die folgenden Informationen über den Amazon S3 S3-Bucket, der dem gescannten S3-Objekt zugeordnet ist:
  + **Name** — Gibt den Namen des S3-Buckets an, der das Objekt enthält.
  + **ARN** — Amazon-Ressourcenname (ARN) des S3-Buckets.
+ **Besitzer** — Kanonische ID des Besitzers des S3-Buckets.

------
#### [ EKSCluster ]

**Details zum Kubernetes-Cluster:**
+ **Name** – Name des Kubernetes-Clusters.
+ **ARN** – Der ARN, der den Cluster identifiziert.
+ **Erstellt am** – Uhrzeit und Datum des Zeitpunkts, an dem dieser Cluster erstmals erstellt wurde.
**Anmerkung**  
Zeitstempel für Ergebnisse in der GuardDuty Konsole werden in Ihrer lokalen Zeitzone angezeigt, während JSON-Exporte und CLI-Ausgaben Zeitstempel in UTC anzeigen.
+ **VPC-ID** – Die ID der VPC, die Ihrem Cluster zugeordnet ist.
+ **Status** – Der aktuelle Status des Clusters.
+ **Tags** – Die Metadaten, die Sie auf den Cluster anwenden, um die Kategorisierung und Organisation zu erleichtern. Jedes Tag besteht aus einem Schlüssel und einem optionalen Wert, aufgelistet im Format `key`:`value`. Sie können sowohl den Schlüssel als auch den Wert definieren.

  Cluster-Tags werden nicht auf andere Ressourcen verteilt, die dem Cluster zugeordnet sind. 

**Details zum Kubernetes-Workload:**
+ **Typ** – Der Typ des Kubernetes-Workloads, wie Pod, Bereitstellung und Job.
+ **Name** – Der Name des Kubernetes-Workloads.
+ **Uid** – Die eindeutige ID des Kubernetes-Workloads.
+ **Erstellt am** – Uhrzeit und Datum des Zeitpunkts, an dem dieser Workload erstmals erstellt wurde.
+ **Labels** – Die Schlüssel-Wert-Paare, die dem Kubernetes-Workload angefügt wurden.
+ **Container** – Die Details des Containers, der als Teil des Kubernetes-Workloads ausgeführt wird.
+ **Namespace** – Der Workload gehört zu diesem Kubernetes-Namespace.
+ **Volumes** – Die vom Kubernetes-Workload verwendeten Volumes.
  + **Hostpfad** – Stellt eine bereits vorhandene Datei oder ein Verzeichnis auf dem Host-Computer dar, dem das Volume zugeordnet ist.
  + **Name** – Der Name des Volumes.
+ **Pod-Sicherheitskontext** – Definiert die Einstellungen für Rechte und Zugriffskontrolle für alle Container in einem Pod.
+ **Host-Netzwerk** – Auf `true` setzen, wenn die Pods im Kubernetes-Workload enthalten sind.

**Kubernetes-Benutzerdetails:**
+ **Gruppen** – Kubernetes-RBAC (Role-Access Based Control)-Gruppen des Benutzers, der an der Aktivität beteiligt war, die die Erkenntnis generiert hat.
+ **ID** – Eindeutige ID des Kubernetes-Benutzers.
+ **Benutzername** – Name des Kubernetes-Benutzers, der an der Aktivität beteiligt war, die das Ergebnis generiert hat.
+ **Sitzungsname** – Entität, die die IAM-Rolle mit Kubernetes-RBAC-Berechtigungen übernommen hat.

------
#### [ ECSCluster ]

**ECS-Cluster-Details:**
+ **ARN** – Der ARN, der den Cluster identifiziert.
+ **Name** – Der Name des Clusters.
+ **Status** – Der aktuelle Status des Clusters.
+ **Anzahl der aktiven Services** – Die Anzahl der Services, die in einem `ACTIVE`-Status auf dem Cluster ausgeführt werden. Sie können diese Dienste mit anzeigen [ListServices](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_ListServices.html)
+ **Anzahl registrierter Container-Instances** – Die Anzahl der Container-Instances, die im Cluster registriert sind. Dazu gehören Container-Instances sowohl im Status `ACTIVE` als auch im Status `DRAINING`.
+ **Anzahl der laufenden Aufgaben** – Die Anzahl der Aufgaben im Cluster, die sich im `RUNNING`-Status befinden.
+ **Tags** – Die Metadaten, die Sie auf den Cluster anwenden, um die Kategorisierung und Organisation zu erleichtern. Jedes Tag besteht aus einem Schlüssel und einem optionalen Wert, aufgelistet im Format `key`:`value`. Sie können sowohl den Schlüssel als auch den Wert definieren.
+ **Container** – Die Details zu dem Container, der der Aufgabe zugeordnet ist:
  + **Containername** – Der Name des Containers.
  + **Container-Image** – Das Image des Containers.
+ **Aufgabendetails** – Die Details einer Aufgabe in einem Cluster.
  + **ARN** – Der Amazon-Ressourcenname (ARN) der Aufgabe.
  + **Definition-ARN** – Der Amazon-Ressourcenname (ARN) der Aufgabendefinition, die die Aufgabe erstellt.
  + **Version** – Der Versionszähler für die Aufgabe.
  + **Aufgabe erstellt am** – Der Unix-Zeitstempel für den Erstellungszeitpunkt der Aufgabe.
  + **Aufgabe gestartet am** – Der Unix-Zeitstempel für den Startzeitpunkt der Aufgabe.
  + **Aufgabe gestartet von** – Das Tag, das beim Starten einer Aufgabe angegeben wurde.

------
#### [ Container ]

**Details zum Container:**
+ **Container-Laufzeit** – Die Container-Laufzeit (wie z. B. `docker` oder `containerd`), die zum Ausführen des Containers verwendet wurde.
+ **ID** – Die Container-Instance-ID oder die vollständigen ARN-Einträge für die Container-Instance.
+ **Name** – Der Name des Containers.
+ **Image** – Das Image der Container-Instance.
+ **Volume-Mounts** – Liste der Volume-Mounts von Containern. Ein Container kann ein Volume unter seinem Dateisystem mounten. 
+ **Sicherheitskontext** – Der Sicherheitskontext des Containers definiert Einstellungen für Rechte und Zugriffskontrolle für einen Container.
+ **Prozessdetails** – Beschreibt die Details des Prozesses, der mit der Erkenntnis verknüpft ist.

------
#### [ RDSDBInstance ]

**RDSDBInstance Einzelheiten:**

**Anmerkung**  
Diese Ressource ist in den Erkenntnissen von RDS Protection im Zusammenhang mit der Datenbank-Instance verfügbar.
+ **Datenbankinstanz-ID** — Der Bezeichner, der der Datenbankinstanz zugeordnet ist, die an der GuardDuty Suche beteiligt war.
+ **Engine** – Der Name der Datenbank-Engine der Datenbank-Instance, die an der Erkenntnis beteiligt war. Mögliche Werte sind Aurora MySQL-kompatibel oder Aurora PostgreSQL-kompatibel.
+ **Engine-Version** — Die Version der Datenbank-Engine, die an der GuardDuty Entdeckung beteiligt war.
+ **Datenbank-Cluster-ID** — Der Bezeichner des Datenbank-Clusters, der die Datenbank-Instance-ID enthält, die an der GuardDuty Suche beteiligt war.
+ **Datenbankinstanz-ARN** — Der ARN, der die an der GuardDuty Suche beteiligte Datenbankinstanz identifiziert.

------
#### [ RDSLimitlessDB ]

**RDSLimitlessDB-Details:**

Diese Ressource ist in den Ergebnissen von RDS Protection im Zusammenhang mit der unterstützten Engine-Version von Limitless Database verfügbar.
+ **DB-Shard-Gruppen-ID** — Der Name, der der Limitless-DB-Shard-Gruppe zugeordnet ist.
+ Ressourcen-ID der **DB-Shardgruppe — Die Ressourcen-ID** der DB-Shard-Gruppe innerhalb der Limitless-DB.
+ **ARN der DB-Shard-Gruppe** — Der Amazon-Ressourcenname (ARN), der die DB-Shard-Gruppe identifiziert.
+ **Engine** — Die Kennung der Limitless-DB, die an der Entdeckung beteiligt war.
+ **Engine-Version** — Die Version der Limitless DB-Engine.
+ **DB-Cluster-ID** — Der Name des Datenbank-Clusters, der Teil der Limitless DB ist.

Hinweise zu Benutzer- und Authentifizierungsdetails der potenziell betroffenen Datenbank finden Sie unter. [Benutzerdetails für die RDS-Datenbank (DB)](#rds-pro-db-user-details)

------
#### [ Lambda ]

**Details zur Lambda-Funktion**
+ **Funktionsname** – Der Name der Lambda-Funktion, die an der Erkenntnis beteiligt ist.
+ **Funktionsversion** – Die Version der Lambda-Funktion, die an der Erkenntnis beteiligt ist.
+ **Funktionsbeschreibung** – Eine Beschreibung der Lambda-Funktion, die an der Erkenntnis beteiligt ist.
+ **Funktions-ARN** – Der Amazon-Ressourcenname (ARN) der Lambda-Funktion, die an der Erkenntnis beteiligt ist.
+ **Revisions-ID** – Die Revisions-ID der Lambda-Funktionsversion.
+ **Rolle** – Die Ausführungsrolle der Lambda-Funktion, die an der Erkenntnis beteiligt ist.
+ **VPC-Konfiguration** — Die Amazon VPC-Konfiguration, einschließlich der VPC-ID, der Sicherheitsgruppe und des Subnetzes, das Ihrer Lambda-Funktion IDs zugeordnet ist.
  + **VPC-ID** – Die ID der Amazon-VPC, die der Lambda-Funktion zugeordnet ist, die an der Erkenntnis beteiligt ist.
  + **Subnetz IDs** — Die ID der Subnetze, die Ihrer Lambda-Funktion zugeordnet sind.
  + **Sicherheitsgruppe** – Die Sicherheitsgruppe, die der betroffenen Lambda-Funktion angefügt ist. Dazu gehören der Name und die Gruppen-ID der Sicherheitsgruppe.
+ **Tags** – Eine Liste der Tags, die dieser Ressource angefügt sind, die im Format `key`:`value` aufgeführt werden.

------

## Einzelheiten zur Suche nach der Angriffssequenz
<a name="guardduty-extended-threat-detection-attack-sequence-finding-details"></a>

GuardDuty bietet Details zu jedem Befund, den es in Ihrem Konto generiert. Diese Informationen helfen Ihnen dabei, die Gründe für den Befund zu verstehen. Dieser Abschnitt konzentriert sich auf Details im Zusammenhang mit[Arten der Suche nach Angriffssequenzen](guardduty-attack-sequence-finding-types.md). Dazu gehören Erkenntnisse wie potenziell betroffene Ressourcen, der Zeitplan der Ereignisse, Indikatoren, Signale und Endpunkte, die an den Ergebnissen beteiligt waren.

Einzelheiten zu Signalen, bei denen es sich um GuardDuty Ergebnisse handelt, finden Sie in den entsprechenden Abschnitten auf dieser Seite.

Wenn Sie in der GuardDuty Konsole einen Befund in der Angriffssequenz auswählen, ist der Seitenbereich mit den Details in die folgenden Registerkarten unterteilt:
+ **Überblick** — Bietet eine kompakte Ansicht der Details zur Angriffssequenz, einschließlich Signalen, MITRE-Taktiken und potenziell betroffenen Ressourcen.
+ **Signale** — Zeigt eine Zeitleiste der Ereignisse an, die an einer Angriffssequenz beteiligt sind.
+ **Ressourcen** — Stellt Informationen über die potenziell betroffenen Ressourcen oder die Ressourcen bereit, die potenziell gefährdet sind.

Die folgende Liste enthält Beschreibungen im Zusammenhang mit den Details zur Entdeckung der Angriffssequenz.

**Signale**  
Bei einem Signal kann es sich um eine API-Aktivität oder um einen Befund handeln, der zur Erkennung einer Angriffssequenz GuardDuty verwendet wird. GuardDuty betrachtet die schwachen Signale, die sich nicht als eindeutige Bedrohung darstellen, fügt sie zusammen und korreliert mit individuell generierten Ergebnissen. Für mehr Kontext bietet die Registerkarte „**Signale**“ eine Zeitleiste der Signale, wie sie von GuardDuty beobachtet wurden.   
Jedem Signal, also einem GuardDuty Befund, ist ein eigener Schweregrad und ein eigener Wert zugewiesen. In der GuardDuty Konsole können Sie jedes Signal auswählen, um die zugehörigen Details anzuzeigen.

**Schauspieler**  
Enthält Einzelheiten zu den Bedrohungsakteuren in einer Angriffssequenz. Weitere Informationen finden Sie unter [Actor](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Actor.html) in *Amazon GuardDuty API Reference*.

**Endpunkte**  
Enthält Details zu den Netzwerkendpunkten, die in dieser Angriffssequenz verwendet wurden. Weitere Informationen finden Sie [NetworkEndpoint](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_NetworkEndpoint.html)unter *Amazon GuardDuty API Reference*. Informationen darüber, wie der Standort GuardDuty bestimmt wird, finden Sie unter[Einzelheiten zur Geolokalisierung](#guardduty-finding-details-geolocation).

**Indikatoren**  
Beinhaltet beobachtete Daten, die dem Muster eines Sicherheitsproblems entsprechen. Diese Daten geben an, warum GuardDuty Hinweise auf eine potenziell verdächtige Aktivität vorliegen. Lautet der Indikatorname beispielsweise`HIGH_RISK_API`, deutet dies auf eine Aktion hin, die häufig von Bedrohungsakteuren verwendet wird, oder auf eine sensible Aktion, die potenzielle Auswirkungen auf eine haben kann AWS-Konto, z. B. den Zugriff auf Anmeldeinformationen oder die Änderung einer Ressource.   
Die folgende Tabelle enthält eine Liste potenzieller Indikatoren und deren Beschreibungen:      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/guardduty_findings-summary.html)
**MITRE-Taktiken**  
Dieses Feld spezifiziert die MITRE ATT&CK-Taktiken, die der Bedrohungsakteur in einer Angriffssequenz versucht. GuardDuty verwendet das [MITRE ATT&ACK-Framework](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-format.html#guardduty_threat_purposes), das der gesamten Angriffssequenz Kontext hinzufügt. Die Farben, die die GuardDuty Konsole verwendet, um die Bedrohungszwecke zu spezifizieren, die vom Bedrohungsakteur verwendet wurden, entsprechen den Farben, die die Werte „Kritisch“, „Hoch“, „Mittel“ und „Niedrig“ angeben. [Schweregrade der Ergebnisse](guardduty_findings-severity.md)

**Netzwerkindikatoren**  
Zu den Indikatoren gehört eine Kombination von Netzwerkindikatorwerten, die erklären, warum ein Netzwerk auf ein verdächtiges Verhalten hinweist. Dieser Abschnitt gilt nur, wenn der **Indikator** `SUSPICIOUS_NETWORK` oder `MALICIOUS_IP` enthält. Das folgende Beispiel zeigt, wie Netzwerkindikatoren einem Indikator zugeordnet werden können, wobei:  
+ *AnyCompany*ist ein Autonomes System (AS).
+  `TUNNEL_VPN``IS_ANONYMOUS`, und `ALLOWS_FREE_ACCESS` sind die Netzwerkindikatoren. 

```
...{
    "key": "SUSPICIOUS_NETWORK",
    "values": [{
        "AnyCompany": [
            "TUNNEL_VPN",
            "IS_ANONYMOUS",
            "ALLOWS_FREE_ACCESS"
        ]
    }]
}
...
```
Die folgende Tabelle enthält die Werte der Netzwerkindikatoren und ihre Beschreibung. Diese Tags werden auf der Grundlage der Bedrohungsinformationen hinzugefügt, die aus Quellen wie Spur GuardDuty gesammelt wurden      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/guardduty_findings-summary.html)

## Benutzerdetails für die RDS-Datenbank (DB)
<a name="rds-pro-db-user-details"></a>

**Anmerkung**  
Dieser Abschnitt bezieht sich auf Ergebnisse, die bei der Aktivierung der RDS-Schutzfunktion in festgestellt wurden GuardDuty. Weitere Informationen finden Sie unter [GuardDuty RDS-Schutz](rds-protection.md).

Das GuardDuty Ergebnis liefert die folgenden Benutzer- und Authentifizierungsdetails der potenziell gefährdeten Datenbank:
+ **Benutzer** – Der Benutzername, der für den anomalen Anmeldeversuch verwendet wurde.
+ **Anwendung** – Der Anwendungsname, der für den anomalen Anmeldeversuch verwendet wurde.
+ **Datenbank** – Der Name der Datenbank-Instance, die an dem anomalen Anmeldeversuch beteiligt war.
+ **SSL** – Die für das Netzwerk verwendete Version von Secure Socket Layer (SSL).
+ **Authentifizierungsmethode** – Die Authentifizierungsmethode, die von dem Benutzer verwendet wurde, der an der Erkenntnis beteiligt war.

Hinweise zu der potenziell gefährdeten Ressource finden Sie unter. [Ressource](#findings-resource-affected)

## Details zu den Erkenntnissen der Laufzeitüberwachung
<a name="runtime-monitoring-runtime-details"></a>

**Anmerkung**  
Diese Details sind möglicherweise nur verfügbar, wenn eine der [GuardDuty Runtime Monitoring: Typen finden](findings-runtime-monitoring.md) folgenden GuardDuty generiert wird. 

Dieser Abschnitt enthält die Laufzeitdetails wie Prozessdetails und den erforderlichen Kontext. Prozessdetails beschreiben Informationen über den beobachteten Prozess, und der Laufzeitkontext beschreibt alle zusätzlichen Informationen über die potenziell verdächtige Aktivität.

**Details zum Prozess**
+ **Name** – Der Name des Prozesses.
+ **Ausführbarer Pfad** – Absoluter Pfad der ausführbaren Zieldatei des Prozesses.
+ **Ausführbarer SHA-256** – Der `SHA256`-Hash der ausführbaren Datei des Prozesses.
+ **Namespace-PID** – Die Prozess-ID des Prozesses in einem sekundären PID-Namespace, bei dem es sich nicht um den PID-Namespace auf Host-Ebene handelt. Bei Prozessen innerhalb eines Containers ist dies die Prozess-ID, die innerhalb des Containers beobachtet wird.
+ **Derzeitiges Arbeitsverzeichnis** – Das aktuelle Arbeitsverzeichnis des Prozesses.
+ **Prozess-ID** – Die ID, die dem Prozess vom Betriebssystem zugewiesen wurde. 
+ **Startzeit** – Die Uhrzeit, zu der der Prozess gestartet wurde. Dieses Feld hat das UTC-Datums-Zeichenfolgenformat (`2023-03-22T19:37:20.168Z`).
+ **UUID** — Die eindeutige ID, die dem Prozess von zugewiesen wurde. GuardDuty
+ **Parent UUID** – Die eindeutige ID des übergeordneten Prozesses. Diese ID wird dem übergeordneten Prozess von zugewiesen. GuardDuty
+ **Benutzername** – Der Benutzername, der den Prozess ausgeführt hat. 
+ **Benutzer-ID** – Die Benutzer-ID des Benutzers, der den Prozess ausgeführt hat. 
+ **Effektive Benutzer-ID** – Die effektive Benutzer-ID des Prozesses zum Zeitpunkt des Ereignisses. 
+ **Herkunft** – Informationen über die Vorfahren des Prozesses. 
  + **Prozess-ID** – Die ID, die dem Prozess vom Betriebssystem zugewiesen wurde.
  + **UUID** — Die eindeutige ID, die dem Prozess von zugewiesen wurde. GuardDuty
  + **Ausführbarer Pfad** – Absoluter Pfad der ausführbaren Zieldatei des Prozesses.
  + **Effektive Benutzer-ID** – Die effektive Benutzer-ID des Prozesses zum Zeitpunkt des Ereignisses.
  + **Parent UUID** – Die eindeutige ID des übergeordneten Prozesses. Diese ID wird dem übergeordneten Prozess von zugewiesen. GuardDuty
  + **Startzeit** – Die Uhrzeit, zu der der Prozess gestartet wurde.
  + **Namespace-PID** – Die Prozess-ID des Prozesses in einem sekundären PID-Namespace, bei dem es sich nicht um den PID-Namespace auf Host-Ebene handelt. Bei Prozessen innerhalb eines Containers ist dies die Prozess-ID, die innerhalb des Containers beobachtet wird.
  + **Benutzer-ID** – Die Benutzer-ID des Benutzers, der den Prozess ausgeführt hat.
  + **Name** – Der Name des Prozesses.

**Laufzeitkontext**

Aus den folgenden Feldern kann eine generierte Erkenntnis nur die Felder enthalten, die für den Erkenntnistyp relevant sind.
+ **Mount-Quelle** – Der Pfad auf dem Host, der vom Container bereitgestellt wird.
+ **Mount-Ziel** – Der Pfad im Container, der dem Host-Verzeichnis zugeordnet ist.
+ **Dateisystem-Typ** – Stellt den Typ des eingehängten Dateisystems dar.
+ **Flags** – Stellt Optionen dar, die das Verhalten des Ereignisses steuern, das an dieser Erkenntnis beteiligt ist.
+ **Verändernder Prozess** – Informationen über den Prozess, der zur Laufzeit eine Binärdatei, ein Skript oder eine Bibliothek in einem Container erstellt oder geändert hat. 
+ **Geändert am** – Der Zeitstempel, zu dem der Prozess zur Laufzeit eine Binärdatei, ein Skript oder eine Bibliothek in einem Container erstellt oder geändert hat. Dieses Feld hat das UTC-Datums-Zeichenfolgenformat (`2023-03-22T19:37:20.168Z`).
+ **Bibliothekspfad** – Der Pfad zur neuen Bibliothek, die geladen wurde.
+ **LD-Vorladungs-Wert** – Der Wert der `LD_PRELOAD`-Umgebungsvariable.
+ **Socket-Pfad** – Der Pfad zum Docker-Socket, auf den zugegriffen wurde.
+ **Runc-Binär-Pfad** – Der Pfad zur `runc`-Binärdatei.
+ **Release-Agent-Pfad** – Der Pfad zur `cgroup`-Release-Agent-Datei.
+ **Beispiel für eine Befehlszeile** — Das Beispiel der Befehlszeile, die an der potenziell verdächtigen Aktivität beteiligt war.
+ **Werkzeugkategorie** — Kategorie, zu der das Tool gehört. Einige der Beispiele sind Backdoor Tool, Pentest Tool, Network Scanner und Network Sniffer.
+ **Toolname** — Der Name des potenziell gefährlichen Tools.
+ **Skriptpfad** — Der Pfad zu dem ausgeführten Skript, das den Befund generiert hat.
+ **Pfad der Bedrohungsdatei** — Der verdächtige Pfad, für den die Bedrohungsinformationen gefunden wurden.
+ **Dienstname** — Der Name des Sicherheitsdienstes, der deaktiviert wurde.
+ **Modulname** — Der Name des Moduls, das in den Kernel geladen wird.
+ **Modul SHA256** — Der SHA256 Hash des Moduls.
+ **Moduldateipfad** — Der Pfad zu dem in den Kernel geladenen Modul.

## Scan-Details der EBS-Volumes
<a name="mp-ebs-volumes-scan-details"></a>

**Anmerkung**  
Dieser Abschnitt bezieht sich auf Ergebnisse, die beim Einschalten des GuardDuty -initiierten Malware-Scans in [Malware-Schutz für EC2](malware-protection.md) festgestellt wurden.

Der EBS-Volume-Scan liefert Details über das EBS-Volume, das an die potenziell kompromittierte EC2-Instance oder den Container-Workload angehängt ist. 
+ **Scan-ID** – Die Kennung des Malware-Scans.
+ **Scan gestartet am** – Das Datum und die Uhrzeit, zu der der Malware-Scan gestartet wurde.
+ **Scan abgeschlossen am** – Das Datum und die Uhrzeit, zu der der Malware-Scan abgeschlossen wurde.
+ **Trigger Finding ID** — Die Finde-ID des GuardDuty Fundes, das diesen Malware-Scan ausgelöst hat.
+ **Quellen** — Die möglichen Werte sind `Bitdefender` und`Amazon`.

  Weitere Informationen zur Scan-Engine, die zur Erkennung von Malware verwendet wird, finden Sie unter[GuardDuty Scan-Engine zur Malware-Erkennung](guardduty-malware-detection-scan-engine.md).
+ **Scan-Erkennungen** – Die vollständige Ansicht der Details und Ergebnisse jedes Malware-Scans.
  + **Anzahl gescannter Objekte** – Die Gesamtzahl der gescannten Dateien. Liefert Details wie `totalGb`, `files` und `volumes`.
  + **Anzahl der entdeckten Bedrohungen** – Die Gesamtzahl der während des Scans erkannten schädlichen `files`.
  + **Bedrohungsdetails mit dem höchsten Schweregrad** – Die Details der Bedrohung mit dem höchsten Schweregrad, die während des Scans erkannt wurde, und die Anzahl der schädlichen Dateien. Liefert Details wie `severity`, `threatName` und `count`.
  + **Nach Namen erkannte Bedrohungen** – Das Container-Element, in dem Bedrohungen aller Schweregrade gruppiert werden. Liefert Details wie `itemCount`, `uniqueThreatNameCount`, `shortened` und `threatNames`. 

## Einzelheiten zur Suche nach Malware Protection for EC2
<a name="malware-protection-scan-details"></a>

**Anmerkung**  
Dieser Abschnitt bezieht sich auf Ergebnisse, die sich ergeben, wenn Sie den GuardDuty -initiierten Malware-Scan in aktivieren. [Malware-Schutz für EC2](malware-protection.md)

Wenn der Scan von Malware Protection for EC2 Malware erkennt, können Sie die Scandetails anzeigen, indem Sie auf der Seite **Ergebnisse** in der Konsole den entsprechenden Befund auswählen. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) Der Schweregrad Ihrer Entdeckung durch Malware Protection for EC2 hängt vom Schweregrad der GuardDuty Entdeckung ab.

Die folgenden Informationen sind im Abschnitt **Entdeckte Bedrohungen** im Detailbereich verfügbar.
+ **Name** – Der Name der Bedrohung, der durch Gruppierung der Dateien nach Entdeckung ermittelt wurde. 
+ **Schweregrad** – Der Schweregrad der erkannten Bedrohung. 
+ **Hash** – Der SHA-256-Hashwert der Datei. 
+ **Dateipfad** – Der Speicherort der schädlichen Datei auf dem EBS-Volume. 
+ **Dateiname** – Der Name der Datei, in der die Bedrohung erkannt wurde. 
+ **Volume-ARN** – Der ARN der gescannten EBS-Volumes. 

Die folgenden Informationen sind im Abschnitt **Malware-Scan-Details** im Detailbereich verfügbar.
+ **Scan-ID** – Die Kennung des Malware-Scans. 
+ **Scan gestartet am** – Das Datum und die Uhrzeit, zu der der Malware-Scan gestartet wurde. 
+ **Scan abgeschlossen am** – Das Datum und die Uhrzeit, zu der der Scan abgeschlossen wurde. 
+ **Gescannte Dateien** – Die Gesamtzahl der gescannten Dateien und Verzeichnisse. 
+ **Gescannte GB insgesamt** – Die Menge an Speicherplatz, die während des Vorgangs gescannt wurde. 
+ **Erkennungs-ID des Auslösers** — Die Finde-ID des GuardDuty Fundes, das diesen Malware-Scan ausgelöst hat. 
+ Die folgenden Informationen sind im Abschnitt **Volume-Details** im Detailbereich verfügbar.
  + **Volume-ARN** – Der Amazon-Ressourcenname (ARN) des Volumes.
  + **Snapshot-ARN** – Der ARN des Snapshots des EBS-Volumes.
  + **Status** – Der Scan-Status des Volumes, z. B. `Running`, `Skipped` und `Completed`.
  + **Verschlüsselungstyp** – Der Verschlüsselungstyp, der zur Verschlüsselung des Volumes verwendet wird. Beispiel, `CMCMK`.
  + **Gerätename** – Der Name des Geräts. Beispiel, `/dev/xvda`.

## Einzelheiten zu Erkenntnissen von Malware Protection für S3
<a name="gdu-malware-protection-for-s3-finding-details"></a>

Die folgenden Informationen zum Malware-Scan sind verfügbar, wenn Sie GuardDuty sowohl als auch Malware Protection for S3 in Ihrem aktivieren AWS-Konto:
+ **Bedrohungen** — Eine Liste der Bedrohungen, die während des Malware-Scans erkannt wurden. 
**Mehrere potenzielle Bedrohungen in Archivdateien**  
Wenn Sie eine Archivdatei mit potenziell mehreren Bedrohungen haben, meldet Malware Protection for S3 nur die erste erkannte Bedrohung. Danach wird der Scanstatus als abgeschlossen markiert. GuardDuty generiert den zugehörigen Befundtyp und sendet auch die von ihm generierten EventBridge Ereignisse. Weitere Informationen zur Überwachung der Amazon S3 S3-Objektscans mithilfe der EventBridge Ereignisse finden Sie im Beispiel-Benachrichtigungsschema für **THREATS\$1FOUND** unter. [Ergebnis des S3-Objektscans](monitor-with-eventbridge-s3-malware-protection.md#s3-object-scan-status-malware-protection-s3-ev)
+ **Elementpfad** — Eine Liste der verschachtelten Elementpfade und Hash-Details des gescannten S3-Objekts.
  + **Verschachtelter Elementpfad** — Elementpfad des gescannten S3-Objekts, in dem die Bedrohung erkannt wurde.

    Der Wert dieses Felds ist nur verfügbar, wenn es sich bei dem Objekt der obersten Ebene um ein Archiv handelt und wenn in einem Archiv eine Bedrohung erkannt wurde.
  + **Hash** — Hash der Bedrohung, die in diesem Ergebnis erkannt wurde.
+ **Quellen** — Die möglichen Werte sind `Bitdefender` und`Amazon`.

  Weitere Informationen zur Scan-Engine, die zur Erkennung von Malware verwendet wird, finden Sie unter[GuardDuty Scan-Engine zur Malware-Erkennung](guardduty-malware-detection-scan-engine.md).

## Action
<a name="finding-action-section"></a>

Die **Aktion** einer Erkenntnis gibt Details über die Art der Aktivität, durch die das Ergebnis ausgelöst wurde. Die verfügbaren Informationen variieren je nach Aktionstyp.

**Aktionstyp** – Der Aktivitätstyp der Erkenntnis. ****Dieser Wert kann **NETWORK\$1CONNECTION, PORT\$1PROBE, DNS\$1REQUEST** ****, \$1CALL oder RDS\$1LOGIN\$1ATTEMPT**** sein. AWS\$1API**** Die verfügbaren Informationen variieren je nach Aktionstyp: 
+ **NETWORK\$1CONNECTION** – Gibt an, dass Netzwerkdatenverkehr zwischen der identifizierten EC2-Instance und dem Remote-Host ausgetauscht wurde. Dieser Aktionstyp enthält die folgenden zusätzlichen Informationen:
  + **Verbindungsrichtung — Die Netzwerkverbindungsrichtung, die bei der Aktivität beobachtet wurde, die zur** Generierung des Ergebnisses geführt hat. GuardDuty Bei ihnen kann es sich um einen der folgenden Werte handeln:
    + **INBOUND** – Gibt an, dass ein Remote-Host eine Verbindung mit einem lokalen Port auf der in Ihrem Konto identifizierten EC2-Instance initiiert hat.
    + **OUTBOUND** – Gibt an, dass die identifizierte EC2-Instance eine Verbindung mit einem Remote-Host initiiert hat.
    + **UNBEKANNT** — Zeigt an, dass die Richtung der Verbindung nicht bestimmt werden GuardDuty konnte.
  + **Protokoll** — Das Netzwerkverbindungsprotokoll, das bei der Aktivität beobachtet wurde, die GuardDuty zur Generierung des Ergebnisses geführt hat. 
  + **Lokale IP** – Die ursprüngliche Quell-IP-Adresse des Datenverkehrs, der die Erkenntnis ausgelöst hat. Diese Informationen können verwendet werden, um zwischen der IP-Adresse einer Zwischenebene, durch die Datenverkehr fließt, und der ursprünglichen Quell-IP-Adresse des Datenverkehrs , der die Suche ausgelöst hat, zu unterscheiden. Zum Beispiel die IP-Adresse eines EKS-Pods im Gegensatz zur IP-Adresse der Instance, auf der der EKS-Pod ausgeführt wird. 
  + **Blockiert** – Gibt an, ob der Ziel-Port blockiert ist. 
+ **PORT\$1PROBE** – Gibt an, dass ein Remote-Host die identifizierte EC2-Instance auf mehreren offenen Ports untersucht hat. Dieser Aktionstyp enthält die folgenden zusätzlichen Informationen:
  + **Lokale IP** – Die ursprüngliche Quell-IP-Adresse des Datenverkehrs, der die Erkenntnis ausgelöst hat. Diese Informationen können verwendet werden, um zwischen der IP-Adresse einer Zwischenebene, durch die Datenverkehr fließt, und der ursprünglichen Quell-IP-Adresse des Datenverkehrs , der die Suche ausgelöst hat, zu unterscheiden. Zum Beispiel die IP-Adresse eines EKS-Pods im Gegensatz zur IP-Adresse der Instance, auf der der EKS-Pod ausgeführt wird. 
  + **Blockiert** – Gibt an, ob der Ziel-Port blockiert ist. 
+ **DNS\$1REQUEST** – Gibt an, dass die identifizierte EC2-Instance einen Domainnamen abgefragt hat. Dieser Aktionstyp enthält die folgenden zusätzlichen Informationen:
  + **Protokoll** — Das Netzwerkverbindungsprotokoll, das bei der Aktivität beobachtet wurde, die GuardDuty zur Generierung des Ergebnisses führte. 
  + **Blockiert** – Gibt an, ob der Ziel-Port blockiert ist. 
+ **AWS\$1API\$1CALL** — Zeigt an, dass eine AWS API aufgerufen wurde. Dieser Aktionstyp enthält die folgenden zusätzlichen Informationen:
  + **API** — Der Name des API-Vorgangs, der aufgerufen und somit GuardDuty zur Generierung dieses Ergebnisses aufgefordert wurde. 
**Anmerkung**  
Diese Vorgänge können auch Nicht-API-Ereignisse einschließen, die von AWS CloudTrail erfasst wurden. Weitere Informationen finden Sie unter [Nicht-API-Ereignisse, erfasst](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-non-api-events.html) von. CloudTrail
  + **Benutzeragent** – Der Benutzeragent, der die API-Anfrage gestellt hat. Dieser Wert gibt an, ob der Aufruf von AWS-Managementkonsole, einem AWS Dienst, dem oder dem AWS SDKs AWS CLI getätigt wurde.
  + **ERROR\$1CODE** – Wenn die Erkenntnis durch einen fehlgeschlagenen API-Aufruf ausgelöst wurde, wird der Fehlercode für diesen Aufruf angezeigt.
  + **Service-Name** – Der DNS-Name des Services, der versucht hat, den API-Aufruf durchzuführen, durch den die Erkenntnis ausgelöst wurde. 
+ **RDS\$1LOGIN\$1ATTEMPT** – Zeigt an, dass von einer Remote-IP-Adresse aus ein Anmeldeversuch bei der potenziell kompromittierte Datenbank unternommen wurde.
  + **IP-Adresse** – Die Remote-IP-Adresse, die für den potenziell verdächtigen Anmeldeversuch verwendet wurde.

## Akteur oder Ziel
<a name="finding-actor-target"></a>

Eine Erkenntnis verfügt über den Abschnitt **Actor**, wenn die **Ressourcenrolle** `TARGET` war. Dies zeigt an, dass verdächtige Aktivitäten auf Ihre Ressource ausgerichtet waren, und der Abschnitt **Actor** enthält Details zur Entität, von der diese auf Ihre Ressource ausgerichtet wurden.

Eine Erkenntnis hat einen **Ziel**-Abschnitt, wenn die **Ressourcenrolle** `ACTOR` lautete. Dies zeigt an, dass Ihre Ressource an verdächtigen Aktivitäten gegen einen Remote-Host beteiligt war. Dieser Abschnitt enthält Informationen zur IP-Adresse und/oder Domain, auf die Ihre Ressource ausgerichtet ist.

Im Abschnitt **Actor** oder **Ziel** können folgende Informationen verfügbar sein:
+ **Verbunden** — Gibt an, ob das AWS Konto des Remote-API-Aufrufers mit Ihrer GuardDuty Umgebung verknüpft ist. Wenn dieser Wert `true` ist, ist der API-Aufrufer in irgendeiner Weise Ihrem Konto zugeordnet. Falls der Wert `false` ist, stammt der API-Aufrufer von außerhalb Ihrer Umgebung.
+ **Remote-Konto-ID** — Die Konto-ID, der die ausgehende IP-Adresse gehört, die für den Zugriff auf die Ressource im endgültigen Netzwerk verwendet wurde.
+ **IP-Adresse — Die IP-Adresse**, die an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.
+ **Standort** — Standortinformationen für die IP-Adresse, die an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.
+ **Organisation** — Informationen zur ISP-Organisation der IP-Adresse, die an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat. 
+ **Port** — Die Portnummer, die an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.
+ **Domain** — Die Domain, die an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.
+ **Domain mit Suffix** — Die Domain der zweiten und obersten Ebene, die an einer Aktivität beteiligt war, die möglicherweise GuardDuty zur Generierung des Ergebnisses geführt hat. [Eine Liste der Domänen der obersten und zweiten Ebene finden Sie in der Liste der öffentlichen Suffixe.](https://publicsuffix.org/)

## Einzelheiten zur Geolokalisierung
<a name="guardduty-finding-details-geolocation"></a>

GuardDuty bestimmt den Standort und das Netzwerk von Anfragen mithilfe von MaxMind GeoIP-Datenbanken. MaxMind meldet eine sehr hohe Genauigkeit ihrer Daten auf Landesebene, obwohl die Genauigkeit je nach Faktoren wie Land und Art der IP-Adresse variiert. 

Weitere Informationen MaxMind dazu finden Sie unter [MaxMind IP-Geolokalisierung](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation). Wenn Sie der Meinung sind, dass einige der GeoIP-Daten falsch sind, senden Sie eine Korrekturanfrage MaxMind an [MaxMindCorrect Geo IP2 Data](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction).

## Zusätzliche Informationen
<a name="finding-additional-info"></a>

Alle Erkenntnisse verfügen über einen Abschnitt **Zusätzliche Informationen**, der die folgenden Informationen enthalten kann:
+ **Name der Bedrohungsliste** — Der Name der Bedrohungsliste, die die IP-Adresse oder den Domainnamen enthält, der an der Aktivität beteiligt war, die GuardDuty zur Generierung des Fundes geführt hat. 
+ **Beispiel** – Der Wert Wahr oder Falsch, gibt an, ob es sich um ein Beispiel-Erkenntnis handelt.
+ **Archiviert** – Der Wert Wahr oder Falsch, gibt an, ob diese Erkenntnis archiviert wurde.
+ **Ungewöhnlich** – Aktivitätsdetails, die zuvor noch nicht beobachtet wurden. Dabei kann es sich um ungewöhnliche (zuvor nicht beobachtete) Benutzer, Standorte, Zeitpunkte, Buckets, Anmeldeverhalten oder ASN Org handeln. 
+ **Ungewöhnliches Protokoll** — Das Netzwerkverbindungsprotokoll, das an der Aktivität beteiligt war, die GuardDuty zur Generierung des Befundes geführt hat.
+ **Agentendetails** – Details über den Sicherheitsagent, der derzeit auf dem EKS-Cluster in Ihrem AWS-Konto installiert ist. Dies gilt nur für Erkenntnistypen von der EKS-Laufzeit-Überwachung.
  + **Agent-Version** — Die Version des GuardDuty Security Agents.
  + **Agenten-ID** — Die eindeutige Kennung des GuardDuty Security Agents.

## Beweise
<a name="finding-evidence"></a>

Erkenntnisse, die auf Bedrohungsinformationen basieren, haben einen Abschnitt **Beweise**, der die folgenden Informationen enthält:
+ **Informationen zur Bedrohungsinformation** — Der Name der Bedrohungsliste, auf der die erkannte Bedrohung `Threat name` erscheint. 
+ **Name der Bedrohung** — Der Name der Malware-Familie oder eine andere Kennung, die mit der Bedrohung verknüpft ist.
+ **Bedrohungsdatei SHA256** — SHA256 der Datei, die den Befund generiert hat.

## Anormales Verhalten
<a name="finding-anomalous"></a>

Arten von Ergebnissen, die **AnomalousBehavior**auf Folgendes enden, weisen darauf hin, dass der Befund durch das ML-Modell (Machine Learning) zur Erkennung von GuardDuty Anomalien generiert wurde. Das ML-Modell wertet alle API-Anfragen an Ihr Konto aus und identifiziert anomale Ereignisse, die mit Taktiken von Angreifern in Verbindung gebracht werden. Das ML-Modell verfolgt verschiedene Faktoren der API-Anfrage, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, und die spezifische API, die angefordert wurde. 

Einzelheiten darüber, welche Faktoren der API-Anfrage für die CloudTrail Benutzeridentität, die die Anfrage aufgerufen hat, ungewöhnlich sind, finden Sie in den Ergebnisdetails. Die Identitäten werden durch das [ CloudTrail UserIdentity-Element](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) definiert, und die möglichen Werte sind:`Root`,,, `IAMUser``AssumedRole`, `FederatedUser` oder. `AWSAccount` `AWSService` 

Zusätzlich zu den Informationen, die für alle GuardDuty Ergebnisse im Zusammenhang mit API-Aktivitäten verfügbar sind, enthalten die **AnomalousBehavior**Ergebnisse zusätzliche Details, die im folgenden Abschnitt beschrieben werden. Diese Details können in der Konsole eingesehen werden und sind auch in der JSON-Datei des Erkenntnisses verfügbar.
+ **Anomal APIs** — Eine Liste von API-Anfragen, die von der Benutzeridentität in der Nähe der primären API-Anfrage aufgerufen wurden, die mit dem Ergebnis verknüpft ist. In diesem Bereich werden die Details des API-Erkenntnisses wie folgt weiter aufgeschlüsselt.
  + Bei der ersten aufgeführten API handelt es sich um die primäre API, d. h. um die API-Anfrage, die mit der beobachteten Aktivität mit dem höchsten Risiko verknüpft ist. Dies ist die API, welche die Erkenntnis ausgelöst hat und mit der Angriffsphase des Erkenntnistyps korreliert. Dies ist auch die API, die im Abschnitt **Aktion** in der Konsole und in der JSON-Datei des Erkenntnisses detailliert beschrieben wird.
  + Bei allen anderen APIs aufgelisteten Fällen handelt es sich um weitere Anomalien APIs im Vergleich zur aufgelisteten Benutzeridentität, die in der Nähe der primären API beobachtet wurden. Wenn nur eine API auf der Liste steht, hat das ML-Modell keine zusätzlichen API-Anfragen von dieser Benutzeridentität als anomal identifiziert. 
  + Die Liste der APIs ist danach unterteilt, ob eine API **erfolgreich aufgerufen** wurde oder ob die API nicht erfolgreich aufgerufen wurde, was bedeutet, dass eine Fehlerantwort empfangen wurde. Die Art der empfangenen Fehlerantwort ist über jeder API aufgeführt, die erfolglos aufgerufen wurde. Mögliche Fehlerantworttypen sind: `access denied`, `access denied exception`, `auth failure`, `instance limit exceeded`, `invalid permission - duplicate`, `invalid permission - not found` und `operation not permitted`.
  + APIs werden nach dem zugehörigen Dienst kategorisiert. 
  + Wenn Sie mehr Kontext benötigen, wählen Sie „**Historisch**“ aus, APIs um die wichtigsten Informationen zu sehen APIs, bis zu einem Maximum von 20, die in der Regel sowohl für die Benutzeridentität als auch für alle Benutzer innerhalb des Kontos angezeigt werden. Sie APIs sind als **Selten (weniger als einmal pro Monat)**, Selten **(einige Male im Monat)** oder **Häufig (täglich bis wöchentlich)** gekennzeichnet, je nachdem, wie oft sie in Ihrem Konto verwendet werden.
+ **Ungewöhnliches Verhalten (Konto)** – In diesem Abschnitt finden Sie zusätzliche Informationen zum profilierten Verhalten Ihres Kontos.
**Profiliertes Verhalten**  
GuardDuty erfährt anhand der bereitgestellten Ereignisse kontinuierlich mehr über die Aktivitäten in Ihrem Konto. Diese Aktivitäten und ihre beobachtete Häufigkeit werden als profiliertes Verhalten bezeichnet.

  Zu den in diesem Bereich erfassten Informationen gehören:
  + **ASN Org** — Die Organisation mit der Autonomous System Number (ASN), von der aus der anomale API-Aufruf getätigt wurde. 
  + **Benutzername** – Der Name des Benutzers, der den anomalen API-Aufruf ausgeführt hat.
  + **Benutzeragent** – Der Benutzeragent, der für den anomalen API-Aufruf verwendet wurde. Der Benutzeragent ist die Methode, mit der der Aufruf ausgeführt wird, z. B. `aws-cli` oder `Botocore`.
  + **Benutzertyp** – Der Typ des Benutzers, der den anomalen API-Aufruf ausgeführt hat. Mögliche Werte sind `AWS_SERVICE`, `ASSUMED_ROLE`, `IAM_USER` oder `ROLE`.
  + **Bucket** – Der Name des S3-Buckets, auf den zugegriffen wurde.
+ **Ungewöhnliches Verhalten (Benutzeridentität)** – Dieser Abschnitt enthält zusätzliche Informationen zum profilierten Verhalten der **Benutzeridentität**, die an der Erkenntnis beteiligt war. Wenn ein Verhalten nicht als historisch identifiziert wurde, bedeutet dies, dass das GuardDuty ML-Modell diese Benutzeridentität während des Trainingszeitraums noch nicht auf diese Weise aufgerufen hat. Die folgenden zusätzlichen Details zur **Benutzeridentität** sind verfügbar:
  + **ASN Org** – Die ASN-Organisation, von der aus der anomale API-Aufruf getätigt wurde. 
  + **Benutzeragent** – Der Benutzeragent, der für den anomalen API-Aufruf verwendet wurde. Der Benutzeragent ist die Methode, mit der der Aufruf ausgeführt wird, z. B. `aws-cli` oder `Botocore`.
  + **Bucket** – Der Name des S3-Buckets, auf den zugegriffen wurde.
+ **Ungewöhnliches Verhalten (Bucket)** – Dieser Abschnitt enthält zusätzliche Informationen zum profilierten Verhalten des S3-Buckets, der mit der Erkenntnis verknüpft ist. Wenn ein Verhalten nicht als historisch identifiziert wurde, bedeutet dies, dass das GuardDuty ML-Modell innerhalb des Trainingszeitraums noch keine API-Aufrufe auf diese Weise an diesen Bucket gesendet hat. Zu den in diesem Bereich erfassten Informationen gehören:
  + **ASN Org** – Die ASN-Organisation, von der aus der anomale API-Aufruf getätigt wurde. 
  + **Benutzername** – Der Name des Benutzers, der den anomalen API-Aufruf ausgeführt hat.
  + **Benutzeragent** – Der Benutzeragent, der für den anomalen API-Aufruf verwendet wurde. Der Benutzeragent ist die Methode, mit der der Aufruf ausgeführt wird, z. B. `aws-cli` oder `Botocore`.
  + **Benutzertyp** – Der Typ des Benutzers, der den anomalen API-Aufruf ausgeführt hat. Mögliche Werte sind `AWS_SERVICE`, `ASSUMED_ROLE`, `IAM_USER` oder `ROLE`.
**Anmerkung**  
Weitere Informationen zu historischen Verhaltensweisen finden Sie unter **Historisches Verhalten** in den Abschnitten **Ungewöhnliches Verhalten (Konto)**, **Benutzer-ID** oder **Bucket**, wo Sie Details zum erwarteten Verhalten in Ihrem Konto für jede der folgenden Kategorien anzeigen können: **Selten (weniger als einmal pro Monat)**, **Gelegentlich (einige Male pro Monat)** oder **Häufig (täglich bis wöchentlich)**, je nachdem, wie oft sie in Ihrem Konto verwendet werden.
+ **Ungewöhnliches Verhalten (Datenbank)** – Dieser Abschnitt enthält zusätzliche Informationen zum profilierten Verhalten der Datenbank-Instance, das mit der Erkenntnis verknüpft ist. Wenn ein Verhalten nicht als historisch identifiziert wurde, bedeutet dies, dass das GuardDuty ML-Modell innerhalb des Trainingszeitraums noch keinen Anmeldeversuch auf diese Weise bei dieser Datenbankinstanz festgestellt hat. Zu den Informationen, die für diesen Abschnitt im Erkenntnisbereich verfolgt werden, gehören:
  + **Benutzer** – Der Benutzername, der für den anomalen Anmeldeversuch verwendet wurde.
  + **ASN Org** – Die ASN-Organisation, von der aus der anomale API-Aufruf getätigt wurde.
  + **Anwendung** – Der Anwendungsname, der für den anomalen Anmeldeversuch verwendet wurde. 
  + **Datenbank** – Der Name der Datenbank-Instance, die an dem anomalen Anmeldeversuch beteiligt war.

  Der Abschnitt **Historisches Verhalten** bietet mehr Kontext zu den zuvor beobachteten **Benutzernamen**, **ASN-Organisationen**, **Anwendungsnamen** und **Datenbanknamen** für die zugehörige Datenbank. Jedem Einzelwert ist eine Anzahl zugeordnet, die angibt, wie oft dieser Wert bei einer erfolgreichen Anmeldung beobachtet wurde.
+ **Ungewöhnliches Verhalten (Konto-Kubernetes-Cluster, Kubernetes-Namespace und Kubernetes-Benutzername)** – In diesem Abschnitt finden Sie zusätzliche Informationen zum profilierten Verhalten des Kubernetes-Clusters und des mit der Erkenntnis verbundenen Namespaces. Wenn ein Verhalten nicht als historisch identifiziert wird, bedeutet dies, dass das GuardDuty ML-Modell diesen Account, Cluster, Namespace oder Benutzernamen zuvor nicht auf diese Weise beobachtet hat. Zu den Informationen, die für diesen Abschnitt im Erkenntnisbereich verfolgt werden, gehören:
  + **Benutzername** – Der Benutzer, der die der Erkenntnis zugeordnete Kubernetes-API aufgerufen hat.
  + **Impersonierter Nutzername** – Der Benutzer, für den sich `username` ausgibt.
  + **Namespace** – Der Kubernetes-Namespace innerhalb des Amazon-EKS-Clusters, in dem die Aktion stattgefunden hat.
  + **Benutzeragent** – Der Benutzeragent, der dem Kubernetes-API-Aufruf zugeordnet ist. Der Benutzeragent ist die Methode, mit der der Aufruf ausgeführt wird, z. B. `kubectl`. 
  + **API** – Die Kubernetes-API, die von `username` innerhalb des Amazon-EKS-Clusters aufgerufen wird.
  + **ASN-Informationen** – Die ASN-Informationen, wie Organisation und ISP, die der IP-Adresse des Benutzers zugeordnet sind, der diesen Aufruf tätigt.
  + **Wochentag** – Der Wochentag, an dem der Kubernetes-API-Aufruf getätigt wurde. 
  + **Permission** — Das Kubernetes-Verb und die Ressource, die auf Zugriff geprüft werden, geben an, ob sie die Kubernetes-API verwenden `username` können oder nicht.
  + **Dienstkontoname** — Das dem Kubernetes-Workload zugeordnete Dienstkonto, das dem Workload eine Identität verleiht.
  + **Registrierung** — Die Container-Registry, die dem Container-Image zugeordnet ist, das im Kubernetes-Workload bereitgestellt wird.
  + **Image** — Das Container-Image ohne die zugehörigen Tags und Digest, das im Kubernetes-Workload bereitgestellt wird.
  + **Image-Präfix-Konfiguration** — Das Image-Präfix mit aktivierter Container- und Workload-Sicherheitskonfiguration, z. B. `hostNetwork` oder`privileged`, für den Container, der das Image verwendet.
  + **Betreffname** — Die Subjekte, wie z. B. a `user``group`, oder, `serviceAccountName` die an eine Referenzrolle in einem `RoleBinding` oder gebunden sind`ClusterRoleBinding`.
  + **Rollenname** — Der Name der Rolle, die an der Erstellung oder Änderung von Rollen oder der `roleBinding` API beteiligt ist.

### Volumenbezogene S3-Anomalien
<a name="s3-volume-based-anomalies"></a>

In diesem Abschnitt werden die Kontextinformationen für volumenbasierte S3-Anomalien detailliert beschrieben. Die volumenbasierte Erkenntnis ([Exfiltration:S3/AnomalousBehavior](guardduty_finding-types-s3.md#exfiltration-s3-anomalousbehavior)) überwacht, ob Benutzer ungewöhnlich viele S3-API-Aufrufe an die S3-Buckets tätigen, was auf eine mögliche Datenexfiltration hindeutet. Die folgenden S3-API-Aufrufe werden im Hinblick auf die volumenbasierte Erkennung von Anomalien überwacht.
+ `GetObject`
+ `CopyObject.Read`
+ `SelectObjectContent`

Die folgenden Metriken würden dabei helfen, eine Grundlage für das übliche Verhalten zu schaffen, wenn eine IAM-Entität auf einen S3-Bucket zugreift. Um Datenexfiltration zu erkennen, werden bei der volumenbasierten Erkennung von Anomalien alle Aktivitäten anhand der üblichen Verhaltensgrundlagen bewertet. Wählen Sie die Option **Historisches Verhalten** in den Abschnitten **Ungewöhnliches Verhalten (Benutzeridentität)**, **Beobachtetes Volumen (Benutzeridentität) und **Beobachtetes Volumen (Bucket)**** aus, um jeweils die folgenden Metriken anzuzeigen. 
+ Anzahl der `s3-api-name`-API-Aufrufe, die von dem IAM-Benutzer oder der IAM-Rolle (je nachdem, welche ausgestellt wurde), der/die dem betroffenen S3-Bucket zugeordnet ist, in den letzten 24 Stunden durchgeführt wurden.
+ Anzahl der `s3-api-name`-API-Aufrufe, die vom IAM-Benutzer oder von der IAM-Rolle (je nachdem, welche ausgestellt wurde) der/die allen S3-Buckets zugeordnet ist, in den letzen 24 Stunden durchgeführt wurden.
+ Anzahl der `s3-api-name`-API-Aufrufe über alle IAM-Benutzer oder IAM-Rollen (je nachdem, welche ausgestellt wurden), die dem betroffenen S3-Bucket zugeordnet sind, in den letzten 24 Stunden durchgeführt wurden.

### Anomalien aufgrund von RDS-Anmeldeaktivitäten
<a name="rds-pro-login-anomaly"></a>

In diesem Abschnitt wird die Anzahl der Anmeldeversuche des ungewöhnlichen Akteurs detailliert beschrieben und nach den Ergebnissen der Anmeldeversuche gruppiert. Die [Erkenntnistypen für RDS Protection](findings-rds-protection.md) identifizieren anomales Verhalten, indem sie die Anmeldeereignisse auf ungewöhnliche Muster von `successfulLoginCount`, `failedLoginCount` und `incompleteConnectionCount` überwachen.
+ **successfulLoginCount**— Dieser Zähler stellt die Summe der erfolgreichen Verbindungen (richtige Kombination von Anmeldeattributen) dar, die der ungewöhnliche Akteur mit der Datenbankinstanz hergestellt hat. Zu den Anmeldeattributen gehören Benutzername, Passwort und Datenbankname. 
+ **failedLoginCount**— Dieser Zähler stellt die Summe der fehlgeschlagenen (erfolglosen) Anmeldeversuche dar, die unternommen wurden, um eine Verbindung zur Datenbankinstanz herzustellen. Dies weist darauf hin, dass ein oder mehrere Attribute der Anmeldekombination, wie Benutzername, Passwort oder Datenbankname, falsch waren.
+ **incompleteConnectionCount**— Dieser Zähler stellt die Anzahl der Verbindungsversuche dar, die nicht als erfolgreich oder gescheitert eingestuft werden können. Diese Verbindungen werden geschlossen, bevor die Datenbank eine Antwort liefert. Beispielsweise Port-Scanning, bei dem der Datenbank-Port zwar verbunden ist, aber keine Information an die Datenbank gesendet wird, oder die Verbindung vor Abschluss der Anmeldung entweder erfolgreich oder fehlgeschlagen abgebrochen wurde.