Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# GuardDuty Amazon-Ergebnisse verstehen und generieren
<a name="guardduty_findings"></a>

Ein GuardDuty Ergebnis steht für ein potenzielles Sicherheitsproblem AWS-Konten, das in Workloads und Daten erkannt wurde. GuardDuty generiert immer dann einen Befund, wenn unerwartete und potenziell bösartige Aktivitäten in Ihrer AWS Umgebung entdeckt werden.

**Sie können Ihre GuardDuty Ergebnisse auf der Ergebnisseite in der GuardDuty Konsole oder mithilfe der API-Operationen AWS CLI oder anzeigen und verwalten.** Informationen darüber, wie Sie GuardDuty Ergebnisse verwalten können, finden Sie unter[Verwaltung der GuardDuty Amazon-Ergebnisse](findings_management.md).

**Themen:**

[GuardDuty Format finden](guardduty_finding-format.md)  
Machen Sie sich mit dem Format der GuardDuty Erkennungstypen und den verschiedenen Bedrohungszwecken vertraut, die GuardDuty verfolgt werden.

[Beispielerkenntnisse](sample_findings.md)  
Generieren Sie Beispielergebnisse in der GuardDuty Konsole oder mithilfe von GuardDuty APIs oder AWS CLI Befehlen. Die generierten Stichprobenergebnisse enthalten fiktive Details, damit Sie die mit den einzelnen GuardDuty Ergebnissen verknüpften Ergebnisdetails besser verstehen können. Diese Ergebnisse sind mit dem Präfix **[SAMPLE]** gekennzeichnet.

[GuardDuty Testergebnisse in speziellen Konten](guardduty_findings-scripts.md)  
Sie können spezifische GuardDuty Ergebnisse in Ihrer Umgebung testen. Führen Sie `guardduty-tester` das Skript in einer speziellen Umgebung aus, die nicht zur Produktion AWS-Konto bestimmt ist. Um Ergebnisse GuardDuty zu erkennen und zu simulieren, werden bestimmte Ressourcen in Ihrer Umgebung eingesetzt. Diese Erfahrung unterscheidet sich von der Generierung von Stichprobenergebnissen.

[Generierte Ergebnisse in der GuardDuty Konsole anzeigen](guardduty_working-with-findings.md)  
Erfahren Sie, wie Sie die generierten Ergebnisse in der GuardDuty Konsole überprüfen können.

[Schweregrad der Ergebnisse GuardDuty](guardduty_findings-severity.md)  
Jedem GuardDuty Ergebnis ist ein Schweregrad zugeordnet, der das potenzielle Risiko in Ihrer AWS Umgebung widerspiegelt. In diesem Abschnitt wird erklärt, was die einzelnen Schweregrade bedeuten.

[Erkenntnisdetails](guardduty_findings-summary.md)  
Erfahren Sie mehr über die Details zu den GuardDuty Ergebnissen, die in Ihrem Konto generiert werden. Dieses Thema enthält Informationen zur grundlegenden Bedrohungserkennung, zur erweiterten Bedrohungserkennung und zu speziellen Schutzplänen unter GuardDuty.

[GuardDuty Aggregation finden](finding-aggregation.md)  
Erfahren Sie, wie GuardDuty mit mehreren Vorkommnissen desselben Befundtyps umgegangen wird. Durch die Aggregation identischer gefundener Befundtypen wird der ursprüngliche Befundtyp mit den neuesten Details GuardDuty aktualisiert.

[GuardDuty Typen finden](guardduty_finding-types-active.md)  
In diesem Abschnitt werden die GuardDuty Findetypen nach dem zugehörigen [Grundlegende Datenquellen](guardduty_data-sources.md) oder aufgeführt. [Zugeordnetes Feature GuardDuty](guardduty-feature-object-api-changes-march2023.md#guardduty-feature-enablement-datasource-relation) Um mehr über die einzelnen Ergebnisarten zu erfahren, wählen Sie das jeweilige Ergebnis aus, um weitere Informationen zu erhalten, z. B. eine Beschreibung und mögliche Schritte zur Behebung des Ergebnisses.

# GuardDuty Format finden
<a name="guardduty_finding-format"></a>

Wenn verdächtiges oder unerwartetes Verhalten in Ihrer AWS Umgebung GuardDuty erkannt wird, wird ein Befund generiert. Ein Befund ist eine Benachrichtigung, die Einzelheiten zu einem potenziellen Sicherheitsproblem enthält, das GuardDuty entdeckt wurde. Sie [Generierte Ergebnisse in der GuardDuty Konsole anzeigen](guardduty_working-with-findings.md) enthalten Informationen darüber, was passiert ist, welche AWS Ressourcen an der verdächtigen Aktivität beteiligt waren, wann diese Aktivität stattgefunden hat, sowie zugehörige Informationen, die Ihnen helfen können, die Ursache zu verstehen.

Eine der wichtigsten Informationen in den Ergebnisdetails ist der **Ergebnistyp**. Der Zweck des Ergebnistyps ist eine kurze und dennoch aussagekräftige Beschreibung des potenziellen Sicherheitsrisikos. Beispielsweise informiert Sie der PortProbeUnprotectedPort Findetyp GuardDuty *Recon:EC2/*schnell darüber, dass irgendwo in Ihrer AWS Umgebung eine EC2 Instance über einen ungeschützten Port verfügt, den ein potenzieller Angreifer untersucht.

GuardDuty verwendet das folgende Format für die Benennung der verschiedenen Arten von Ergebnissen, die er generiert:

**ThreatPurpose:ResourceTypeAffected/ThreatFamilyName. DetectionMechanism\$1 Artifact**

Jeder Teil dieses Formats steht für einen Aspekt eines Erkenntnistyps. Für diese Aspekte gibt es die folgenden Erklärungen:
+ **ThreatPurpose**- beschreibt den Hauptzweck einer Bedrohung, einen Angriffstyp oder eine Phase eines potenziellen Angriffs. Im folgenden Abschnitt finden Sie eine vollständige Liste der GuardDuty Bedrohungszwecke.
+ **ResourceTypeAffected**— beschreibt, welcher AWS Ressourcentyp in diesem Ergebnis als potenzielles Ziel eines Widersachers identifiziert wurde. GuardDuty Kann derzeit Ergebnisse für die Ressourcentypen generieren, die in der aufgeführt sind. [GuardDuty Typen von aktiven Ergebnissen](guardduty_finding-types-active.md#findings-table)
+ **ThreatFamilyName**- beschreibt die allgemeine Bedrohung oder potenzielle bösartige Aktivität, die erkannt GuardDuty wird. Ein Wert von **NetworkPortUnusual**gibt beispielsweise an, dass bei einer im GuardDuty Befund identifizierten EC2 Instanz noch keine Kommunikation an einem bestimmten Remote-Port stattgefunden hat, der auch im Ergebnis identifiziert wurde.
+ **DetectionMechanism**- beschreibt die Methode, mit der der Befund GuardDuty erkannt wurde. Dies kann verwendet werden, um auf eine Variation eines gemeinsamen Befundtyps oder auf ein Ergebnis hinzuweisen, GuardDuty bei dem ein bestimmter Erkennungsmechanismus verwendet wurde. Beispielsweise weist **Backdoor:EC2/DenialOfService.Tcp darauf hin, dass ein Denial of Service (DoS) über TCP** erkannt wurde. Die UDP-Variante ist **Backdoor**:/.Udp. EC2 DenialOfService

  Der Wert **.Custom** gibt an, dass das Ergebnis anhand Ihrer benutzerdefinierten Bedrohungslisten GuardDuty erkannt wurde. Weitere Informationen finden Sie unter [Entitätslisten und IP-Adresslisten](guardduty_upload-lists.md). 

  Der Wert **.Reputation** gibt an, dass das Ergebnis anhand eines Domain-Reputations-Score-Modells GuardDuty erkannt wurde. Weitere Informationen finden Sie unter [So können Sie AWS die größten Sicherheitsbedrohungen der Cloud aufspüren und sie abwehren](https://aws.amazon.com/blogs/security/how-aws-tracks-the-clouds-biggest-security-threats-and-helps-shut-them-down/).
+ **Artefakt** – Eine Beschreibung einer bestimmten Ressource eines Tools, das beim Angriff verwendet wird. Beispielsweise weist **DNS** im Finding-Typ [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolbdns) darauf hin, dass eine EC2 Amazon-Instance mit einer bekannten Bitcoin-bezogenen Domain kommuniziert.
**Anmerkung**  
Artifact ist optional und möglicherweise nicht für alle GuardDuty Fundtypen verfügbar.

## Bedrohungszwecke
<a name="guardduty_threat_purposes"></a>

In GuardDuty einer *Bedrohung beschreibt Zweck* den Hauptzweck einer Bedrohung, einen Angriffstyp oder eine Phase eines potenziellen Angriffs. Beispielsweise deuten einige Bedrohungszwecke, wie **Backdoor**, auf einen Typ von Angriff hin. Einige Bedrohungszwecke, wie etwa **Impact**, stimmen jedoch mit den [Taktiken von MITRE ATT&CK](https://attack.mitre.org/tactics/TA0010/) überein. Die MITRE-ATT&CK-Taktiken deuten auf verschiedene Phasen im Angriffszyklus eines Gegners hin. In der aktuellen Version von GuardDuty ThreatPurpose kann es die folgenden Werte haben:

**Backdoor**  
Dieser Wert gibt an, dass ein Angreifer eine Ressource kompromittiert und die AWS Ressource so verändert hat, dass er seinen Home-Command-and-Control-Server (C&C) kontaktieren kann, um weitere Anweisungen für böswillige Aktivitäten zu erhalten.

**Behavior**  
Dieser Wert gibt an, GuardDuty dass Aktivitäten oder Aktivitätsmuster erkannt wurden, die sich von der festgelegten Ausgangsbasis für die beteiligten Ressourcen unterscheiden. AWS 

**CredentialAccess**  
Dieser Wert gibt an, dass GuardDuty Aktivitätsmuster erkannt wurden, anhand derer ein Angreifer Anmeldeinformationen wie Passwörter, Benutzernamen und Zugriffsschlüssel aus Ihrer Umgebung stehlen kann. Dieser Bedrohungszweck basiert auf der [MITRE-ATT&CK-Taktiken](https://attack.mitre.org/matrices/enterprise/cloud/aws/).

**Kryptowährung**  
Dieser Wert gibt an, dass erkannt GuardDuty wurde, dass eine AWS Ressource in Ihrer Umgebung Software hostet, die mit Kryptowährungen verknüpft ist (z. B. Bitcoin).

**DefenseEvasion**  
Dieser Wert gibt an, GuardDuty dass Aktivitäten oder Aktivitätsmuster erkannt wurden, anhand derer ein Angreifer beim Eindringen in Ihre Umgebung möglicherweise nicht entdeckt wird. Dieser Bedrohungszweck basiert auf den [MITRE-ATT&CK-Taktiken](https://attack.mitre.org/matrices/enterprise/cloud/aws/)

**Erkennung**  
Dieser Wert gibt an, GuardDuty dass Aktivitäten oder Aktivitätsmuster erkannt wurden, anhand derer ein Angreifer sein Wissen über Ihre Systeme und internen Netzwerke erweitern kann. Dieser Bedrohungszweck basiert auf der [MITRE-ATT&CK-Taktiken](https://attack.mitre.org/matrices/enterprise/cloud/aws/).

**Ausführung**  
Dieser Wert gibt an, dass erkannt GuardDuty wurde, dass ein Angreifer möglicherweise versucht, bösartigen Code auszuführen, um die AWS Umgebung zu erkunden oder Daten zu stehlen. Dieser Bedrohungszweck basiert auf der [MITRE-ATT&CK-Taktiken](https://attack.mitre.org/tactics/TA0002/).

**Exfiltration**  
Dieser Wert gibt an, GuardDuty dass Aktivitäten oder Aktivitätsmuster erkannt wurden, die ein Angreifer verwenden könnte, wenn er versucht, Daten aus Ihrer Umgebung zu stehlen. Dieser Bedrohungszweck basiert auf der [MITRE-ATT&CK-Taktiken](https://attack.mitre.org/tactics/TA0010/).

**Auswirkung**  
Dieser Wert gibt an, GuardDuty dass Aktivitäten oder Aktivitätsmuster erkannt wurden, die darauf hindeuten, dass ein Angreifer versucht, Ihre Systeme und Daten zu manipulieren, zu unterbrechen oder zu zerstören. Dieser Bedrohungszweck basiert auf der [MITRE-ATT&CK-Taktiken](https://attack.mitre.org/matrices/enterprise/cloud/aws/).

**InitialAccess**  
Dieser Wert wird üblicherweise mit der ersten Zugriffsphase eines Angriffs in Verbindung gebracht, wenn ein Angreifer versucht, Zugriff auf Ihre Umgebung zu erhalten. Dieser Bedrohungszweck basiert auf der [MITRE-ATT&CK-Taktiken](https://attack.mitre.org/matrices/enterprise/cloud/aws/).

**Penetrationstest**  
Manchmal führen Besitzer von AWS Ressourcen oder ihre autorisierten Vertreter bewusst Tests mit AWS Anwendungen durch, um Sicherheitslücken zu finden, z. B. offene Sicherheitsgruppen oder zu freizügige Zugriffsschlüssel. Bei diesen Penetrationstests wird versucht, gefährdete Ressourcen zu erkennen und zu sperren, bevor sie von Angreifern entdeckt werden. Einige der von autorisierten Penetrationstestern verwendeten Tools sind jedoch kostenlos verfügbar und können daher auch von nicht autorisierten Benutzern oder Angreifern verwendet werden, um Analysetests durchzuführen. Obwohl der wahre Zweck einer solchen Aktivität nicht identifiziert werden GuardDuty kann, gibt der **Pentest-Wert** an, dass eine solche Aktivität erkannt GuardDuty wird, dass sie der Aktivität ähnelt, die von bekannten Pen-Testing-Tools generiert wird, und dass dies auf böswillige Tests in Ihrem Netzwerk hinweisen könnte.

**Persistenz**  
Dieser Wert gibt an, GuardDuty dass Aktivitäten oder Aktivitätsmuster erkannt wurden, anhand derer ein Angreifer versuchen könnte, den Zugriff auf Ihre Systeme aufrechtzuerhalten, auch wenn der ursprüngliche Zugriffsweg unterbrochen ist. Dies könnte beispielsweise das Erstellen eines neuen IAM-Benutzers beinhalten, nachdem er über die kompromittierten Anmeldeinformationen eines vorhandenen Benutzers Zugriff erhalten hat. Wenn die Anmeldeinformationen des vorhandenen Benutzers gelöscht werden, behält der Angreifer den Zugriff auf den neuen Benutzer, der beim ursprünglichen Ereignis nicht erkannt wurde. Dieser Bedrohungszweck basiert auf der [MITRE-ATT&CK-Taktiken](https://attack.mitre.org/matrices/enterprise/cloud/aws/).

**Richtlinie**  
Dieser Wert weist darauf hin, AWS-Konto dass Ihr Verhalten gegen die empfohlenen bewährten Sicherheitsmethoden verstößt. Zum Beispiel unbeabsichtigte Änderungen von Berechtigungsrichtlinien in Bezug auf Ihre AWS Ressourcen oder Umgebung und die Verwendung von privilegierten Konten, die kaum oder gar nicht genutzt werden sollten.

**PrivilegeEscalation**  
Dieser Wert informiert Sie darüber, dass der betroffene Prinzipal in Ihrer AWS -Umgebung ein Verhalten an den Tag legt, das ein Angreifer nutzen könnte, um sich Zugriff auf Ihr Netzwerk auf höherer Ebene zu verschaffen. Dieser Bedrohungszweck basiert auf der [MITRE-ATT&CK-Taktiken](https://attack.mitre.org/matrices/enterprise/cloud/aws/).

**Recon**  
Dieser Wert gibt an, GuardDuty dass Aktivitäten oder Aktivitätsmuster erkannt wurden, anhand derer ein Angreifer Ihre Umgebung auskundschaften kann, um zu ermitteln, wie er seinen Zugriff erweitern oder Ihre Ressourcen nutzen kann. Diese Aktivität kann beispielsweise das Aufspüren von Sicherheitslücken in Ihrer AWS Umgebung umfassen, indem Sie unter anderem Ports sondieren, API-Aufrufe tätigen, Benutzer auflisten und Datenbanktabellen auflisten.

**Stealth**  
Dieser Wert gibt an, dass ein Angreifer aktiv versucht, seine Aktionen zu verbergen. Beispielsweise könnten sie einen anonymisierenden Proxyserver verwenden, was es extrem schwierig macht, die wahre Art der Aktivität einzuschätzen.

**Trojan**  
Dieser Wert gibt an, dass der Angriff über Trojaner-Programme erfolgt, die im Hintergrund schädliche Aktivitäten durchführen. Es kann vorkommen, dass diese Software das Erscheinungsbild eines seriösen Programms annimmt. Es kann vorkommen, dass Benutzer diese Software versehentlich ausführen. Die Software kann auch automatisch durch Ausnutzung einer Schwachstelle ausgeführt werden. 

**UnauthorizedAccess**  
Dieser Wert gibt an, dass GuardDuty eine verdächtige Aktivität oder ein verdächtiges Aktivitätsmuster durch eine nicht autorisierte Person erkannt wird.

# GuardDuty Scan-Engine zur Malware-Erkennung
<a name="guardduty-malware-detection-scan-engine"></a>

Amazon GuardDuty hat eine intern entwickelte und verwaltete Scan-Engine und einen [Drittanbieter](https://www.bitdefender.com/blog/businessinsights/bitdefender-and-amazon-web-services-strengthen-cloud-security/). Beide verwenden Kompromittierungsindikatoren (IoCs), die aus verschiedenen internen Feeds stammen und Aufschluss über verschiedene Arten von Schadsoftware geben, auf die möglicherweise zugegriffen werden kann AWS. GuardDuty verfügt außerdem über Erkennungsdefinitionen, die auf YARA-Regeln basieren, die von unseren Sicherheitsingenieuren hinzugefügt wurden, sowie Erkennungen, die auf heuristischen Modellen und Modellen für maschinelles Lernen (ML) basieren. Beim Scannen von Amazon S3 S3-Objekten liefert GuardDuty Malware Protection konsistente Ergebnisse, wenn dasselbe Objekt mehrmals mit denselben Scandefinitionen und Engines gescannt wird. Die signaturbasierte Erkennung umfasst nicht nur den Abgleich von Bytes, sondern auch einen Codeausschnitt, der potenziell komplex ist, und der Scanner kann Inhalte analysieren und Entscheidungen treffen.

Die Malware-Scan-Engine führt keine Live-Verhaltensanalyse durch, bei der die Malware-Detonation die Probe überwacht, während sie in einem realen System ausgeführt wird. Die GuardDuty Lösung besteht in erster Linie in einer dateibasierten Erkennung. GuardDuty Bietet eine agentenbasierte Lösung zur Erkennung dateiloser Malware, z. B. [Laufzeitüberwachung](runtime-monitoring.md) für Amazon EKS, Amazon EC2 und Amazon ECS (einschließlich). AWS Fargate

Die verwendeten Scan-Engines sind in der Lage, verschiedene Arten von Malware wie Cryptominer, Ransomware und Webshells zu erkennen, da es keine Einschränkungen hinsichtlich der Dateiformate gibt, mit denen nach Malware GuardDuty gescannt wird. Die vollständig verwaltete GuardDuty Scan-Engine aktualisiert die Liste der Malware-Signaturen kontinuierlich alle 15 Minuten.

Die Scan-Engine ist Teil eines GuardDuty Threat Intelligence-Systems, das eine interne Komponente zur Detonation von Malware verwendet. Dadurch werden neue Bedrohungsinformationen generiert, indem unabhängig voneinander Malware und harmlose Proben aus verschiedenen Quellen gesammelt werden. Der IoC-Typ Datei-Hash aus dem Threat Intelligence System wird außerdem in die Malware-Scan-Engine eingespeist, um Malware auf der Grundlage bekannter bösartiger Datei-Hashes zu erkennen. 

# Generierung von Stichprobenbefunden in GuardDuty
<a name="sample_findings"></a>

Amazon GuardDuty unterstützt Sie bei der Generierung von Stichprobenergebnissen, um die verschiedenen Befunde, die generiert werden können, zu visualisieren und zu verstehen. Wenn Sie Stichprobenergebnisse generieren, GuardDuty füllt Ihre aktuelle Ergebnisliste mit einer Stichprobe für jeden unterstützten Befundtyp, einschließlich der Findungstypen der Angriffssequenz. 

Bei den generierten Beispielen handelt es sich um Näherungen, die mit Platzhalterwerten gefüllt sind. Diese Beispiele sehen möglicherweise anders aus als die tatsächlichen Ergebnisse für Ihre Umgebung, aber Sie können sie verwenden, um verschiedene Konfigurationen zu testen GuardDuty, z. B. Ihre EventBridge Ereignisse oder Filter. Eine Liste der verfügbaren Werte für die Suche nach Typen finden Sie in der [GuardDuty Typen finden](guardduty_finding-types-active.md) Tabelle.

## Generieren von Beispielergebnissen über die GuardDuty Konsole oder API
<a name="sample_console"></a>

Wählen Sie Ihre bevorzugte Zugriffsmethode, um Beispiel-Erkenntnisse zu generieren.

**Anmerkung**  
Die GuardDuty Konsole hilft Ihnen dabei, für jeden Befundtyp einen zu generieren. Um einen oder mehrere spezifische Befundtypen zu generieren, führen Sie die entsprechenden API/CLI Schritte aus.

------
#### [ Console ]

Gehen Sie wie folgt vor, um Beispielergebnisse zu erzeugen. Bei diesem Vorgang wird für jeden Befundtyp ein GuardDuty Stichprobenbefund generiert.

****

1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).

1. Klicken Sie auf der Seite **Settings** unter **Sample findings** auf **Generate sample findings**.

1. Wählen Sie im Navigationsbereich **Findings** aus. Die Beispiel-Erkenntnisse werden auf der Seite **Aktuelle Erkenntnisse** mit dem Präfix **[SAMPLE]** angezeigt.

------
#### [ API/CLI ]

Sie können über die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateSampleFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateSampleFindings.html)API ein einzelnes Stichprobenergebnis generieren, GuardDuty das einem beliebigen Befundtyp entspricht. Die verfügbaren Werte für Suchtypen sind in der [GuardDuty Typen finden](guardduty_finding-types-active.md) Tabelle aufgeführt. 

Dies ist nützlich für das Testen von CloudWatch Eventregeln oder für die Automatisierung auf der Grundlage von Ergebnissen. Das folgende Beispiel zeigt, wie Sie ein einzelnes Beispiel-Erkenntnis des `Backdoor:EC2/DenialOfService.Tcp`-Typs mithilfe der AWS CLI generieren können.

Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.

```
aws guardduty create-sample-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-types Backdoor:EC2/DenialOfService.Tcp
```

------

Der Titel der mit diesen Methoden generierten Beispiel-Erkenntnisse beginnt in der Konsole immer mit **[SAMPLE]**. Beispiel-Erkenntnisse haben im Abschnitt **additionalInfo** der JSON-Erkenntnis-Details den Wert von `"sample": true`.

Weitere Informationen zu den Ergebnissen, wie z. B. dem Schweregrad und der potenziell gefährdeten Ressource, im Zusammenhang mit den generierten Ergebnissen finden Sie unter [Schweregrad der Ergebnisse GuardDuty](guardduty_findings-severity.md) und[Erkenntnisdetails](guardduty_findings-summary.md).

Informationen zur Generierung einiger allgemeiner Ergebnisse auf der Grundlage einer simulierten Aktivität in einer speziellen und isolierten AWS-Konto Umgebung finden Sie unter. [GuardDuty Testergebnisse in speziellen Konten](guardduty_findings-scripts.md)

# GuardDuty Testergebnisse in speziellen Konten
<a name="guardduty_findings-scripts"></a>

Verwenden Sie dieses Dokument, um ein Tester-Skript auszuführen, das GuardDuty Ergebnisse anhand von Testressourcen generiert, die in Ihrem bereitgestellt werden AWS-Konto. Sie können diese Schritte ausführen, wenn Sie mehr über bestimmte GuardDuty Ergebnisarten und darüber erfahren möchten, wie die Ergebnisdetails für die tatsächlichen Ressourcen in Ihrem Konto aussehen. Diese Erfahrung unterscheidet sich von der Generierung[Beispielerkenntnisse](sample_findings.md). Weitere Informationen zu den Erfahrungen beim Testen von GuardDuty Ergebnissen finden Sie unter[Überlegungen](#considerations-generate-gdu-findings-tester).

**Topics**
+ [Überlegungen](#considerations-generate-gdu-findings-tester)
+ [GuardDuty Ergebnisse, die das Tester-Skript generieren kann](#gdu-findings-tester-generates)
+ [Schritt 1 — Voraussetzungen](#prerequisites-gdu-tester-script)
+ [Schritt 2 — Ressourcen bereitstellen AWS](#deploy-gdu-tester-script)
+ [Schritt 3 — Führen Sie Tester-Skripte aus](#run-gdu-tester-script)
+ [Schritt 4 — Bereinigen Sie die Testressourcen AWS](#clean-gdu-tester-script-resources)
+ [Behebung häufiger Probleme](#troubleshooting-gdu-tester-script-issues)

## Überlegungen
<a name="considerations-generate-gdu-findings-tester"></a>

Bevor Sie fortfahren, sollten Sie die folgenden Überlegungen berücksichtigen:
+ GuardDuty empfiehlt, den Tester an einem speziellen Ort außerhalb der AWS-Konto Produktionsumgebung einzusetzen. Dieser Ansatz stellt sicher, dass Sie die vom Tester generierten GuardDuty Ergebnisse korrekt identifizieren können. Darüber hinaus stellt der GuardDuty Tester eine Vielzahl von Ressourcen bereit, für die möglicherweise IAM-Berechtigungen erforderlich sind, die über die Rechte anderer Konten hinausgehen. Durch die Verwendung eines dedizierten Kontos wird sichergestellt, dass der Umfang der Berechtigungen ordnungsgemäß und mit einer klaren Kontogrenze festgelegt werden kann. 
+ Das Tester-Skript generiert über 100 GuardDuty Ergebnisse mit unterschiedlichen AWS Ressourcenkombinationen. Derzeit beinhaltet dies nicht alle. [GuardDuty Typen finden](guardduty_finding-types-active.md) Eine Liste der Suchtypen, die Sie mit diesem Tester-Skript generieren können, finden Sie unter. [GuardDuty Ergebnisse, die das Tester-Skript generieren kann](#gdu-findings-tester-generates)
**Hinweis**  
Um die *Suchtypen der Angriffssequenz zu* visualisieren, generiert das Tester-Skript nur [AttackSequence:EKS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-eks-compromised-cluster) und[AttackSequence:S3/CompromisedData](guardduty-attack-sequence-finding-types.md#attack-sequence-s3-compromised-data). Zur Visualisierung und zum [AttackSequence:IAM/CompromisedCredentials](guardduty-attack-sequence-finding-types.md#attack-sequence-iam-compromised-credentials) besseren Verständnis können Sie [Beispielerkenntnisse](sample_findings.md) in Ihrem Konto generieren.
+ Damit der GuardDuty Tester wie erwartet funktioniert, GuardDuty muss er in dem Konto aktiviert sein, in dem die Tester-Ressourcen bereitgestellt werden. Abhängig von den Tests, die ausgeführt werden, bewertet der Tester, ob die entsprechenden GuardDuty Schutzpläne aktiviert sind oder nicht. Für jeden Schutzplan, der nicht aktiviert ist, bittet GuardDuty er um Erlaubnis, die erforderlichen Schutzpläne so lange zu aktivieren, GuardDuty bis die Tests durchgeführt werden können, die zu Ergebnissen führen. GuardDuty Wird den Schutzplan später deaktivieren, sobald die Tests abgeschlossen sind.   
** GuardDuty Zum ersten Mal aktivieren**  
Wenn GuardDuty es in Ihrem speziellen Konto zum ersten Mal in einer bestimmten Region aktiviert wird, wird Ihr Konto automatisch für eine kostenlose 30-Tage-Testversion registriert.  
GuardDuty bietet optionale Schutzpläne. Zum Zeitpunkt der Aktivierung GuardDuty werden auch bestimmte Schutzpläne aktiviert und sind in der kostenlosen GuardDuty 30-Tage-Testversion enthalten. Weitere Informationen finden Sie unter [Nutzen Sie die kostenlose GuardDuty 30-Tage-Testversion](guardduty-pricing.md#using-guardduty-30-day-free-trial).  
**GuardDuty ist in Ihrem Konto bereits aktiviert, bevor Sie das Tester-Skript ausführen**  
Wenn GuardDuty es bereits aktiviert ist, überprüft das Tester-Skript anhand der Parameter den Konfigurationsstatus bestimmter Schutzpläne und anderer Einstellungen auf Kontoebene, die zur Generierung der Ergebnisse erforderlich sind.  
Durch die Ausführung dieses Testerskripts können bestimmte Schutzpläne in Ihrem speziellen Konto in einer Region zum ersten Mal aktiviert werden. Dadurch wird die kostenlose 30-Tage-Testversion für diesen Schutzplan gestartet. Informationen zu den kostenlosen Testversionen der einzelnen Schutzpläne finden Sie unter[Nutzen Sie die kostenlose GuardDuty 30-Tage-Testversion](guardduty-pricing.md#using-guardduty-30-day-free-trial).
+ Solange die GuardDuty Tester-Infrastruktur bereitgestellt ist, können Sie gelegentlich [UnauthorizedAccess:EC2/TorClient](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torclient) Ergebnisse aus der PenTest Instanz erhalten.

## GuardDuty Ergebnisse, die das Tester-Skript generieren kann
<a name="gdu-findings-tester-generates"></a>

Derzeit generiert das Tester-Skript die folgenden Findungstypen, die sich auf Amazon EC2-, Amazon EKS-, Amazon S3-, IAM- und EKS-Audit-Logs beziehen:
+ [AttackSequence:EKS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-eks-compromised-cluster)
+ [AttackSequence:S3/CompromisedData](guardduty-attack-sequence-finding-types.md#attack-sequence-s3-compromised-data)
+ [Backdoor:EC2/C&CActivity.B\$1DNS](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivitybdns)
+ [Backdoor:EC2/DenialOfService.Dns](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicedns)
+ [Backdoor:EC2/DenialOfService.Udp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudp)
+ [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolbdns)
+ [Impact:EC2/AbusedDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-abuseddomainrequestreputation)
+ [Impact:EC2/BitcoinDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-bitcoindomainrequestreputation)
+ [Impact:EC2/MaliciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-maliciousdomainrequestreputation)
+ [Impact:EC2/SuspiciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-suspiciousdomainrequestreputation)
+ [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan)
+ [Trojan:EC2/BlackholeTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-blackholetrafficdns)
+ [Trojan:EC2/DGADomainRequest.C\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestcdns)
+ [Trojan:EC2/DNSDataExfiltration](guardduty_finding-types-ec2.md#trojan-ec2-dnsdataexfiltration)
+ [Trojan:EC2/DriveBySourceTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-drivebysourcetrafficdns)
+ [Trojan:EC2/DropPoint\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-droppointdns)
+ [Trojan:EC2/PhishingDomainRequest\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-phishingdomainrequestdns)
+ [UnauthorizedAccess:EC2/MaliciousIPCaller.Custom](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-maliciousipcallercustom)
+ [UnauthorizedAccess:EC2/RDPBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-rdpbruteforce) 
+ [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce) 
+ [PenTest:IAMUser/KaliLinux](guardduty_finding-types-iam.md#pentest-iam-kalilinux) 
+ [Recon:IAMUser/MaliciousIPCaller.Custom](guardduty_finding-types-iam.md#recon-iam-maliciousipcallercustom) 
+ [Recon:IAMUser/TorIPCaller](guardduty_finding-types-iam.md#recon-iam-toripcaller) 
+ [Stealth:IAMUser/CloudTrailLoggingDisabled](guardduty_finding-types-iam.md#stealth-iam-cloudtrailloggingdisabled) 
+ [Stealth:IAMUser/PasswordPolicyChange](guardduty_finding-types-iam.md#stealth-iam-passwordpolicychange) 
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws) 
+ [UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom](guardduty_finding-types-iam.md#unauthorizedaccess-iam-maliciousipcallercustom) 
+ [UnauthorizedAccess:IAMUser/TorIPCaller](guardduty_finding-types-iam.md#unauthorizedaccess-iam-toripcaller) 
+ [Discovery:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-maliciousipcallercustom) 
+ [Discovery:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-successfulanonymousaccess) 
+ [Discovery:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-toripcaller)
+ [Execution:Kubernetes/ExecInKubeSystemPod](guardduty-finding-types-eks-audit-logs.md#execution-kubernetes-execinkubesystempod)
+ [Impact:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-maliciousipcallercustom)
+ [Persistence:Kubernetes/ContainerWithSensitiveMount](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-containerwithsensitivemount)
+ [Policy:Kubernetes/AdminAccessToDefaultServiceAccount](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-adminaccesstodefaultserviceaccount) 
+ [Policy:Kubernetes/AnonymousAccessGranted](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-anonymousaccessgranted) 
+ [PrivilegeEscalation:Kubernetes/PrivilegedContainer](guardduty-finding-types-eks-audit-logs.md#privilegeescalation-kubernetes-privilegedcontainer) 
+ [UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom](lambda-protection-finding-types.md#unauthorized-access-lambda-maliciousIPcaller-custom) 
+ [Discovery:S3/MaliciousIPCaller.Custom](guardduty_finding-types-s3.md#discovery-s3-maliciousipcallercustom)
+ [Discovery:S3/TorIPCaller](guardduty_finding-types-s3.md#discovery-s3-toripcaller)
+ [PenTest:S3/KaliLinux](guardduty_finding-types-s3.md#pentest-s3-kalilinux)
+ [Policy:S3/AccountBlockPublicAccessDisabled](guardduty_finding-types-s3.md#policy-s3-accountblockpublicaccessdisabled)
+ [Policy:S3/BucketAnonymousAccessGranted](guardduty_finding-types-s3.md#policy-s3-bucketanonymousaccessgranted)
+ [Policy:S3/BucketBlockPublicAccessDisabled](guardduty_finding-types-s3.md#policy-s3-bucketblockpublicaccessdisabled)
+ [Policy:S3/BucketPublicAccessGranted](guardduty_finding-types-s3.md#policy-s3-bucketpublicaccessgranted)
+ [Stealth:S3/ServerAccessLoggingDisabled](guardduty_finding-types-s3.md#stealth-s3-serveraccessloggingdisabled)
+ [UnauthorizedAccess:S3/MaliciousIPCaller.Custom](guardduty_finding-types-s3.md#unauthorizedaccess-s3-maliciousipcallercustom)
+ [UnauthorizedAccess:S3/TorIPCaller](guardduty_finding-types-s3.md#unauthorizedaccess-s3-toripcaller)
+ [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns)
+ [DefenseEvasion:Runtime/ProcessInjection.Ptrace](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionptrace)
+ [DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionvirtualmemw)
+ [Execution:Runtime/ReverseShell](findings-runtime-monitoring.md#execution-runtime-reverseshell)
+ [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation)
+ [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation)
+ [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation)
+ [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation)
+ [PrivilegeEscalation:Runtime/ContainerMountsHostDirectory](findings-runtime-monitoring.md#privilegeescalation-runtime-containermountshostdirectory)
+ [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed)
+ [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns)
+ [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns)
+ [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns)
+ [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns)
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns)

## Schritt 1 — Voraussetzungen
<a name="prerequisites-gdu-tester-script"></a>

Um Ihre Testumgebung vorzubereiten, benötigen Sie die folgenden Elemente:
+ **Git** — Installieren Sie das Git-Befehlszeilentool basierend auf dem von Ihnen verwendeten Betriebssystem. 

  Dies ist erforderlich, um das [`amazon-guardduty-tester`Repository](https://github.com/awslabs/amazon-guardduty-tester) zu klonen.
+ **AWS Command Line Interface**— Ein Open-Source-Tool, mit dem Sie mithilfe AWS-Services von Befehlen in Ihrer Befehlszeilen-Shell interagieren können. Weitere Informationen finden Sie unter [Erste Schritte mit AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) im *AWS Command Line Interface Benutzerhandbuch*.
+ **AWS Systems Manager**— Um Session Manager-Sitzungen mit Ihren verwalteten Knoten zu initiieren, müssen AWS CLI Sie das Session Manager-Plug-In auf Ihrem lokalen Computer installieren. Weitere Informationen finden [Sie unter Installieren des Session Manager-Plug-ins für AWS CLI](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with-install-plugin.html) im *AWS Systems Manager Benutzerhandbuch*.
+ **Node Package Manager (NPM)** — Installieren Sie NPM, um alle Abhängigkeiten zu installieren.
+ **Docker** — Sie müssen Docker installiert haben. Installationsanweisungen finden Sie auf der [Docker-Website](https://docs.docker.com/get-docker/).

  Um zu überprüfen, ob Docker installiert wurde, führen Sie den folgenden Befehl aus und vergewissern Sie sich, dass eine Ausgabe vorliegt, die der folgenden Ausgabe ähnelt:

  ```
  $ docker --version
  Docker version 19.03.1
  ```
+ Abonnieren Sie das [Kali Linux-Image](https://aws.amazon.com/marketplace/pp/prodview-fznsw3f7mq7to) im. *AWS Marketplace*

## Schritt 2 — Ressourcen bereitstellen AWS
<a name="deploy-gdu-tester-script"></a>

Dieser Abschnitt enthält eine Liste der wichtigsten Konzepte und der Schritte zur Bereitstellung bestimmter AWS Ressourcen in Ihrem speziellen Konto.

### Konzepte
<a name="concepts-deploy-resource-test-guardduty-findings"></a>

Die folgende Liste enthält wichtige Konzepte zu den Befehlen, mit denen Sie die Ressourcen bereitstellen können:
+ **AWS Cloud Development Kit (AWS CDK)**— CDK ist ein Open-Source-Framework für die Softwareentwicklung, mit dem Cloud-Infrastruktur im Code definiert und bereitgestellt werden kann. CloudFormation CDK unterstützt eine Reihe von Programmiersprachen, um wiederverwendbare Cloud-Komponenten, sogenannte Konstrukte, zu definieren. Sie können diese zu Stacks und Apps zusammenstellen. Anschließend können Sie Ihre CDK-Anwendungen bereitstellen, CloudFormation um Ihre Ressourcen bereitzustellen oder zu aktualisieren. Weitere Informationen finden Sie unter [Was ist der AWS CDK](https://docs.aws.amazon.com/cdk/v2/guide/home.html)? im *AWS Cloud Development Kit (AWS CDK) Entwicklerhandbuch*.
+ **Bootstrapping** — Dies ist der Prozess, bei dem Ihre AWS Umgebung für die Verwendung mit vorbereitet wird. AWS CDK Bevor Sie einen CDK-Stack in einer AWS Umgebung bereitstellen, muss die Umgebung zunächst gebootet werden. Dieser Prozess der Bereitstellung bestimmter AWS Ressourcen in Ihrer Umgebung, die von verwendet werden, AWS CDK ist Teil der Schritte, die Sie im nächsten Abschnitt ausführen werden -. [Schritte zum Bereitstellen von Ressourcen AWS](#steps-deploy-resource-test-guardduty-findings)

  *Weitere Informationen zur Funktionsweise von Bootstrapping finden Sie unter [Bootstrapping](https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html) im Entwicklerhandbuch.AWS Cloud Development Kit (AWS CDK) *

### Schritte zum Bereitstellen von Ressourcen AWS
<a name="steps-deploy-resource-test-guardduty-findings"></a>

Führen Sie die folgenden Schritte aus, um mit der Bereitstellung der Ressourcen zu beginnen:

1. Richten Sie Ihr AWS CLI Standardkonto und Ihre Region ein, sofern die Regionsvariablen für das Konto nicht manuell in der `bin/cdk-gd-tester.ts` Datei festgelegt wurden. Weitere Informationen finden Sie im *AWS Cloud Development Kit (AWS CDK) Entwicklerhandbuch* unter [Umgebungen](https://docs.aws.amazon.com/cdk/v2/guide/environments.html).

1. Führen Sie die folgenden Befehle aus, um die Ressourcen bereitzustellen:

   ```
   git clone https://github.com/awslabs/amazon-guardduty-tester && cd amazon-guardduty-tester
   npm install
   cdk bootstrap
   cdk deploy
   ```

   Der letzte Befehl (`cdk deploy`) erstellt in Ihrem Namen einen CloudFormation Stack. Der Name dieses Stacks ist **GuardDutyTesterStack**.

    GuardDuty Erstellt im Rahmen dieses Skripts neue Ressourcen, um GuardDuty Ergebnisse in Ihrem Konto zu generieren. Außerdem wird den Amazon EC2 EC2-Instances das folgende Tag-Schlüssel:Wert-Paar hinzugefügt:

   `CreatedBy`:`GuardDuty Test Script`

   Zu den Amazon EC2 EC2-Instances gehören auch die EC2-Instances, die EKS-Knoten und ECS-Cluster hosten.
**Instance-Typen**  
GuardDuty wurde für die Verwendung kostengünstiger Instance-Typen entwickelt, die die Mindestleistung bieten, die für die erfolgreiche Durchführung von Tests erforderlich ist. Aufgrund der vCPU-Anforderungen, die die Amazon EKS-Knotengruppe benötigt`t3.medium`, und aufgrund der erhöhten Netzwerkkapazität, die für die DenialOfService Suche nach Tests erforderlich ist, benötigt `m6i.large` der Treiberknoten. GuardDuty Verwendet für alle anderen Tests den `t3.micro` Instance-Typ. Weitere Informationen zu Instance-Typen finden Sie unter [Verfügbare Größen](https://docs.aws.amazon.com/ec2/latest/instancetypes/gp.html#gp_sizes) im *Amazon EC2 Instances Types Guide*.

## Schritt 3 — Führen Sie Tester-Skripte aus
<a name="run-gdu-tester-script"></a>

Dies ist ein zweistufiger Prozess, bei dem Sie zuerst eine Sitzung mit dem Testtreiber starten und dann Skripts ausführen müssen, um GuardDuty Ergebnisse mit bestimmten Ressourcenkombinationen zu generieren.

### Teil A — Starten Sie die Sitzung mit dem Testfahrer
<a name="tester-script-start-session-guardduty"></a>

1. Nachdem Ihre Ressourcen bereitgestellt wurden, speichern Sie den Regionalcode in einer Variablen in Ihrer aktuellen Terminalsitzung. Verwenden Sie den folgenden Befehl und *us-east-1* ersetzen Sie ihn durch den Regionalcode, für den Sie die Ressourcen bereitgestellt haben:

   ```
   $ REGION=us-east-1
   ```

1. Das Tester-Skript ist nur über AWS Systems Manager (SSM) verfügbar. Um eine interaktive Shell auf der Tester-Host-Instanz zu starten, fragen Sie den Host **InstanceId**ab.

1. Verwenden Sie den folgenden Befehl, um Ihre Sitzung für das Tester-Skript zu beginnen:

   ```
   aws ssm start-session 
     --region $REGION 
     --document-name AWS-StartInteractiveCommand 
     --parameters command="cd /home/ssm-user/py_tester && bash -l" 
     --target $(aws ec2 describe-instances 
       --region $REGION 
       --filters "Name=tag:Name,Values=Driver-GuardDutyTester" 
       --query "Reservations[].Instances[?State.Name=='running'].InstanceId" 
       --output text)
   ```

### Teil B — Ergebnisse generieren
<a name="tester-script-generate-findings-guardduty"></a>

Das Tester-Skript ist ein Python-basiertes Programm, das dynamisch ein Bash-Skript erstellt, um Ergebnisse auf der Grundlage Ihrer Eingabe zu generieren. Sie haben die Flexibilität, Ergebnisse auf der Grundlage eines oder mehrerer AWS Ressourcentypen, GuardDuty Schutzpläne, [Bedrohungszwecke](guardduty_finding-format.md#guardduty_threat_purposes) (Taktiken) oder zu generieren. [Grundlegende Datenquellen](guardduty_data-sources.md) [GuardDuty Ergebnisse, die das Tester-Skript generieren kann](#gdu-findings-tester-generates)

Verwenden Sie die folgenden Befehlsbeispiele als Referenz und führen Sie einen oder mehrere Befehle aus, um Ergebnisse zu generieren, die Sie untersuchen möchten:

```
python3 guardduty_tester.py 
python3 guardduty_tester.py --all 
python3 guardduty_tester.py --s3 
python3 guardduty_tester.py --tactics discovery 
python3 guardduty_tester.py --ec2 --eks --tactics backdoor policy execution 
python3 guardduty_tester.py --eks --runtime only 
python3 guardduty_tester.py --ec2 --runtime only --tactics impact 
python3 guardduty_tester.py --log-source dns vpc-flowlogs 
python3 guardduty_tester.py --finding 'CryptoCurrency:EC2/BitcoinTool.B!DNS'
```

Weitere Informationen zu gültigen Parametern erhalten Sie, wenn Sie den folgenden Hilfebefehl ausführen:

```
python3 guardduty_tester.py --help
```

### Teil C — Überprüfung der generierten Ergebnisse
<a name="tester-script-review-findings-guardduty"></a>

Wählen Sie eine bevorzugte Methode, um die generierten Ergebnisse in Ihrem Konto anzuzeigen.

------
#### [ GuardDuty console ]

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Wählen Sie im Navigationsbereich **Findings** aus.

1. Wählen Sie in der Tabelle mit den Ergebnissen ein Ergebnis aus, für das Sie die Details anzeigen möchten. Dadurch wird der Bereich mit den Ergebnisdetails geöffnet. Weitere Informationen finden Sie unter [GuardDuty Amazon-Ergebnisse verstehen und generieren](guardduty_findings.md).

1. Wenn Sie diese Ergebnisse filtern möchten, verwenden Sie den Ressourcen-Tag key and value. Um beispielsweise die für die Amazon EC2 EC2-Instances generierten Ergebnisse zu filtern, verwenden Sie`CreatedBy`: `GuardDuty Test Script` tag key:value pair für **Instance-Tag-Schlüssel und **Instance-Tag-Schlüssel****. 

------
#### [ API ]
+ Führen Sie [ListFindings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html)den Befehl aus, um die Ergebnisse für eine bestimmte Melder-ID anzuzeigen. Sie können bestimmte Parameter angeben, um die Ergebnisse zu filtern.

  Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.

------
#### [ AWS CLI ]
+ Führen Sie den folgenden AWS CLI Befehl aus, um die generierten Ergebnisse anzuzeigen *us-east-1* und *12abc34d567e8fa901bc2d34EXAMPLE* sie durch geeignete Werte zu ersetzen:

  ```
  aws guardduty list-findings --region us-east-1 --detector-id 12abc34d567e8fa901bc2d34EXAMPLE
  ```

  Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.

  Weitere Informationen zu den Parametern, mit denen Sie Ergebnisse filtern können, finden Sie in der *AWS CLI Befehlsreferenz* unter [list-findings](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/list-findings.html).

------

## Schritt 4 — Bereinigen Sie die Testressourcen AWS
<a name="clean-gdu-tester-script-resources"></a>

Die Einstellungen auf Kontoebene und andere Aktualisierungen des Konfigurationsstatus, die während der [Schritt 3 — Führen Sie Tester-Skripte aus](#run-gdu-tester-script) Rückkehr zum ursprünglichen Zustand vorgenommen wurden, wenn das Tester-Skript abgeschlossen ist.

Nachdem Sie das Tester-Skript ausgeführt haben, können Sie wählen, ob Sie die AWS Testressourcen bereinigen möchten. Sie können sich dafür entscheiden, eine der folgenden Methoden zu verwenden:
+ Führen Sie den folgenden Befehl aus:

  ```
  cdk destroy
  ```
+ Löschen Sie den CloudFormation Stapel mit dem Namen **GuardDutyTesterStack**. Informationen zu den einzelnen Schritten finden Sie unter [Löschen eines Stacks auf der CloudFormation Konsole](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html).

## Behebung häufiger Probleme
<a name="troubleshooting-gdu-tester-script-issues"></a>

GuardDuty hat häufig auftretende Probleme identifiziert und empfiehlt Schritte zur Fehlerbehebung:
+ `Cloud assembly schema version mismatch`— Aktualisieren Sie AWS CDK CLI auf eine Version, die mit der erforderlichen Cloud-Assembly-Version kompatibel ist, oder auf die neueste verfügbare Version. Weitere Informationen finden Sie unter [AWS CDK CLI-Kompatibilität](https://docs.aws.amazon.com/cdk/v2/guide/versioning.html#cdk_toolkit_versioning).
+ `Docker permission denied`— Fügen Sie den Benutzer des dedizierten Kontos zu den **Docker** - oder **Docker-Benutzern** hinzu, damit das dedizierte Konto die Befehle ausführen kann. Weitere Informationen zu den einzelnen Schritten finden Sie unter [Daemon-Socket-Option](https://docs.docker.com/reference/cli/dockerd/#daemon-socket-option).
+ `Your requested instance type is not supported in your requested Availability Zone`— Einige Availability Zones unterstützen bestimmte Instanztypen nicht. Gehen Sie wie folgt vor, um herauszufinden, welche Availability Zones Ihren bevorzugten Instance-Typ unterstützen, und versuchen Sie erneut, AWS Ressourcen bereitzustellen:

  1. Wählen Sie eine bevorzugte Methode, um zu ermitteln, welche Availability Zones Ihren Instance-Typ unterstützen:

------
#### [ Console ]

**Um Availability Zones zu identifizieren, die den bevorzugten Instance-Typ unterstützen**

     1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

     1. Wählen Sie mithilfe der AWS Regionsauswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie die Instance starten möchten.

     1. **Wählen Sie im Navigationsbereich unter **Instances** die Option Instance-Typen aus.**

     1. Wählen Sie aus der Tabelle mit den **Instanztypen** einen bevorzugten Instance-Typ aus.

     1. Sehen Sie sich unter **Netzwerk** die Regionen an, die unter **Availability Zones** aufgeführt sind.

        Auf der Grundlage dieser Informationen müssen Sie möglicherweise eine neue Region auswählen, in der Sie die Ressourcen bereitstellen können.

------
#### [ AWS CLI ]

     Führen Sie den folgenden Befehl aus, um eine Liste der Availability Zones anzuzeigen. Stellen Sie sicher, dass Sie Ihren bevorzugten Instance-Typ und die Region (*us-east-1*) angeben.

     ```
     aws ec2 describe-instance-type-offerings --location-type availability-zone  --filters Name=instance-type,Values=Preferred instance type --region us-east-1 --output table
     ```

     Weitere Informationen zu diesem Befehl finden Sie [describe-instance-type-offerings](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-instance-type-offerings.html)in der *AWS CLI Befehlsreferenz*.

     Wenn Sie bei der Ausführung dieses Befehls eine Fehlermeldung erhalten, stellen Sie sicher, dass Sie die neueste Version von verwenden AWS CLI. Weitere Informationen finden Sie unter [Fehlerbehebung](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-troubleshooting.html) im *AWS Command Line Interface -Benutzerhandbuch*.

------

  1. Versuchen Sie erneut, die AWS Ressourcen bereitzustellen, und geben Sie eine Availability Zone an, die Ihren bevorzugten Instance-Typ unterstützt.

**Um erneut zu versuchen, Ressourcen bereitzustellen AWS**

     1. Richten Sie die Standardregion in der `bin/cdk-gd-tester.ts` Datei ein.

     1. Um die Availability Zone anzugeben, öffnen Sie die `amazon-guardduty-tester/lib/common/network/vpc.ts` Datei.

     1. Ersetzen Sie diese Datei durch die Stelle`maxAzs: 2,`, `availabilityZones: ['us-east-1a', 'us-east-1c'],` an der Sie die Availability Zones für Ihren Instance-Typ angeben müssen.

     1. Fahren Sie mit den verbleibenden Schritten unter fort[Schritte zum Bereitstellen von Ressourcen AWS](#steps-deploy-resource-test-guardduty-findings).

# Generierte Ergebnisse in der GuardDuty Konsole anzeigen
<a name="guardduty_working-with-findings"></a>

Wenn eine Aktivität GuardDuty erkannt wird, die dem Muster eines Sicherheitsproblems entspricht, GuardDuty wird ein Ergebnis generiert. Dieses Ergebnis steht im Zusammenhang mit einem Ressourcentyp, der während dieser Aktivität möglicherweise kompromittiert wurde. Sie können die Details zu jedem GuardDuty generierten Ergebnis einsehen.

Wenn Sie ein GuardDuty Administratorkonto verwenden, können Sie die generierten Ergebnisse für die Mitgliedskonten einsehen. Ein Mitgliedskonto kann die generierten Ergebnisse jedoch in seinem eigenen Konto einsehen. Ein Mitgliedskonto kann die Ergebnisse, die für andere Mitgliedskonten generiert wurden, nicht einsehen. 

**Schritte zum Anzeigen der Ergebnisse in der GuardDuty Konsole**

1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Wählen Sie im linken Navigationsbereich **Findings** aus. 

   GuardDuty zeigt die Ergebnisse in einem tabellarischen Format an. Standardmäßig ist diese Tabelle auf der Grundlage des Spaltenwerts **Zuletzt gesehen** in absteigender Reihenfolge sortiert, wobei die neuesten Ergebnisse ganz oben angezeigt werden.

   Ergebnisse mit einem Schwertsymbol (![\[Sword icon that represents attack sequence finding in GuardDuty console.\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/images/attack-sequences-icon.PNG)) stehen für einen Befund in der Angriffssequenz.

1. Um Details zu einem Ergebnis anzuzeigen, wählen Sie dessen **Titel** aus. Dadurch wird der Seitenbereich mit den Befunddetails geöffnet. Bei der Suche nach einer Angriffssequenz enthält dieser Seitenbereich eine *zusammengefasste Version* der Angriffssequenz. Um diese Ansicht zu erweitern, wählen Sie „**Details anzeigen**“.

   Informationen zu den in diesem Seitenbereich aufgelisteten Feldern finden Sie unter[Erkenntnisdetails](guardduty_findings-summary.md).

1. 

**(Optional), um Finding JSON herunterzuladen**

   1. Wählen Sie den Befund und anschließend das Menü **Aktionen** aus. 

   1. Wählen Sie im Menü **Aktionen** die Option **JSON anzeigen und exportieren** aus.

   1. Wählen Sie im Fenster **Findings JSON** die Option **Herunterladen** aus.
**Anmerkung**  
In einigen Fällen GuardDuty wird ihm bewusst, dass es sich bei bestimmten Ergebnissen um falsch positive Ergebnisse handelt, nachdem sie generiert wurden. GuardDuty stellt ein **Konfidenzfeld** in der JSON-Datei des Ergebnisses bereit und setzt dessen Wert auf Null. Auf diese Weise GuardDuty wissen Sie, dass Sie solche Ergebnisse getrost ignorieren können.   
Ergebnisse ohne das Feld **Konfidenz** gelten nicht als falsch positiv.

## Auf der Seite „Ergebnisse“ navigieren
<a name="guardduty-navigating-findings-page"></a>

Dieser Abschnitt enthält wichtige Informationen zu verschiedenen Elementen auf der **Ergebnisseite**. Auf diese Weise können Sie die generierten Ergebnisse für die Bedrohungsanalyse und -abwehr analysieren.

In der folgenden Liste werden die Elemente der **Ergebnisseite** erläutert, anhand derer Sie die generierten Ergebnisse besser verstehen können: 
+ **Art der Bedrohung**:

  Die Bedrohungsart umfasst individuelle GuardDuty Ergebnisse und Ergebnisse der Angriffssequenz. Standardmäßig werden auf der Seite **Alle Ergebnisse** angezeigt.

  Um die Tabellenansicht der Ergebnisse zu filtern, wählen Sie im Menü **Bedrohungstyp** eine der Optionen — **Nur Ergebnisse der Angriffssequenz** oder **Nur einzelne Ergebnisse**.
+ **Spalten „Ressourcen“ und „Anzahl“**: 

  In der Spalte „**Ressource**“ in der Tabelle mit den Ergebnissen wird der Name der potenziell gefährdeten AWS Ressource angezeigt. Bei einer Entdeckung der Angriffssequenz wird in dieser Spalte die Anzahl der potenziell gefährdeten Ressourcen AWS angezeigt. Um die Ressourcennamen anzuzeigen, wählen Sie die *Zahl* in der Spalte **Ressource** aus.

  Die Spalte **Anzahl** gibt an, wie oft ein bestimmtes Ergebnis GuardDuty beobachtet wurde. Wenn GuardDuty erkannt wird, dass eine Aktivität mit einem zuvor identifizierten Sicherheitsproblem übereinstimmt, wird die Anzahl für dieses spezifische Ergebnis erhöht. Bei einem Ergebnis der Angriffssequenz gibt dieser Spaltenwert die Gesamtzahl der Signale und Ergebnisse an, die an der Generierung des Ergebnisses beteiligt waren.
+ **Sortierung der Ergebnisse nach Tabellenspalten**:

  Wenn sich neben einer Spaltenüberschrift ein *Pfeil* befindet, können Sie die Ergebnistabelle anhand der Spalte sortieren. Wählen Sie die Spaltenüberschrift aus, um die Ergebnisse in aufsteigender oder absteigender Reihenfolge des Werts in dieser Spalte zu sortieren. 
+ **Ergebnisse filtern**:

  Basierend auf bestimmten Eigenschaftsattributen wie `Account ID` und `Resource type` können Sie die Ergebnistabelle weiter filtern. Informationen zu den Filtertypen, die Sie verwenden können, finden Sie unter[ GuardDuty Ergebnisse filtern](guardduty_filter-findings.md).
+ **Status und gespeicherte Regeln**:

  Das Menü **Status** enthält zwei Werte: **Aktuell** und **Archiviert**. Die Standardansicht ist **Aktuelle** Ergebnisse in der Tabelle. 

  Wenn Sie kein Ergebnis mehr generieren GuardDuty möchten, das bestimmten Kriterien entspricht, können Sie dieses Ergebnis unterdrücken. GuardDuty archiviert diesen Befund. Wenn dieser Befund erneut GuardDuty erkannt wird, werden Sie nicht über diese Beobachtung informiert. Um speziell archivierte Ergebnisse anzuzeigen, wählen Sie im Menü **Status** die Option **Archiviert** aus.

  **Gespeicherte Regeln** sind eine Funktion, mit der Sie Ergebnisse, die bestimmten Kriterien entsprechen, automatisch filtern und Maßnahmen ergreifen können. Zu den Maßnahmen können die Archivierung von Ergebnissen oder deren Ausschluss aus future Benachrichtigungen gehören.

  Weitere Informationen finden Sie unter [Unterdrückungsregeln](findings_suppression-rule.md).

# Schweregrad der Ergebnisse GuardDuty
<a name="guardduty_findings-severity"></a>

Jedem GuardDuty Ergebnis ist ein Schweregrad und ein Wert zugewiesen, der das potenzielle Risiko widerspiegelt, das das Ergebnis für Ihre Umgebung darstellen könnte. Dies wurde von unseren Sicherheitstechnikern festgelegt. Der Schweregrad kann zwischen 1,0 und 10,0 liegen, wobei höhere Werte auf ein höheres Sicherheitsrisiko hinweisen. Um Ihnen bei der Suche nach einer Reaktion auf ein potenzielles Sicherheitsproblem zu helfen, das durch ein Ergebnis hervorgehoben wird GuardDuty , wird dieser Bereich in die Schweregrade *Kritisch*, *Hoch*, *Mittel* und *Niedrig* unterteilt.

Ein Ergebnis eines bestimmten Typs kann je nach dem für das Ergebnis spezifischen Kontext einen anderen Schweregrad haben. Eine konsolidierte Liste der Standardschweregrade für alle Ergebnisarten GuardDuty finden Sie unter[GuardDuty Typen von aktiven Ergebnissen](guardduty_finding-types-active.md#findings-table). 

In den folgenden Abschnitten werden die definierten Schweregrade für die GuardDuty Ergebnisse erläutert.

**Topics**
+ [Kritischer Schweregrad](#guardduty-finding-severity-level-critical)
+ [Hoher Schweregrad](#guardduty-finding-severity-level-high)
+ [Mittlerer Schweregrad](#guardduty-finding-severity-level-medium)
+ [Niedriger Schweregrad](#guardduty-finding-severity-level-low)

## Kritischer Schweregrad
<a name="guardduty-finding-severity-level-critical"></a>

**Wertebereich**: 9,0 — 10,0

**Beschreibung**: Ein kritischer Schweregrad weist darauf hin, dass eine Angriffssequenz möglicherweise im Gange ist oder kürzlich stattgefunden hat. Eine oder mehrere AWS Ressourcen, wie z. B. die IAM-Benutzeranmeldedaten und der Amazon S3 S3-Bucket, sind möglicherweise gefährdet oder wurden möglicherweise bereits kompromittiert.

**Empfehlung**: GuardDuty empfiehlt, dass Sie der Suche und Behebung aller Probleme mit kritischem Schweregrad Priorität einräumen, da diese Probleme Teil eines Ransomware-Angriffs sein und jederzeit eskalieren können. Sehen Sie sich Details zu den beteiligten Ressourcen an und beginnen Sie mit der Behebung der Sicherheitsprobleme. Weitere Informationen finden Sie unter [Behebung von Erkenntnissen](guardduty_remediate.md).

## Hoher Schweregrad
<a name="guardduty-finding-severity-level-high"></a>

**Wertebereich**: 7,0 — 8,9

**Beschreibung**: Ein hoher Schweregrad weist darauf hin, dass die fragliche Ressource (eine Amazon EC2 EC2-Instance oder ein Satz von IAM-Benutzeranmeldedaten) kompromittiert ist und aktiv für nicht autorisierte Zwecke verwendet wird. 

**Empfehlung**: GuardDuty empfiehlt, dass Sie jedes Sicherheitsproblem mit hohem Schweregrad als Priorität behandeln und sofortige Abhilfemaßnahmen ergreifen, um eine weitere unbefugte Nutzung Ihrer Ressourcen zu verhindern. Bereinigen oder beenden Sie beispielsweise Ihre Amazon EC2 EC2-Instance oder wechseln Sie die IAM-Anmeldeinformationen. Folgen Sie den Anweisungen unter[Behebung von Erkenntnissen](guardduty_remediate.md), um das Problem zu beheben.

## Mittlerer Schweregrad
<a name="guardduty-finding-severity-level-medium"></a>

**Wertebereich**: 4,0 - 6,9

**Beschreibung**: Ein mittlerer Schweregrad weist auf verdächtige Aktivitäten hin, die vom normalerweise beobachteten Verhalten abweichen und je nach Anwendungsfall auf eine Beeinträchtigung der Ressourcen hinweisen können. 

**Empfehlung**: GuardDuty empfiehlt, die potenziell betroffene Ressource so bald wie möglich zu untersuchen. Die Schritte zur Behebung variieren je nach Ressource und gefundener Familie. Bei einem etablierten Ansatz müssen Sie sicherstellen, dass die Aktivität autorisiert ist und Ihrem Anwendungsfall entspricht. Wenn Sie die Ursache nicht identifizieren oder nicht bestätigen können, dass die Aktivität autorisiert wurde, sollten Sie davon ausgehen, dass die Ressource gefährdet ist. Folgen Sie den Anweisungen unter[Behebung von Erkenntnissen](guardduty_remediate.md), um das Ergebnis zu beheben. 

Hier sind einige Dinge, die Sie bei der Überprüfung eines Befundes auf mittlerer Ebene beachten sollten:
+ Prüfen Sie, ob ein autorisierter Benutzer neue Software installiert hat, die das Verhalten einer Ressource ändert (z. B. mehr Datenverkehr als normal zugelassen oder die Kommunikation über einen neuen Port aktiviert hat).
+ Prüfen Sie, ob ein autorisierter Benutzer die Einstellungen der Steuerungsebene geändert hat, z. B. eine Sicherheitsgruppeneinstellung geändert hat.
+ Führen Sie eine Virenprüfung der betroffenen Ressource durch, um nicht autorisierte Software zu erkennen.
+ Überprüfen Sie die Berechtigungen, die mit der betroffenen IAM-Rolle, dem Benutzer, der Gruppe oder den Anmeldeinformationen verbunden sind. Möglicherweise müssen diese geändert oder rotiert werden.

## Niedriger Schweregrad
<a name="guardduty-finding-severity-level-low"></a>

**Wertebereich**: 1,0 — 3,9

**Beschreibung**: Ein niedriger Schweregrad weist auf einen Versuch einer verdächtigen Aktivität hin, die Ihre Umgebung nicht beeinträchtigt hat, z. B. ein Port-Scan oder ein fehlgeschlagener Eindringversuch.

**Empfehlung**: Es gibt keine Sofortmaßnahmen, aber es lohnt sich, diese Informationen zur Kenntnis zu nehmen, da sie darauf hindeuten können, dass jemand nach Schwachstellen in Ihrer Umgebung sucht.

# Erkenntnisdetails
<a name="guardduty_findings-summary"></a>

In der GuardDuty Amazon-Konsole können Sie die Details zu den Ergebnissen im Abschnitt Zusammenfassung der Ergebnisse einsehen. Die Erkenntnisdetails variieren je nach Erkenntnistyp.

Hauptsächlich bestimmen zwei Details, welche Arten von Informationen für jede Erkenntnis verfügbar sind. Der erste ist der Ressourcentyp, der`Instance`,`AccessKey`,`S3Bucket`,`S3Object`,`Kubernetes cluster`,`ECS cluster`, `Container` `RDSDBInstance``RDSLimitlessDB`, oder sein kann`Lambda`. Das zweite Detail, das die Suche nach Informationen bestimmt, ist die **Ressourcenrolle**. Die Rolle der Ressource kann sein`Target`, was bedeutet, dass die Ressource das Ziel verdächtiger Aktivitäten war. Bei Feststellungen vom Typ Instance kann die Rolle der Ressource auch `Actor` sein, was bedeutet, dass Ihre Ressource der Akteur war, der die verdächtige Aktivität durchgeführt hat. In diesem Thema werden einige der allgemein verfügbaren Erkenntnisdetails beschrieben. Für [GuardDuty Runtime Monitoring: Typen finden](findings-runtime-monitoring.md) und [Suchtyp „Malware-Schutz für S3“](gdu-malware-protection-s3-finding-types.md) ist die Ressourcenrolle nicht gefüllt.

**Topics**
+ [Überblick über Erkenntnisse](#findings-summary-section)
+ [Ressource](#findings-resource-affected)
+ [Einzelheiten zur Suche nach der Angriffssequenz](#guardduty-extended-threat-detection-attack-sequence-finding-details)
+ [Benutzerdetails für die RDS-Datenbank (DB)](#rds-pro-db-user-details)
+ [Details zu den Erkenntnissen der Laufzeitüberwachung](#runtime-monitoring-runtime-details)
+ [Scan-Details der EBS-Volumes](#mp-ebs-volumes-scan-details)
+ [Einzelheiten zur Suche nach Malware Protection for EC2](#malware-protection-scan-details)
+ [Einzelheiten zu Erkenntnissen von Malware Protection für S3](#gdu-malware-protection-for-s3-finding-details)
+ [Action](#finding-action-section)
+ [Akteur oder Ziel](#finding-actor-target)
+ [Einzelheiten zur Geolokalisierung](#guardduty-finding-details-geolocation)
+ [Zusätzliche Informationen](#finding-additional-info)
+ [Beweise](#finding-evidence)
+ [Anormales Verhalten](#finding-anomalous)

## Überblick über Erkenntnisse
<a name="findings-summary-section"></a>

Der Abschnitt **Überblick** enthält die grundlegendsten Merkmale, anhand derer die Erkenntnis identifiziert werden kann, einschließlich der folgenden Informationen:
+ **Konto-ID** — Die ID des AWS Kontos, in dem die Aktivität stattfand, die GuardDuty zur Generierung dieses Ergebnisses geführt hat.
+ **Anzahl** — Gibt an, wie oft GuardDuty eine Aktivität, die diesem Muster entspricht, mit dieser Ergebnis-ID aggregiert wurde.
+ **Erstellt am** – Uhrzeit und Datum des Zeitpunkts, an dem diese Erkenntnis erstmals erstellt wurde. Wenn dieser Wert von **Aktualisiert am** abweicht, bedeutet dies, dass die Aktivität mehrfach stattgefunden hat und ein fortlaufendes Problem darstellt.
**Anmerkung**  
Zeitstempel für Ergebnisse in der GuardDuty Konsole werden in Ihrer lokalen Zeitzone angezeigt, während JSON-Exporte und CLI-Ausgaben Zeitstempel in UTC anzeigen.
+ **Erkenntnis-ID** – Eine eindeutige Erkenntnis-ID für diesen Erkenntnistyp und Parametersatz. Neue Vorkommen von Aktivitäten, die diesem Muster entsprechen, werden für dieselbe ID aggregiert.
+ **Erkenntnistyp** – Eine formatierte Zeichenfolge, die den Typ der Aktivität darstellt, durch den die Erkenntnis ausgelöst wurde. Weitere Informationen finden Sie unter [GuardDuty Format finden](guardduty_finding-format.md).
+ **Region** — Die AWS Region, in der das Ergebnis generiert wurde. Weitere Informationen zu unterstützten Regionen finden Sie unter [Regionen und Endpunkte](guardduty_regions.md)
+ **Ressourcen-ID** — Die ID der AWS Ressource, für die die Aktivität stattgefunden hat, die GuardDuty zur Generierung dieses Ergebnisses geführt hat.
+ **Scan-ID** — Gilt für Ergebnisse, wenn GuardDuty Malware Protection for EC2 aktiviert ist. Dabei handelt es sich um eine Kennung des Malware-Scans, der auf den EBS-Volumes ausgeführt wird, die an die potenziell gefährdete EC2-Instance oder den Container-Workload angehängt sind. Weitere Informationen finden Sie unter [Einzelheiten zur Suche nach Malware Protection for EC2](#malware-protection-scan-details).
+ **Schweregrad** — Einem Ergebnis wird entweder der Schweregrad Kritisch, Hoch, Mittel oder Niedrig zugewiesen. Weitere Informationen finden Sie unter [Schweregrade der Ergebnisse](guardduty_findings-severity.md).
+ **Aktualisiert am** — Das letzte Mal, als dieses Ergebnis mit einer neuen Aktivität aktualisiert wurde, die dem Muster entspricht, das GuardDuty zur Generierung dieses Ergebnisses geführt hat.

## Ressource
<a name="findings-resource-affected"></a>

Die **betroffene Ressource** enthält Einzelheiten zu der AWS Ressource, auf die die auslösende Aktivität abzielte. Die verfügbaren Informationen variieren je nach Ressourcentyp und Aktionstyp. 

**Ressourcenrolle** — Die Rolle der AWS Ressource, die den Befund ausgelöst hat. Dieser Wert kann **TARGET** oder **ACTOR** lauten und repräsentiert, ob Ihre Ressource das Ziel verdächtiger Aktivitäten bzw. der Akteur war, der die verdächtigen Aktivitäten ausgeführt hat.

**Ressourcen-Typ** – der Typ der betroffenen Ressource. Wenn mehrere Ressourcen betroffen waren, kann eine Erkenntnis mehrere Ressourcentypen umfassen. **Die Ressourcentypen sind **Instance **AccessKey****, **S3Bucket**, **S3Object**,, **KubernetesCluster**, **Container **ECSCluster**RDSDBInstance******, **RDSLimitlessDB** und Lambda.** Je nach Ressourcentyp stehen unterschiedliche Erkenntnisdetails zur Verfügung. Wählen Sie eine Registerkarte mit Ressourcenoptionen aus, um mehr über die für diese Ressource verfügbaren Details zu erfahren.

------
#### [ Instance ]

**Instance-Details:**

**Anmerkung**  
Einige Instance-Details fehlen möglicherweise, wenn die Instance bereits gestoppt wurde oder wenn der zugrunde liegende API-Aufruf bei einem regionsübergreifenden API-Aufruf von einer EC2-Instance in einer anderen Region stammte.
+ **Instanz-ID** — Die ID der EC2-Instance, die an der Aktivität beteiligt war, die zur Generierung des Ergebnisses geführt hat. GuardDuty 
+ **Instance-Typ** – Der Typ der EC2-Instance, der an der Erkenntnis beteiligt ist.
+ **Startzeit** – Das Datum und die Uhrzeit, zu der die Instance gestartet wurde.
+ **Outpost ARN** — Der Amazon-Ressourcenname (ARN) von AWS Outposts. Gilt nur für AWS Outposts Instances. Weitere Informationen finden Sie unter [Was ist AWS Outposts?](https://docs.aws.amazon.com/outposts/latest/userguide/what-is-outposts.html) im *Benutzerhandbuch für Outposts-Racks*.
+ **Name der Sicherheitsgruppe** – Der Name der Sicherheitsgruppe, die der beteiligten Instance angefügt ist.
+ **Sicherheitsgruppen-ID** – Die ID der Sicherheitsgruppe, die der beteiligten Instance angefügt ist.
+ **Instance-Status** – Der aktuelle Status der Ziel-Instance.
+ **Availability Zone** – Die Availability Zone der AWS -Region, in der sich die betroffene Instance befindet.
+ **Image-ID** – Die ID des Amazon Machine Image, das zum Erstellen der an der Aktivität beteiligten Instance verwendet wurde.
+ **Image-Beschreibung** – Eine Beschreibung der ID des Amazon Machine Image, das zum Erstellen der Instance verwendet wurde, die an der Aktivität beteiligt war.
+ **Tags** – Eine Liste der Tags, die dieser Ressource angefügt sind, die im Format `key`:`value` aufgeführt werden.

------
#### [ AccessKey ]

**Details zu Zugriffsschlüsseln:**
+ **Zugriffsschlüssel-ID** — Die Zugriffsschlüssel-ID des Benutzers, der an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat. 
+ **Prinzipal-ID** — Die Prinzipal-ID des Benutzers, der an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat. 
+ **Benutzertyp** — Der Benutzertyp, der an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat. Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html#cloudtrail-event-reference-user-identity-fields).
+ **Benutzername — Der Name** des Benutzers, der an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.

------
#### [ S3Bucket ]

**Details zum Amazon-S3-Bucket:**
+ **Name** – Der Name des Buckets, der an der Erkenntnis beteiligt war.
+ **ARN** – Der ARN des Buckets, der an der Erkenntnis beteiligt war.
+ **Eigentümer** – Die kanonische Benutzer-ID des Benutzers, dem der Bucket gehört, der an der Erkenntnis beteiligt war. Weitere Informationen zu kanonischen Benutzern IDs finden Sie unter [AWS Kontokennungen](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html).
+ **Typ** – Der Typ der Bucket-Erkenntnis. Mögliche Werte sind **Ziel** oder **Quelle**.
+ **Standardmäßige serverseitige Verschlüsselung** – Verschlüsselungsdetails für den Bucket.
+ **Bucket-Tags** – Eine Liste der Tags, die dieser Ressource zugeordnet sind und im Format `key`:`value` aufgeführt werden.
+ **Effektive Berechtigungen** – Eine Auswertung aller effektiven Berechtigungen und Richtlinien für den Bucket, die angibt, ob der betreffende Bucket öffentlich verfügbar ist. Werte können **Öffentlich** oder **Nicht öffentlich** sein.

------
#### [ S3Object ]
+ **S3-Objektdetails** — Enthält die folgenden Informationen über das gescannte S3-Objekt:
  + **ARN** — Amazon-Ressourcenname (ARN) des gescannten S3-Objekts.
  + **Schlüssel** — Der Name, der der Datei zugewiesen wurde, als sie im S3-Bucket erstellt wurde.
  + **Versions-ID** — Wenn Sie die Bucket-Versionierung aktiviert haben, gibt dieses Feld die Versions-ID an, die der neuesten Version des gescannten S3-Objekts zugeordnet ist. Weitere Informationen finden Sie unter [Verwenden der Versionierung in S3-Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) im *Amazon S3 S3-Benutzerhandbuch*.
  + **ETag** — Stellt die spezifische Version des gescannten S3-Objekts dar.
  + **Hash** — Der Hash der Bedrohung, die in diesem Ergebnis erkannt wurde.
+ **S3-Bucket-Details** — Enthält die folgenden Informationen über den Amazon S3 S3-Bucket, der dem gescannten S3-Objekt zugeordnet ist:
  + **Name** — Gibt den Namen des S3-Buckets an, der das Objekt enthält.
  + **ARN** — Amazon-Ressourcenname (ARN) des S3-Buckets.
+ **Besitzer** — Kanonische ID des Besitzers des S3-Buckets.

------
#### [ EKSCluster ]

**Details zum Kubernetes-Cluster:**
+ **Name** – Name des Kubernetes-Clusters.
+ **ARN** – Der ARN, der den Cluster identifiziert.
+ **Erstellt am** – Uhrzeit und Datum des Zeitpunkts, an dem dieser Cluster erstmals erstellt wurde.
**Anmerkung**  
Zeitstempel für Ergebnisse in der GuardDuty Konsole werden in Ihrer lokalen Zeitzone angezeigt, während JSON-Exporte und CLI-Ausgaben Zeitstempel in UTC anzeigen.
+ **VPC-ID** – Die ID der VPC, die Ihrem Cluster zugeordnet ist.
+ **Status** – Der aktuelle Status des Clusters.
+ **Tags** – Die Metadaten, die Sie auf den Cluster anwenden, um die Kategorisierung und Organisation zu erleichtern. Jedes Tag besteht aus einem Schlüssel und einem optionalen Wert, aufgelistet im Format `key`:`value`. Sie können sowohl den Schlüssel als auch den Wert definieren.

  Cluster-Tags werden nicht auf andere Ressourcen verteilt, die dem Cluster zugeordnet sind. 

**Details zum Kubernetes-Workload:**
+ **Typ** – Der Typ des Kubernetes-Workloads, wie Pod, Bereitstellung und Job.
+ **Name** – Der Name des Kubernetes-Workloads.
+ **Uid** – Die eindeutige ID des Kubernetes-Workloads.
+ **Erstellt am** – Uhrzeit und Datum des Zeitpunkts, an dem dieser Workload erstmals erstellt wurde.
+ **Labels** – Die Schlüssel-Wert-Paare, die dem Kubernetes-Workload angefügt wurden.
+ **Container** – Die Details des Containers, der als Teil des Kubernetes-Workloads ausgeführt wird.
+ **Namespace** – Der Workload gehört zu diesem Kubernetes-Namespace.
+ **Volumes** – Die vom Kubernetes-Workload verwendeten Volumes.
  + **Hostpfad** – Stellt eine bereits vorhandene Datei oder ein Verzeichnis auf dem Host-Computer dar, dem das Volume zugeordnet ist.
  + **Name** – Der Name des Volumes.
+ **Pod-Sicherheitskontext** – Definiert die Einstellungen für Rechte und Zugriffskontrolle für alle Container in einem Pod.
+ **Host-Netzwerk** – Auf `true` setzen, wenn die Pods im Kubernetes-Workload enthalten sind.

**Kubernetes-Benutzerdetails:**
+ **Gruppen** – Kubernetes-RBAC (Role-Access Based Control)-Gruppen des Benutzers, der an der Aktivität beteiligt war, die die Erkenntnis generiert hat.
+ **ID** – Eindeutige ID des Kubernetes-Benutzers.
+ **Benutzername** – Name des Kubernetes-Benutzers, der an der Aktivität beteiligt war, die das Ergebnis generiert hat.
+ **Sitzungsname** – Entität, die die IAM-Rolle mit Kubernetes-RBAC-Berechtigungen übernommen hat.

------
#### [ ECSCluster ]

**ECS-Cluster-Details:**
+ **ARN** – Der ARN, der den Cluster identifiziert.
+ **Name** – Der Name des Clusters.
+ **Status** – Der aktuelle Status des Clusters.
+ **Anzahl der aktiven Services** – Die Anzahl der Services, die in einem `ACTIVE`-Status auf dem Cluster ausgeführt werden. Sie können diese Dienste mit anzeigen [ListServices](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_ListServices.html)
+ **Anzahl registrierter Container-Instances** – Die Anzahl der Container-Instances, die im Cluster registriert sind. Dazu gehören Container-Instances sowohl im Status `ACTIVE` als auch im Status `DRAINING`.
+ **Anzahl der laufenden Aufgaben** – Die Anzahl der Aufgaben im Cluster, die sich im `RUNNING`-Status befinden.
+ **Tags** – Die Metadaten, die Sie auf den Cluster anwenden, um die Kategorisierung und Organisation zu erleichtern. Jedes Tag besteht aus einem Schlüssel und einem optionalen Wert, aufgelistet im Format `key`:`value`. Sie können sowohl den Schlüssel als auch den Wert definieren.
+ **Container** – Die Details zu dem Container, der der Aufgabe zugeordnet ist:
  + **Containername** – Der Name des Containers.
  + **Container-Image** – Das Image des Containers.
+ **Aufgabendetails** – Die Details einer Aufgabe in einem Cluster.
  + **ARN** – Der Amazon-Ressourcenname (ARN) der Aufgabe.
  + **Definition-ARN** – Der Amazon-Ressourcenname (ARN) der Aufgabendefinition, die die Aufgabe erstellt.
  + **Version** – Der Versionszähler für die Aufgabe.
  + **Aufgabe erstellt am** – Der Unix-Zeitstempel für den Erstellungszeitpunkt der Aufgabe.
  + **Aufgabe gestartet am** – Der Unix-Zeitstempel für den Startzeitpunkt der Aufgabe.
  + **Aufgabe gestartet von** – Das Tag, das beim Starten einer Aufgabe angegeben wurde.

------
#### [ Container ]

**Details zum Container:**
+ **Container-Laufzeit** – Die Container-Laufzeit (wie z. B. `docker` oder `containerd`), die zum Ausführen des Containers verwendet wurde.
+ **ID** – Die Container-Instance-ID oder die vollständigen ARN-Einträge für die Container-Instance.
+ **Name** – Der Name des Containers.
+ **Image** – Das Image der Container-Instance.
+ **Volume-Mounts** – Liste der Volume-Mounts von Containern. Ein Container kann ein Volume unter seinem Dateisystem mounten. 
+ **Sicherheitskontext** – Der Sicherheitskontext des Containers definiert Einstellungen für Rechte und Zugriffskontrolle für einen Container.
+ **Prozessdetails** – Beschreibt die Details des Prozesses, der mit der Erkenntnis verknüpft ist.

------
#### [ RDSDBInstance ]

**RDSDBInstance Einzelheiten:**

**Anmerkung**  
Diese Ressource ist in den Erkenntnissen von RDS Protection im Zusammenhang mit der Datenbank-Instance verfügbar.
+ **Datenbankinstanz-ID** — Der Bezeichner, der der Datenbankinstanz zugeordnet ist, die an der GuardDuty Suche beteiligt war.
+ **Engine** – Der Name der Datenbank-Engine der Datenbank-Instance, die an der Erkenntnis beteiligt war. Mögliche Werte sind Aurora MySQL-kompatibel oder Aurora PostgreSQL-kompatibel.
+ **Engine-Version** — Die Version der Datenbank-Engine, die an der GuardDuty Entdeckung beteiligt war.
+ **Datenbank-Cluster-ID** — Der Bezeichner des Datenbank-Clusters, der die Datenbank-Instance-ID enthält, die an der GuardDuty Suche beteiligt war.
+ **Datenbankinstanz-ARN** — Der ARN, der die an der GuardDuty Suche beteiligte Datenbankinstanz identifiziert.

------
#### [ RDSLimitlessDB ]

**RDSLimitlessDB-Details:**

Diese Ressource ist in den Ergebnissen von RDS Protection im Zusammenhang mit der unterstützten Engine-Version von Limitless Database verfügbar.
+ **DB-Shard-Gruppen-ID** — Der Name, der der Limitless-DB-Shard-Gruppe zugeordnet ist.
+ Ressourcen-ID der **DB-Shardgruppe — Die Ressourcen-ID** der DB-Shard-Gruppe innerhalb der Limitless-DB.
+ **ARN der DB-Shard-Gruppe** — Der Amazon-Ressourcenname (ARN), der die DB-Shard-Gruppe identifiziert.
+ **Engine** — Die Kennung der Limitless-DB, die an der Entdeckung beteiligt war.
+ **Engine-Version** — Die Version der Limitless DB-Engine.
+ **DB-Cluster-ID** — Der Name des Datenbank-Clusters, der Teil der Limitless DB ist.

Hinweise zu Benutzer- und Authentifizierungsdetails der potenziell betroffenen Datenbank finden Sie unter. [Benutzerdetails für die RDS-Datenbank (DB)](#rds-pro-db-user-details)

------
#### [ Lambda ]

**Details zur Lambda-Funktion**
+ **Funktionsname** – Der Name der Lambda-Funktion, die an der Erkenntnis beteiligt ist.
+ **Funktionsversion** – Die Version der Lambda-Funktion, die an der Erkenntnis beteiligt ist.
+ **Funktionsbeschreibung** – Eine Beschreibung der Lambda-Funktion, die an der Erkenntnis beteiligt ist.
+ **Funktions-ARN** – Der Amazon-Ressourcenname (ARN) der Lambda-Funktion, die an der Erkenntnis beteiligt ist.
+ **Revisions-ID** – Die Revisions-ID der Lambda-Funktionsversion.
+ **Rolle** – Die Ausführungsrolle der Lambda-Funktion, die an der Erkenntnis beteiligt ist.
+ **VPC-Konfiguration** — Die Amazon VPC-Konfiguration, einschließlich der VPC-ID, der Sicherheitsgruppe und des Subnetzes, das Ihrer Lambda-Funktion IDs zugeordnet ist.
  + **VPC-ID** – Die ID der Amazon-VPC, die der Lambda-Funktion zugeordnet ist, die an der Erkenntnis beteiligt ist.
  + **Subnetz IDs** — Die ID der Subnetze, die Ihrer Lambda-Funktion zugeordnet sind.
  + **Sicherheitsgruppe** – Die Sicherheitsgruppe, die der betroffenen Lambda-Funktion angefügt ist. Dazu gehören der Name und die Gruppen-ID der Sicherheitsgruppe.
+ **Tags** – Eine Liste der Tags, die dieser Ressource angefügt sind, die im Format `key`:`value` aufgeführt werden.

------

## Einzelheiten zur Suche nach der Angriffssequenz
<a name="guardduty-extended-threat-detection-attack-sequence-finding-details"></a>

GuardDuty bietet Details zu jedem Befund, den es in Ihrem Konto generiert. Diese Informationen helfen Ihnen dabei, die Gründe für den Befund zu verstehen. Dieser Abschnitt konzentriert sich auf Details im Zusammenhang mit[Arten der Suche nach Angriffssequenzen](guardduty-attack-sequence-finding-types.md). Dazu gehören Erkenntnisse wie potenziell betroffene Ressourcen, der Zeitplan der Ereignisse, Indikatoren, Signale und Endpunkte, die an den Ergebnissen beteiligt waren.

Einzelheiten zu Signalen, bei denen es sich um GuardDuty Ergebnisse handelt, finden Sie in den entsprechenden Abschnitten auf dieser Seite.

Wenn Sie in der GuardDuty Konsole einen Befund in der Angriffssequenz auswählen, ist der Seitenbereich mit den Details in die folgenden Registerkarten unterteilt:
+ **Überblick** — Bietet eine kompakte Ansicht der Details zur Angriffssequenz, einschließlich Signalen, MITRE-Taktiken und potenziell betroffenen Ressourcen.
+ **Signale** — Zeigt eine Zeitleiste der Ereignisse an, die an einer Angriffssequenz beteiligt sind.
+ **Ressourcen** — Stellt Informationen über die potenziell betroffenen Ressourcen oder die Ressourcen bereit, die potenziell gefährdet sind.

Die folgende Liste enthält Beschreibungen im Zusammenhang mit den Details zur Entdeckung der Angriffssequenz.

**Signale**  
Bei einem Signal kann es sich um eine API-Aktivität oder um einen Befund handeln, der zur Erkennung einer Angriffssequenz GuardDuty verwendet wird. GuardDuty betrachtet die schwachen Signale, die sich nicht als eindeutige Bedrohung darstellen, fügt sie zusammen und korreliert mit individuell generierten Ergebnissen. Für mehr Kontext bietet die Registerkarte „**Signale**“ eine Zeitleiste der Signale, wie sie von GuardDuty beobachtet wurden.   
Jedem Signal, also einem GuardDuty Befund, ist ein eigener Schweregrad und ein eigener Wert zugewiesen. In der GuardDuty Konsole können Sie jedes Signal auswählen, um die zugehörigen Details anzuzeigen.

**Schauspieler**  
Enthält Einzelheiten zu den Bedrohungsakteuren in einer Angriffssequenz. Weitere Informationen finden Sie unter [Actor](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Actor.html) in *Amazon GuardDuty API Reference*.

**Endpunkte**  
Enthält Details zu den Netzwerkendpunkten, die in dieser Angriffssequenz verwendet wurden. Weitere Informationen finden Sie [NetworkEndpoint](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_NetworkEndpoint.html)unter *Amazon GuardDuty API Reference*. Informationen darüber, wie der Standort GuardDuty bestimmt wird, finden Sie unter[Einzelheiten zur Geolokalisierung](#guardduty-finding-details-geolocation).

**Indikatoren**  
Beinhaltet beobachtete Daten, die dem Muster eines Sicherheitsproblems entsprechen. Diese Daten geben an, warum GuardDuty Hinweise auf eine potenziell verdächtige Aktivität vorliegen. Lautet der Indikatorname beispielsweise`HIGH_RISK_API`, deutet dies auf eine Aktion hin, die häufig von Bedrohungsakteuren verwendet wird, oder auf eine sensible Aktion, die potenzielle Auswirkungen auf eine haben kann AWS-Konto, z. B. den Zugriff auf Anmeldeinformationen oder die Änderung einer Ressource.   
Die folgende Tabelle enthält eine Liste potenzieller Indikatoren und deren Beschreibungen:      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/guardduty_findings-summary.html)
**MITRE-Taktiken**  
Dieses Feld spezifiziert die MITRE ATT&CK-Taktiken, die der Bedrohungsakteur in einer Angriffssequenz versucht. GuardDuty verwendet das [MITRE ATT&ACK-Framework](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-format.html#guardduty_threat_purposes), das der gesamten Angriffssequenz Kontext hinzufügt. Die Farben, die die GuardDuty Konsole verwendet, um die Bedrohungszwecke zu spezifizieren, die vom Bedrohungsakteur verwendet wurden, entsprechen den Farben, die die Werte „Kritisch“, „Hoch“, „Mittel“ und „Niedrig“ angeben. [Schweregrade der Ergebnisse](guardduty_findings-severity.md)

**Netzwerkindikatoren**  
Zu den Indikatoren gehört eine Kombination von Netzwerkindikatorwerten, die erklären, warum ein Netzwerk auf ein verdächtiges Verhalten hinweist. Dieser Abschnitt gilt nur, wenn der **Indikator** `SUSPICIOUS_NETWORK` oder `MALICIOUS_IP` enthält. Das folgende Beispiel zeigt, wie Netzwerkindikatoren einem Indikator zugeordnet werden können, wobei:  
+ *AnyCompany*ist ein Autonomes System (AS).
+  `TUNNEL_VPN``IS_ANONYMOUS`, und `ALLOWS_FREE_ACCESS` sind die Netzwerkindikatoren. 

```
...{
    "key": "SUSPICIOUS_NETWORK",
    "values": [{
        "AnyCompany": [
            "TUNNEL_VPN",
            "IS_ANONYMOUS",
            "ALLOWS_FREE_ACCESS"
        ]
    }]
}
...
```
Die folgende Tabelle enthält die Werte der Netzwerkindikatoren und ihre Beschreibung. Diese Tags werden auf der Grundlage der Bedrohungsinformationen hinzugefügt, die aus Quellen wie Spur GuardDuty gesammelt wurden      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/guardduty_findings-summary.html)

## Benutzerdetails für die RDS-Datenbank (DB)
<a name="rds-pro-db-user-details"></a>

**Anmerkung**  
Dieser Abschnitt bezieht sich auf Ergebnisse, die bei der Aktivierung der RDS-Schutzfunktion in festgestellt wurden GuardDuty. Weitere Informationen finden Sie unter [GuardDuty RDS-Schutz](rds-protection.md).

Das GuardDuty Ergebnis liefert die folgenden Benutzer- und Authentifizierungsdetails der potenziell gefährdeten Datenbank:
+ **Benutzer** – Der Benutzername, der für den anomalen Anmeldeversuch verwendet wurde.
+ **Anwendung** – Der Anwendungsname, der für den anomalen Anmeldeversuch verwendet wurde.
+ **Datenbank** – Der Name der Datenbank-Instance, die an dem anomalen Anmeldeversuch beteiligt war.
+ **SSL** – Die für das Netzwerk verwendete Version von Secure Socket Layer (SSL).
+ **Authentifizierungsmethode** – Die Authentifizierungsmethode, die von dem Benutzer verwendet wurde, der an der Erkenntnis beteiligt war.

Hinweise zu der potenziell gefährdeten Ressource finden Sie unter. [Ressource](#findings-resource-affected)

## Details zu den Erkenntnissen der Laufzeitüberwachung
<a name="runtime-monitoring-runtime-details"></a>

**Anmerkung**  
Diese Details sind möglicherweise nur verfügbar, wenn eine der [GuardDuty Runtime Monitoring: Typen finden](findings-runtime-monitoring.md) folgenden GuardDuty generiert wird. 

Dieser Abschnitt enthält die Laufzeitdetails wie Prozessdetails und den erforderlichen Kontext. Prozessdetails beschreiben Informationen über den beobachteten Prozess, und der Laufzeitkontext beschreibt alle zusätzlichen Informationen über die potenziell verdächtige Aktivität.

**Details zum Prozess**
+ **Name** – Der Name des Prozesses.
+ **Ausführbarer Pfad** – Absoluter Pfad der ausführbaren Zieldatei des Prozesses.
+ **Ausführbarer SHA-256** – Der `SHA256`-Hash der ausführbaren Datei des Prozesses.
+ **Namespace-PID** – Die Prozess-ID des Prozesses in einem sekundären PID-Namespace, bei dem es sich nicht um den PID-Namespace auf Host-Ebene handelt. Bei Prozessen innerhalb eines Containers ist dies die Prozess-ID, die innerhalb des Containers beobachtet wird.
+ **Derzeitiges Arbeitsverzeichnis** – Das aktuelle Arbeitsverzeichnis des Prozesses.
+ **Prozess-ID** – Die ID, die dem Prozess vom Betriebssystem zugewiesen wurde. 
+ **Startzeit** – Die Uhrzeit, zu der der Prozess gestartet wurde. Dieses Feld hat das UTC-Datums-Zeichenfolgenformat (`2023-03-22T19:37:20.168Z`).
+ **UUID** — Die eindeutige ID, die dem Prozess von zugewiesen wurde. GuardDuty
+ **Parent UUID** – Die eindeutige ID des übergeordneten Prozesses. Diese ID wird dem übergeordneten Prozess von zugewiesen. GuardDuty
+ **Benutzername** – Der Benutzername, der den Prozess ausgeführt hat. 
+ **Benutzer-ID** – Die Benutzer-ID des Benutzers, der den Prozess ausgeführt hat. 
+ **Effektive Benutzer-ID** – Die effektive Benutzer-ID des Prozesses zum Zeitpunkt des Ereignisses. 
+ **Herkunft** – Informationen über die Vorfahren des Prozesses. 
  + **Prozess-ID** – Die ID, die dem Prozess vom Betriebssystem zugewiesen wurde.
  + **UUID** — Die eindeutige ID, die dem Prozess von zugewiesen wurde. GuardDuty
  + **Ausführbarer Pfad** – Absoluter Pfad der ausführbaren Zieldatei des Prozesses.
  + **Effektive Benutzer-ID** – Die effektive Benutzer-ID des Prozesses zum Zeitpunkt des Ereignisses.
  + **Parent UUID** – Die eindeutige ID des übergeordneten Prozesses. Diese ID wird dem übergeordneten Prozess von zugewiesen. GuardDuty
  + **Startzeit** – Die Uhrzeit, zu der der Prozess gestartet wurde.
  + **Namespace-PID** – Die Prozess-ID des Prozesses in einem sekundären PID-Namespace, bei dem es sich nicht um den PID-Namespace auf Host-Ebene handelt. Bei Prozessen innerhalb eines Containers ist dies die Prozess-ID, die innerhalb des Containers beobachtet wird.
  + **Benutzer-ID** – Die Benutzer-ID des Benutzers, der den Prozess ausgeführt hat.
  + **Name** – Der Name des Prozesses.

**Laufzeitkontext**

Aus den folgenden Feldern kann eine generierte Erkenntnis nur die Felder enthalten, die für den Erkenntnistyp relevant sind.
+ **Mount-Quelle** – Der Pfad auf dem Host, der vom Container bereitgestellt wird.
+ **Mount-Ziel** – Der Pfad im Container, der dem Host-Verzeichnis zugeordnet ist.
+ **Dateisystem-Typ** – Stellt den Typ des eingehängten Dateisystems dar.
+ **Flags** – Stellt Optionen dar, die das Verhalten des Ereignisses steuern, das an dieser Erkenntnis beteiligt ist.
+ **Verändernder Prozess** – Informationen über den Prozess, der zur Laufzeit eine Binärdatei, ein Skript oder eine Bibliothek in einem Container erstellt oder geändert hat. 
+ **Geändert am** – Der Zeitstempel, zu dem der Prozess zur Laufzeit eine Binärdatei, ein Skript oder eine Bibliothek in einem Container erstellt oder geändert hat. Dieses Feld hat das UTC-Datums-Zeichenfolgenformat (`2023-03-22T19:37:20.168Z`).
+ **Bibliothekspfad** – Der Pfad zur neuen Bibliothek, die geladen wurde.
+ **LD-Vorladungs-Wert** – Der Wert der `LD_PRELOAD`-Umgebungsvariable.
+ **Socket-Pfad** – Der Pfad zum Docker-Socket, auf den zugegriffen wurde.
+ **Runc-Binär-Pfad** – Der Pfad zur `runc`-Binärdatei.
+ **Release-Agent-Pfad** – Der Pfad zur `cgroup`-Release-Agent-Datei.
+ **Beispiel für eine Befehlszeile** — Das Beispiel der Befehlszeile, die an der potenziell verdächtigen Aktivität beteiligt war.
+ **Werkzeugkategorie** — Kategorie, zu der das Tool gehört. Einige der Beispiele sind Backdoor Tool, Pentest Tool, Network Scanner und Network Sniffer.
+ **Toolname** — Der Name des potenziell gefährlichen Tools.
+ **Skriptpfad** — Der Pfad zu dem ausgeführten Skript, das den Befund generiert hat.
+ **Pfad der Bedrohungsdatei** — Der verdächtige Pfad, für den die Bedrohungsinformationen gefunden wurden.
+ **Dienstname** — Der Name des Sicherheitsdienstes, der deaktiviert wurde.
+ **Modulname** — Der Name des Moduls, das in den Kernel geladen wird.
+ **Modul SHA256** — Der SHA256 Hash des Moduls.
+ **Moduldateipfad** — Der Pfad zu dem in den Kernel geladenen Modul.

## Scan-Details der EBS-Volumes
<a name="mp-ebs-volumes-scan-details"></a>

**Anmerkung**  
Dieser Abschnitt bezieht sich auf Ergebnisse, die beim Einschalten des GuardDuty -initiierten Malware-Scans in [Malware-Schutz für EC2](malware-protection.md) festgestellt wurden.

Der EBS-Volume-Scan liefert Details über das EBS-Volume, das an die potenziell kompromittierte EC2-Instance oder den Container-Workload angehängt ist. 
+ **Scan-ID** – Die Kennung des Malware-Scans.
+ **Scan gestartet am** – Das Datum und die Uhrzeit, zu der der Malware-Scan gestartet wurde.
+ **Scan abgeschlossen am** – Das Datum und die Uhrzeit, zu der der Malware-Scan abgeschlossen wurde.
+ **Trigger Finding ID** — Die Finde-ID des GuardDuty Fundes, das diesen Malware-Scan ausgelöst hat.
+ **Quellen** — Die möglichen Werte sind `Bitdefender` und`Amazon`.

  Weitere Informationen zur Scan-Engine, die zur Erkennung von Malware verwendet wird, finden Sie unter[GuardDuty Scan-Engine zur Malware-Erkennung](guardduty-malware-detection-scan-engine.md).
+ **Scan-Erkennungen** – Die vollständige Ansicht der Details und Ergebnisse jedes Malware-Scans.
  + **Anzahl gescannter Objekte** – Die Gesamtzahl der gescannten Dateien. Liefert Details wie `totalGb`, `files` und `volumes`.
  + **Anzahl der entdeckten Bedrohungen** – Die Gesamtzahl der während des Scans erkannten schädlichen `files`.
  + **Bedrohungsdetails mit dem höchsten Schweregrad** – Die Details der Bedrohung mit dem höchsten Schweregrad, die während des Scans erkannt wurde, und die Anzahl der schädlichen Dateien. Liefert Details wie `severity`, `threatName` und `count`.
  + **Nach Namen erkannte Bedrohungen** – Das Container-Element, in dem Bedrohungen aller Schweregrade gruppiert werden. Liefert Details wie `itemCount`, `uniqueThreatNameCount`, `shortened` und `threatNames`. 

## Einzelheiten zur Suche nach Malware Protection for EC2
<a name="malware-protection-scan-details"></a>

**Anmerkung**  
Dieser Abschnitt bezieht sich auf Ergebnisse, die sich ergeben, wenn Sie den GuardDuty -initiierten Malware-Scan in aktivieren. [Malware-Schutz für EC2](malware-protection.md)

Wenn der Scan von Malware Protection for EC2 Malware erkennt, können Sie die Scandetails anzeigen, indem Sie auf der Seite **Ergebnisse** in der Konsole den entsprechenden Befund auswählen. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) Der Schweregrad Ihrer Entdeckung durch Malware Protection for EC2 hängt vom Schweregrad der GuardDuty Entdeckung ab.

Die folgenden Informationen sind im Abschnitt **Entdeckte Bedrohungen** im Detailbereich verfügbar.
+ **Name** – Der Name der Bedrohung, der durch Gruppierung der Dateien nach Entdeckung ermittelt wurde. 
+ **Schweregrad** – Der Schweregrad der erkannten Bedrohung. 
+ **Hash** – Der SHA-256-Hashwert der Datei. 
+ **Dateipfad** – Der Speicherort der schädlichen Datei auf dem EBS-Volume. 
+ **Dateiname** – Der Name der Datei, in der die Bedrohung erkannt wurde. 
+ **Volume-ARN** – Der ARN der gescannten EBS-Volumes. 

Die folgenden Informationen sind im Abschnitt **Malware-Scan-Details** im Detailbereich verfügbar.
+ **Scan-ID** – Die Kennung des Malware-Scans. 
+ **Scan gestartet am** – Das Datum und die Uhrzeit, zu der der Malware-Scan gestartet wurde. 
+ **Scan abgeschlossen am** – Das Datum und die Uhrzeit, zu der der Scan abgeschlossen wurde. 
+ **Gescannte Dateien** – Die Gesamtzahl der gescannten Dateien und Verzeichnisse. 
+ **Gescannte GB insgesamt** – Die Menge an Speicherplatz, die während des Vorgangs gescannt wurde. 
+ **Erkennungs-ID des Auslösers** — Die Finde-ID des GuardDuty Fundes, das diesen Malware-Scan ausgelöst hat. 
+ Die folgenden Informationen sind im Abschnitt **Volume-Details** im Detailbereich verfügbar.
  + **Volume-ARN** – Der Amazon-Ressourcenname (ARN) des Volumes.
  + **Snapshot-ARN** – Der ARN des Snapshots des EBS-Volumes.
  + **Status** – Der Scan-Status des Volumes, z. B. `Running`, `Skipped` und `Completed`.
  + **Verschlüsselungstyp** – Der Verschlüsselungstyp, der zur Verschlüsselung des Volumes verwendet wird. Beispiel, `CMCMK`.
  + **Gerätename** – Der Name des Geräts. Beispiel, `/dev/xvda`.

## Einzelheiten zu Erkenntnissen von Malware Protection für S3
<a name="gdu-malware-protection-for-s3-finding-details"></a>

Die folgenden Informationen zum Malware-Scan sind verfügbar, wenn Sie GuardDuty sowohl als auch Malware Protection for S3 in Ihrem aktivieren AWS-Konto:
+ **Bedrohungen** — Eine Liste der Bedrohungen, die während des Malware-Scans erkannt wurden. 
**Mehrere potenzielle Bedrohungen in Archivdateien**  
Wenn Sie eine Archivdatei mit potenziell mehreren Bedrohungen haben, meldet Malware Protection for S3 nur die erste erkannte Bedrohung. Danach wird der Scanstatus als abgeschlossen markiert. GuardDuty generiert den zugehörigen Befundtyp und sendet auch die von ihm generierten EventBridge Ereignisse. Weitere Informationen zur Überwachung der Amazon S3 S3-Objektscans mithilfe der EventBridge Ereignisse finden Sie im Beispiel-Benachrichtigungsschema für **THREATS\$1FOUND** unter. [Ergebnis des S3-Objektscans](monitor-with-eventbridge-s3-malware-protection.md#s3-object-scan-status-malware-protection-s3-ev)
+ **Elementpfad** — Eine Liste der verschachtelten Elementpfade und Hash-Details des gescannten S3-Objekts.
  + **Verschachtelter Elementpfad** — Elementpfad des gescannten S3-Objekts, in dem die Bedrohung erkannt wurde.

    Der Wert dieses Felds ist nur verfügbar, wenn es sich bei dem Objekt der obersten Ebene um ein Archiv handelt und wenn in einem Archiv eine Bedrohung erkannt wurde.
  + **Hash** — Hash der Bedrohung, die in diesem Ergebnis erkannt wurde.
+ **Quellen** — Die möglichen Werte sind `Bitdefender` und`Amazon`.

  Weitere Informationen zur Scan-Engine, die zur Erkennung von Malware verwendet wird, finden Sie unter[GuardDuty Scan-Engine zur Malware-Erkennung](guardduty-malware-detection-scan-engine.md).

## Action
<a name="finding-action-section"></a>

Die **Aktion** einer Erkenntnis gibt Details über die Art der Aktivität, durch die das Ergebnis ausgelöst wurde. Die verfügbaren Informationen variieren je nach Aktionstyp.

**Aktionstyp** – Der Aktivitätstyp der Erkenntnis. ****Dieser Wert kann **NETWORK\$1CONNECTION, PORT\$1PROBE, DNS\$1REQUEST** ****, \$1CALL oder RDS\$1LOGIN\$1ATTEMPT**** sein. AWS\$1API**** Die verfügbaren Informationen variieren je nach Aktionstyp: 
+ **NETWORK\$1CONNECTION** – Gibt an, dass Netzwerkdatenverkehr zwischen der identifizierten EC2-Instance und dem Remote-Host ausgetauscht wurde. Dieser Aktionstyp enthält die folgenden zusätzlichen Informationen:
  + **Verbindungsrichtung — Die Netzwerkverbindungsrichtung, die bei der Aktivität beobachtet wurde, die zur** Generierung des Ergebnisses geführt hat. GuardDuty Bei ihnen kann es sich um einen der folgenden Werte handeln:
    + **INBOUND** – Gibt an, dass ein Remote-Host eine Verbindung mit einem lokalen Port auf der in Ihrem Konto identifizierten EC2-Instance initiiert hat.
    + **OUTBOUND** – Gibt an, dass die identifizierte EC2-Instance eine Verbindung mit einem Remote-Host initiiert hat.
    + **UNBEKANNT** — Zeigt an, dass die Richtung der Verbindung nicht bestimmt werden GuardDuty konnte.
  + **Protokoll** — Das Netzwerkverbindungsprotokoll, das bei der Aktivität beobachtet wurde, die GuardDuty zur Generierung des Ergebnisses geführt hat. 
  + **Lokale IP** – Die ursprüngliche Quell-IP-Adresse des Datenverkehrs, der die Erkenntnis ausgelöst hat. Diese Informationen können verwendet werden, um zwischen der IP-Adresse einer Zwischenebene, durch die Datenverkehr fließt, und der ursprünglichen Quell-IP-Adresse des Datenverkehrs , der die Suche ausgelöst hat, zu unterscheiden. Zum Beispiel die IP-Adresse eines EKS-Pods im Gegensatz zur IP-Adresse der Instance, auf der der EKS-Pod ausgeführt wird. 
  + **Blockiert** – Gibt an, ob der Ziel-Port blockiert ist. 
+ **PORT\$1PROBE** – Gibt an, dass ein Remote-Host die identifizierte EC2-Instance auf mehreren offenen Ports untersucht hat. Dieser Aktionstyp enthält die folgenden zusätzlichen Informationen:
  + **Lokale IP** – Die ursprüngliche Quell-IP-Adresse des Datenverkehrs, der die Erkenntnis ausgelöst hat. Diese Informationen können verwendet werden, um zwischen der IP-Adresse einer Zwischenebene, durch die Datenverkehr fließt, und der ursprünglichen Quell-IP-Adresse des Datenverkehrs , der die Suche ausgelöst hat, zu unterscheiden. Zum Beispiel die IP-Adresse eines EKS-Pods im Gegensatz zur IP-Adresse der Instance, auf der der EKS-Pod ausgeführt wird. 
  + **Blockiert** – Gibt an, ob der Ziel-Port blockiert ist. 
+ **DNS\$1REQUEST** – Gibt an, dass die identifizierte EC2-Instance einen Domainnamen abgefragt hat. Dieser Aktionstyp enthält die folgenden zusätzlichen Informationen:
  + **Protokoll** — Das Netzwerkverbindungsprotokoll, das bei der Aktivität beobachtet wurde, die GuardDuty zur Generierung des Ergebnisses führte. 
  + **Blockiert** – Gibt an, ob der Ziel-Port blockiert ist. 
+ **AWS\$1API\$1CALL** — Zeigt an, dass eine AWS API aufgerufen wurde. Dieser Aktionstyp enthält die folgenden zusätzlichen Informationen:
  + **API** — Der Name des API-Vorgangs, der aufgerufen und somit GuardDuty zur Generierung dieses Ergebnisses aufgefordert wurde. 
**Anmerkung**  
Diese Vorgänge können auch Nicht-API-Ereignisse einschließen, die von AWS CloudTrail erfasst wurden. Weitere Informationen finden Sie unter [Nicht-API-Ereignisse, erfasst](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-non-api-events.html) von. CloudTrail
  + **Benutzeragent** – Der Benutzeragent, der die API-Anfrage gestellt hat. Dieser Wert gibt an, ob der Aufruf von AWS-Managementkonsole, einem AWS Dienst, dem oder dem AWS SDKs AWS CLI getätigt wurde.
  + **ERROR\$1CODE** – Wenn die Erkenntnis durch einen fehlgeschlagenen API-Aufruf ausgelöst wurde, wird der Fehlercode für diesen Aufruf angezeigt.
  + **Service-Name** – Der DNS-Name des Services, der versucht hat, den API-Aufruf durchzuführen, durch den die Erkenntnis ausgelöst wurde. 
+ **RDS\$1LOGIN\$1ATTEMPT** – Zeigt an, dass von einer Remote-IP-Adresse aus ein Anmeldeversuch bei der potenziell kompromittierte Datenbank unternommen wurde.
  + **IP-Adresse** – Die Remote-IP-Adresse, die für den potenziell verdächtigen Anmeldeversuch verwendet wurde.

## Akteur oder Ziel
<a name="finding-actor-target"></a>

Eine Erkenntnis verfügt über den Abschnitt **Actor**, wenn die **Ressourcenrolle** `TARGET` war. Dies zeigt an, dass verdächtige Aktivitäten auf Ihre Ressource ausgerichtet waren, und der Abschnitt **Actor** enthält Details zur Entität, von der diese auf Ihre Ressource ausgerichtet wurden.

Eine Erkenntnis hat einen **Ziel**-Abschnitt, wenn die **Ressourcenrolle** `ACTOR` lautete. Dies zeigt an, dass Ihre Ressource an verdächtigen Aktivitäten gegen einen Remote-Host beteiligt war. Dieser Abschnitt enthält Informationen zur IP-Adresse und/oder Domain, auf die Ihre Ressource ausgerichtet ist.

Im Abschnitt **Actor** oder **Ziel** können folgende Informationen verfügbar sein:
+ **Verbunden** — Gibt an, ob das AWS Konto des Remote-API-Aufrufers mit Ihrer GuardDuty Umgebung verknüpft ist. Wenn dieser Wert `true` ist, ist der API-Aufrufer in irgendeiner Weise Ihrem Konto zugeordnet. Falls der Wert `false` ist, stammt der API-Aufrufer von außerhalb Ihrer Umgebung.
+ **Remote-Konto-ID** — Die Konto-ID, der die ausgehende IP-Adresse gehört, die für den Zugriff auf die Ressource im endgültigen Netzwerk verwendet wurde.
+ **IP-Adresse — Die IP-Adresse**, die an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.
+ **Standort** — Standortinformationen für die IP-Adresse, die an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.
+ **Organisation** — Informationen zur ISP-Organisation der IP-Adresse, die an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat. 
+ **Port** — Die Portnummer, die an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.
+ **Domain** — Die Domain, die an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.
+ **Domain mit Suffix** — Die Domain der zweiten und obersten Ebene, die an einer Aktivität beteiligt war, die möglicherweise GuardDuty zur Generierung des Ergebnisses geführt hat. [Eine Liste der Domänen der obersten und zweiten Ebene finden Sie in der Liste der öffentlichen Suffixe.](https://publicsuffix.org/)

## Einzelheiten zur Geolokalisierung
<a name="guardduty-finding-details-geolocation"></a>

GuardDuty bestimmt den Standort und das Netzwerk von Anfragen mithilfe von MaxMind GeoIP-Datenbanken. MaxMind meldet eine sehr hohe Genauigkeit ihrer Daten auf Landesebene, obwohl die Genauigkeit je nach Faktoren wie Land und Art der IP-Adresse variiert. 

Weitere Informationen MaxMind dazu finden Sie unter [MaxMind IP-Geolokalisierung](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation). Wenn Sie der Meinung sind, dass einige der GeoIP-Daten falsch sind, senden Sie eine Korrekturanfrage MaxMind an [MaxMindCorrect Geo IP2 Data](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction).

## Zusätzliche Informationen
<a name="finding-additional-info"></a>

Alle Erkenntnisse verfügen über einen Abschnitt **Zusätzliche Informationen**, der die folgenden Informationen enthalten kann:
+ **Name der Bedrohungsliste** — Der Name der Bedrohungsliste, die die IP-Adresse oder den Domainnamen enthält, der an der Aktivität beteiligt war, die GuardDuty zur Generierung des Fundes geführt hat. 
+ **Beispiel** – Der Wert Wahr oder Falsch, gibt an, ob es sich um ein Beispiel-Erkenntnis handelt.
+ **Archiviert** – Der Wert Wahr oder Falsch, gibt an, ob diese Erkenntnis archiviert wurde.
+ **Ungewöhnlich** – Aktivitätsdetails, die zuvor noch nicht beobachtet wurden. Dabei kann es sich um ungewöhnliche (zuvor nicht beobachtete) Benutzer, Standorte, Zeitpunkte, Buckets, Anmeldeverhalten oder ASN Org handeln. 
+ **Ungewöhnliches Protokoll** — Das Netzwerkverbindungsprotokoll, das an der Aktivität beteiligt war, die GuardDuty zur Generierung des Befundes geführt hat.
+ **Agentendetails** – Details über den Sicherheitsagent, der derzeit auf dem EKS-Cluster in Ihrem AWS-Konto installiert ist. Dies gilt nur für Erkenntnistypen von der EKS-Laufzeit-Überwachung.
  + **Agent-Version** — Die Version des GuardDuty Security Agents.
  + **Agenten-ID** — Die eindeutige Kennung des GuardDuty Security Agents.

## Beweise
<a name="finding-evidence"></a>

Erkenntnisse, die auf Bedrohungsinformationen basieren, haben einen Abschnitt **Beweise**, der die folgenden Informationen enthält:
+ **Informationen zur Bedrohungsinformation** — Der Name der Bedrohungsliste, auf der die erkannte Bedrohung `Threat name` erscheint. 
+ **Name der Bedrohung** — Der Name der Malware-Familie oder eine andere Kennung, die mit der Bedrohung verknüpft ist.
+ **Bedrohungsdatei SHA256** — SHA256 der Datei, die den Befund generiert hat.

## Anormales Verhalten
<a name="finding-anomalous"></a>

Arten von Ergebnissen, die **AnomalousBehavior**auf Folgendes enden, weisen darauf hin, dass der Befund durch das ML-Modell (Machine Learning) zur Erkennung von GuardDuty Anomalien generiert wurde. Das ML-Modell wertet alle API-Anfragen an Ihr Konto aus und identifiziert anomale Ereignisse, die mit Taktiken von Angreifern in Verbindung gebracht werden. Das ML-Modell verfolgt verschiedene Faktoren der API-Anfrage, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, und die spezifische API, die angefordert wurde. 

Einzelheiten darüber, welche Faktoren der API-Anfrage für die CloudTrail Benutzeridentität, die die Anfrage aufgerufen hat, ungewöhnlich sind, finden Sie in den Ergebnisdetails. Die Identitäten werden durch das [ CloudTrail UserIdentity-Element](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) definiert, und die möglichen Werte sind:`Root`,,, `IAMUser``AssumedRole`, `FederatedUser` oder. `AWSAccount` `AWSService` 

Zusätzlich zu den Informationen, die für alle GuardDuty Ergebnisse im Zusammenhang mit API-Aktivitäten verfügbar sind, enthalten die **AnomalousBehavior**Ergebnisse zusätzliche Details, die im folgenden Abschnitt beschrieben werden. Diese Details können in der Konsole eingesehen werden und sind auch in der JSON-Datei des Erkenntnisses verfügbar.
+ **Anomal APIs** — Eine Liste von API-Anfragen, die von der Benutzeridentität in der Nähe der primären API-Anfrage aufgerufen wurden, die mit dem Ergebnis verknüpft ist. In diesem Bereich werden die Details des API-Erkenntnisses wie folgt weiter aufgeschlüsselt.
  + Bei der ersten aufgeführten API handelt es sich um die primäre API, d. h. um die API-Anfrage, die mit der beobachteten Aktivität mit dem höchsten Risiko verknüpft ist. Dies ist die API, welche die Erkenntnis ausgelöst hat und mit der Angriffsphase des Erkenntnistyps korreliert. Dies ist auch die API, die im Abschnitt **Aktion** in der Konsole und in der JSON-Datei des Erkenntnisses detailliert beschrieben wird.
  + Bei allen anderen APIs aufgelisteten Fällen handelt es sich um weitere Anomalien APIs im Vergleich zur aufgelisteten Benutzeridentität, die in der Nähe der primären API beobachtet wurden. Wenn nur eine API auf der Liste steht, hat das ML-Modell keine zusätzlichen API-Anfragen von dieser Benutzeridentität als anomal identifiziert. 
  + Die Liste der APIs ist danach unterteilt, ob eine API **erfolgreich aufgerufen** wurde oder ob die API nicht erfolgreich aufgerufen wurde, was bedeutet, dass eine Fehlerantwort empfangen wurde. Die Art der empfangenen Fehlerantwort ist über jeder API aufgeführt, die erfolglos aufgerufen wurde. Mögliche Fehlerantworttypen sind: `access denied`, `access denied exception`, `auth failure`, `instance limit exceeded`, `invalid permission - duplicate`, `invalid permission - not found` und `operation not permitted`.
  + APIs werden nach dem zugehörigen Dienst kategorisiert. 
  + Wenn Sie mehr Kontext benötigen, wählen Sie „**Historisch**“ aus, APIs um die wichtigsten Informationen zu sehen APIs, bis zu einem Maximum von 20, die in der Regel sowohl für die Benutzeridentität als auch für alle Benutzer innerhalb des Kontos angezeigt werden. Sie APIs sind als **Selten (weniger als einmal pro Monat)**, Selten **(einige Male im Monat)** oder **Häufig (täglich bis wöchentlich)** gekennzeichnet, je nachdem, wie oft sie in Ihrem Konto verwendet werden.
+ **Ungewöhnliches Verhalten (Konto)** – In diesem Abschnitt finden Sie zusätzliche Informationen zum profilierten Verhalten Ihres Kontos.
**Profiliertes Verhalten**  
GuardDuty erfährt anhand der bereitgestellten Ereignisse kontinuierlich mehr über die Aktivitäten in Ihrem Konto. Diese Aktivitäten und ihre beobachtete Häufigkeit werden als profiliertes Verhalten bezeichnet.

  Zu den in diesem Bereich erfassten Informationen gehören:
  + **ASN Org** — Die Organisation mit der Autonomous System Number (ASN), von der aus der anomale API-Aufruf getätigt wurde. 
  + **Benutzername** – Der Name des Benutzers, der den anomalen API-Aufruf ausgeführt hat.
  + **Benutzeragent** – Der Benutzeragent, der für den anomalen API-Aufruf verwendet wurde. Der Benutzeragent ist die Methode, mit der der Aufruf ausgeführt wird, z. B. `aws-cli` oder `Botocore`.
  + **Benutzertyp** – Der Typ des Benutzers, der den anomalen API-Aufruf ausgeführt hat. Mögliche Werte sind `AWS_SERVICE`, `ASSUMED_ROLE`, `IAM_USER` oder `ROLE`.
  + **Bucket** – Der Name des S3-Buckets, auf den zugegriffen wurde.
+ **Ungewöhnliches Verhalten (Benutzeridentität)** – Dieser Abschnitt enthält zusätzliche Informationen zum profilierten Verhalten der **Benutzeridentität**, die an der Erkenntnis beteiligt war. Wenn ein Verhalten nicht als historisch identifiziert wurde, bedeutet dies, dass das GuardDuty ML-Modell diese Benutzeridentität während des Trainingszeitraums noch nicht auf diese Weise aufgerufen hat. Die folgenden zusätzlichen Details zur **Benutzeridentität** sind verfügbar:
  + **ASN Org** – Die ASN-Organisation, von der aus der anomale API-Aufruf getätigt wurde. 
  + **Benutzeragent** – Der Benutzeragent, der für den anomalen API-Aufruf verwendet wurde. Der Benutzeragent ist die Methode, mit der der Aufruf ausgeführt wird, z. B. `aws-cli` oder `Botocore`.
  + **Bucket** – Der Name des S3-Buckets, auf den zugegriffen wurde.
+ **Ungewöhnliches Verhalten (Bucket)** – Dieser Abschnitt enthält zusätzliche Informationen zum profilierten Verhalten des S3-Buckets, der mit der Erkenntnis verknüpft ist. Wenn ein Verhalten nicht als historisch identifiziert wurde, bedeutet dies, dass das GuardDuty ML-Modell innerhalb des Trainingszeitraums noch keine API-Aufrufe auf diese Weise an diesen Bucket gesendet hat. Zu den in diesem Bereich erfassten Informationen gehören:
  + **ASN Org** – Die ASN-Organisation, von der aus der anomale API-Aufruf getätigt wurde. 
  + **Benutzername** – Der Name des Benutzers, der den anomalen API-Aufruf ausgeführt hat.
  + **Benutzeragent** – Der Benutzeragent, der für den anomalen API-Aufruf verwendet wurde. Der Benutzeragent ist die Methode, mit der der Aufruf ausgeführt wird, z. B. `aws-cli` oder `Botocore`.
  + **Benutzertyp** – Der Typ des Benutzers, der den anomalen API-Aufruf ausgeführt hat. Mögliche Werte sind `AWS_SERVICE`, `ASSUMED_ROLE`, `IAM_USER` oder `ROLE`.
**Anmerkung**  
Weitere Informationen zu historischen Verhaltensweisen finden Sie unter **Historisches Verhalten** in den Abschnitten **Ungewöhnliches Verhalten (Konto)**, **Benutzer-ID** oder **Bucket**, wo Sie Details zum erwarteten Verhalten in Ihrem Konto für jede der folgenden Kategorien anzeigen können: **Selten (weniger als einmal pro Monat)**, **Gelegentlich (einige Male pro Monat)** oder **Häufig (täglich bis wöchentlich)**, je nachdem, wie oft sie in Ihrem Konto verwendet werden.
+ **Ungewöhnliches Verhalten (Datenbank)** – Dieser Abschnitt enthält zusätzliche Informationen zum profilierten Verhalten der Datenbank-Instance, das mit der Erkenntnis verknüpft ist. Wenn ein Verhalten nicht als historisch identifiziert wurde, bedeutet dies, dass das GuardDuty ML-Modell innerhalb des Trainingszeitraums noch keinen Anmeldeversuch auf diese Weise bei dieser Datenbankinstanz festgestellt hat. Zu den Informationen, die für diesen Abschnitt im Erkenntnisbereich verfolgt werden, gehören:
  + **Benutzer** – Der Benutzername, der für den anomalen Anmeldeversuch verwendet wurde.
  + **ASN Org** – Die ASN-Organisation, von der aus der anomale API-Aufruf getätigt wurde.
  + **Anwendung** – Der Anwendungsname, der für den anomalen Anmeldeversuch verwendet wurde. 
  + **Datenbank** – Der Name der Datenbank-Instance, die an dem anomalen Anmeldeversuch beteiligt war.

  Der Abschnitt **Historisches Verhalten** bietet mehr Kontext zu den zuvor beobachteten **Benutzernamen**, **ASN-Organisationen**, **Anwendungsnamen** und **Datenbanknamen** für die zugehörige Datenbank. Jedem Einzelwert ist eine Anzahl zugeordnet, die angibt, wie oft dieser Wert bei einer erfolgreichen Anmeldung beobachtet wurde.
+ **Ungewöhnliches Verhalten (Konto-Kubernetes-Cluster, Kubernetes-Namespace und Kubernetes-Benutzername)** – In diesem Abschnitt finden Sie zusätzliche Informationen zum profilierten Verhalten des Kubernetes-Clusters und des mit der Erkenntnis verbundenen Namespaces. Wenn ein Verhalten nicht als historisch identifiziert wird, bedeutet dies, dass das GuardDuty ML-Modell diesen Account, Cluster, Namespace oder Benutzernamen zuvor nicht auf diese Weise beobachtet hat. Zu den Informationen, die für diesen Abschnitt im Erkenntnisbereich verfolgt werden, gehören:
  + **Benutzername** – Der Benutzer, der die der Erkenntnis zugeordnete Kubernetes-API aufgerufen hat.
  + **Impersonierter Nutzername** – Der Benutzer, für den sich `username` ausgibt.
  + **Namespace** – Der Kubernetes-Namespace innerhalb des Amazon-EKS-Clusters, in dem die Aktion stattgefunden hat.
  + **Benutzeragent** – Der Benutzeragent, der dem Kubernetes-API-Aufruf zugeordnet ist. Der Benutzeragent ist die Methode, mit der der Aufruf ausgeführt wird, z. B. `kubectl`. 
  + **API** – Die Kubernetes-API, die von `username` innerhalb des Amazon-EKS-Clusters aufgerufen wird.
  + **ASN-Informationen** – Die ASN-Informationen, wie Organisation und ISP, die der IP-Adresse des Benutzers zugeordnet sind, der diesen Aufruf tätigt.
  + **Wochentag** – Der Wochentag, an dem der Kubernetes-API-Aufruf getätigt wurde. 
  + **Permission** — Das Kubernetes-Verb und die Ressource, die auf Zugriff geprüft werden, geben an, ob sie die Kubernetes-API verwenden `username` können oder nicht.
  + **Dienstkontoname** — Das dem Kubernetes-Workload zugeordnete Dienstkonto, das dem Workload eine Identität verleiht.
  + **Registrierung** — Die Container-Registry, die dem Container-Image zugeordnet ist, das im Kubernetes-Workload bereitgestellt wird.
  + **Image** — Das Container-Image ohne die zugehörigen Tags und Digest, das im Kubernetes-Workload bereitgestellt wird.
  + **Image-Präfix-Konfiguration** — Das Image-Präfix mit aktivierter Container- und Workload-Sicherheitskonfiguration, z. B. `hostNetwork` oder`privileged`, für den Container, der das Image verwendet.
  + **Betreffname** — Die Subjekte, wie z. B. a `user``group`, oder, `serviceAccountName` die an eine Referenzrolle in einem `RoleBinding` oder gebunden sind`ClusterRoleBinding`.
  + **Rollenname** — Der Name der Rolle, die an der Erstellung oder Änderung von Rollen oder der `roleBinding` API beteiligt ist.

### Volumenbezogene S3-Anomalien
<a name="s3-volume-based-anomalies"></a>

In diesem Abschnitt werden die Kontextinformationen für volumenbasierte S3-Anomalien detailliert beschrieben. Die volumenbasierte Erkenntnis ([Exfiltration:S3/AnomalousBehavior](guardduty_finding-types-s3.md#exfiltration-s3-anomalousbehavior)) überwacht, ob Benutzer ungewöhnlich viele S3-API-Aufrufe an die S3-Buckets tätigen, was auf eine mögliche Datenexfiltration hindeutet. Die folgenden S3-API-Aufrufe werden im Hinblick auf die volumenbasierte Erkennung von Anomalien überwacht.
+ `GetObject`
+ `CopyObject.Read`
+ `SelectObjectContent`

Die folgenden Metriken würden dabei helfen, eine Grundlage für das übliche Verhalten zu schaffen, wenn eine IAM-Entität auf einen S3-Bucket zugreift. Um Datenexfiltration zu erkennen, werden bei der volumenbasierten Erkennung von Anomalien alle Aktivitäten anhand der üblichen Verhaltensgrundlagen bewertet. Wählen Sie die Option **Historisches Verhalten** in den Abschnitten **Ungewöhnliches Verhalten (Benutzeridentität)**, **Beobachtetes Volumen (Benutzeridentität) und **Beobachtetes Volumen (Bucket)**** aus, um jeweils die folgenden Metriken anzuzeigen. 
+ Anzahl der `s3-api-name`-API-Aufrufe, die von dem IAM-Benutzer oder der IAM-Rolle (je nachdem, welche ausgestellt wurde), der/die dem betroffenen S3-Bucket zugeordnet ist, in den letzten 24 Stunden durchgeführt wurden.
+ Anzahl der `s3-api-name`-API-Aufrufe, die vom IAM-Benutzer oder von der IAM-Rolle (je nachdem, welche ausgestellt wurde) der/die allen S3-Buckets zugeordnet ist, in den letzen 24 Stunden durchgeführt wurden.
+ Anzahl der `s3-api-name`-API-Aufrufe über alle IAM-Benutzer oder IAM-Rollen (je nachdem, welche ausgestellt wurden), die dem betroffenen S3-Bucket zugeordnet sind, in den letzten 24 Stunden durchgeführt wurden.

### Anomalien aufgrund von RDS-Anmeldeaktivitäten
<a name="rds-pro-login-anomaly"></a>

In diesem Abschnitt wird die Anzahl der Anmeldeversuche des ungewöhnlichen Akteurs detailliert beschrieben und nach den Ergebnissen der Anmeldeversuche gruppiert. Die [Erkenntnistypen für RDS Protection](findings-rds-protection.md) identifizieren anomales Verhalten, indem sie die Anmeldeereignisse auf ungewöhnliche Muster von `successfulLoginCount`, `failedLoginCount` und `incompleteConnectionCount` überwachen.
+ **successfulLoginCount**— Dieser Zähler stellt die Summe der erfolgreichen Verbindungen (richtige Kombination von Anmeldeattributen) dar, die der ungewöhnliche Akteur mit der Datenbankinstanz hergestellt hat. Zu den Anmeldeattributen gehören Benutzername, Passwort und Datenbankname. 
+ **failedLoginCount**— Dieser Zähler stellt die Summe der fehlgeschlagenen (erfolglosen) Anmeldeversuche dar, die unternommen wurden, um eine Verbindung zur Datenbankinstanz herzustellen. Dies weist darauf hin, dass ein oder mehrere Attribute der Anmeldekombination, wie Benutzername, Passwort oder Datenbankname, falsch waren.
+ **incompleteConnectionCount**— Dieser Zähler stellt die Anzahl der Verbindungsversuche dar, die nicht als erfolgreich oder gescheitert eingestuft werden können. Diese Verbindungen werden geschlossen, bevor die Datenbank eine Antwort liefert. Beispielsweise Port-Scanning, bei dem der Datenbank-Port zwar verbunden ist, aber keine Information an die Datenbank gesendet wird, oder die Verbindung vor Abschluss der Anmeldung entweder erfolgreich oder fehlgeschlagen abgebrochen wurde.

# GuardDuty Aggregation finden
<a name="finding-aggregation"></a>

GuardDuty aktualisiert die generierten Ergebnisse dynamisch. Wenn eine neue Aktivität im Zusammenhang mit demselben Sicherheitsproblem GuardDuty erkannt wird, GuardDuty wird das ursprüngliche Ergebnis nicht erstellt, sondern das ursprüngliche Ergebnis mit den neuesten Details aktualisiert. Dieses Verhalten ermöglicht es Ihnen, alle laufenden Probleme zu identifizieren, ohne mehrere ähnliche Berichte durchsuchen zu müssen, und reduziert das Gesamtvolumen der Ergebnisse für bekannte Sicherheitsprobleme.

Bei der UnauthorizedAccess:EC2/SSHBruteForce Suche werden beispielsweise mehrere Zugriffsversuche auf Ihre Instance zu derselben Finde-ID zusammengefasst, wodurch die **Anzahl** in den Details des Ergebnisses erhöht wird. Dies liegt daran, dass dieses Ergebnis ein einziges Sicherheitsproblem darstellt, wobei die Instance anzeigt, dass der SSH-Port auf der Instance nicht ordnungsgemäß vor dieser Art von Aktivität geschützt ist. Wenn GuardDuty jedoch SSH-Zugriffsaktivitäten für eine neue Instance in Ihrer Umgebung erkennt, wird ein neues Ergebnis mit einer eindeutigen Ergebniskennung erstellt, die Sie darauf hinzuweisen, dass mit der neuen Ressource ein Sicherheitsproblem verbunden ist.

Wenn ein Ergebnis aggregiert wird, wird es mit Informationen aus dem letzten Ereignis dieser Aktivität aktualisiert. Das bedeutet, dass im obigen Beispiel, wenn Ihre Instance das Ziel eines Brute-Force-Versuchs von einem neuen Akteur ist, die Erkenntnisdetails aktualisiert werden, um die Remote-IP der jüngsten Quelle wiederzugeben, und ältere Informationen ersetzt werden. Vollständige Informationen zu einzelnen Aktivitätsversuchen sind weiterhin in Ihren CloudTrail Protokollen oder VPC Flow Logs verfügbar.

Die Kriterien, GuardDuty nach denen ein neues Ergebnis generiert wird, anstatt ein vorhandenes zu aggregieren, hängen vom Typ des Ergebnisses ab. Die Aggregationskriterien für jeden Befundtyp werden von unseren Sicherheitstechnikern festgelegt, um einen Überblick über die verschiedenen Sicherheitsprobleme in Ihrem Konto zu bieten.

Wenn in Ihrem Konto ein Erkennungstyp für eine Angriffssequenz GuardDuty generiert wird, wird das Ergebnis nur dann aggregiert, wenn Sie ähnliche Signale in derselben Reihenfolge in Ihrem Konto GuardDuty identifizieren. Andernfalls GuardDuty wird eine weitere Angriffssequenz generiert.