Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erste Schritte mit GuardDuty
Dieses Tutorial bietet eine praktische Einführung in. GuardDuty Die Mindestanforderungen für die Aktivierung GuardDuty als eigenständiges Konto oder als GuardDuty Administrator mit AWS Organizations werden in Schritt 1 behandelt. Die Schritte 2 bis 5 behandeln die Verwendung zusätzlicher Funktionen, die von empfohlen werden GuardDuty , um das Beste aus Ihren Ergebnissen herauszuholen.
**Topics**
+ [Bevor Sie beginnen](#setup-before)
+ [Schritt 1: Amazon aktivieren GuardDuty](#guardduty_enable-gd)
+ [Schritt 2: Beispiel-Erkenntnisse generieren und die grundlegenden Abläufe erkunden](#startup-samples)
+ [Schritt 3: Konfigurieren Sie den Export von GuardDuty Ergebnissen in einen Amazon S3 S3-Bucket](#setup-export)
+ [Schritt 4: Richten Sie die GuardDuty Suche nach Benachrichtigungen über SNS ein](#setup-sns)
+ [Nächste Schritte](#setup_beyond)
## Bevor Sie beginnen
GuardDuty ist ein Dienst zur Bedrohungserkennung, [Grundlegende Datenquellen](guardduty_data-sources.md) der AWS CloudTrail Verwaltungsereignisse, Amazon VPC Flow Logs und Amazon Route 53 Resolver DNS-Abfrageprotokolle überwacht. GuardDutyanalysiert auch Funktionen, die mit seinen Schutztypen verknüpft sind, nur wenn Sie sie separat aktivieren. Zu den [Funktionen](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-features-activation-model.html) gehören Kubernetes-Auditprotokolle, RDS-Anmeldeaktivitäten, AWS CloudTrail Datenereignisse für Amazon S3, Amazon EBS-Volumes, Runtime Monitoring und Lambda-Netzwerkaktivitätsprotokolle. Durch die Verwendung dieser Datenquellen und Funktionen (sofern aktiviert) werden Sicherheitslücken für GuardDuty Ihr Konto generiert.
Nach der Aktivierung beginnt es GuardDuty, Ihr Konto auf der Grundlage der Aktivitäten in grundlegenden Datenquellen auf potenzielle Bedrohungen zu überwachen. Standardmäßig [Erweiterte Bedrohungserkennung](guardduty-extended-threat-detection.md) ist es für alle aktiviert, AWS-Konten die es aktiviert GuardDuty haben. Diese Funktion erkennt mehrstufige Angriffssequenzen, die sich über mehrere grundlegende Datenquellen, AWS Ressourcen und Zeiträume in Ihrem Konto erstrecken. Um potenzielle Bedrohungen für bestimmte AWS Ressourcen zu erkennen, können Sie sich dafür entscheiden, anwendungsfallorientierte Schutzpläne zu aktivieren, die Folgendes bieten: GuardDuty Weitere Informationen finden Sie unter [Eigenschaften von GuardDuty](what-is-guardduty.md#features-of-guardduty).
Sie müssen keine der grundlegenden Datenquellen explizit aktivieren. Wenn Sie S3 Protection aktivieren, müssen Sie die Amazon S3 S3-Datenereignisprotokollierung nicht explizit aktivieren. Ebenso müssen Sie bei der Aktivierung von EKS Protection die Amazon EKS-Audit-Logs nicht explizit aktivieren. Amazon GuardDuty bezieht unabhängige Datenströme direkt von diesen Diensten.
Für ein neues GuardDuty Konto sind einige der verfügbaren Schutzarten, die in einem unterstützt werden, AWS-Region standardmäßig aktiviert und in der 30-tägigen kostenlosen Testphase enthalten. Sie können einen oder alle von ihnen deaktivieren. Wenn Sie bereits AWS-Konto mit GuardDuty aktiviert sind, können Sie wählen, ob Sie einige oder alle Schutzpläne aktivieren möchten, die in Ihrer Region verfügbar sind. Eine Übersicht über die Schutzpläne und darüber, welche Schutzpläne standardmäßig aktiviert werden, finden Sie unter[Preisgestaltung in GuardDuty](guardduty-pricing.md).
**Beachten Sie bei der Aktivierung GuardDuty die folgenden Punkte**:
+ GuardDuty ist ein regionaler Dienst, was bedeutet, dass alle Konfigurationsverfahren, die Sie auf dieser Seite ausführen, in jeder Region, mit der Sie überwachen möchten, wiederholt werden müssen GuardDuty.
Wir empfehlen dringend, die Aktivierung GuardDuty in allen unterstützten AWS Regionen durchzuführen. Auf diese Weise können GuardDuty auch in Regionen, die Sie nicht aktiv nutzen, Erkenntnisse über unbefugte oder ungewöhnliche Aktivitäten generiert werden. Dies ermöglicht auch GuardDuty die Überwachung von AWS CloudTrail Ereignissen für globale AWS Dienste wie IAM. Wenn diese Option nicht in allen unterstützten Regionen aktiviert GuardDuty ist, ist ihre Fähigkeit zur Erkennung von Aktivitäten, die globale Dienste betreffen, eingeschränkt. Eine vollständige Liste der Regionen, in denen GuardDuty es verfügbar ist, finden Sie unter[Regionen und Endpunkte](guardduty_regions.md).
+ Jeder Benutzer mit Administratorrechten in einem AWS Konto kann diese Option aktivieren GuardDuty. Gemäß der bewährten Sicherheitsmethode der geringsten Rechte wird jedoch empfohlen, eine IAM-Rolle, einen Benutzer oder eine Gruppe zu erstellen, die GuardDuty speziell verwaltet werden soll. Informationen zu den für die Aktivierung erforderlichen Berechtigungen GuardDuty finden Sie unter[Für die Aktivierung sind Berechtigungen erforderlich GuardDuty](security_iam_id-based-policy-examples.md#guardduty_enable-permissions).
+ Wenn Sie es GuardDuty zum ersten Mal in einer beliebigen AWS-Region Region aktivieren, werden standardmäßig auch alle verfügbaren Schutztypen aktiviert, die in dieser Region unterstützt werden, einschließlich Malware Protection for EC2. GuardDuty erstellt eine dienstverknüpfte Rolle für Ihr Konto namens. `AWSServiceRoleForAmazonGuardDuty` Diese Rolle umfasst die Berechtigungen und Vertrauensrichtlinien, die es ermöglichen, Ereignisse direkt aus GuardDuty dem zu verarbeiten und zu analysieren, [GuardDuty grundlegende Datenquellen](guardduty_data-sources.md) um daraus Sicherheitsresultate zu generieren. Malware Protection for EC2 erstellt eine weitere dienstbezogene Rolle für Ihr Konto mit dem Namen. `AWSServiceRoleForAmazonGuardDutyMalwareProtection` Diese Rolle umfasst die Berechtigungen und Vertrauensrichtlinien, die es Malware Protection for EC2 ermöglichen, Scans ohne Agenten durchzuführen, um Malware in Ihrem Konto zu erkennen. GuardDuty Sie ermöglicht es GuardDuty , einen EBS-Volume-Snapshot in Ihrem Konto zu erstellen und diesen Snapshot mit dem GuardDuty Dienstkonto zu teilen. Weitere Informationen finden Sie unter [Service-linked Rollenberechtigungen für GuardDuty](slr-permissions.md). Weitere Informationen zu serviceverknüpften Rollen finden Sie unter [Verwenden serviceverknüpfter Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html).
+ Wenn Sie Ihr Konto GuardDuty zum ersten Mal in einer Region aktivieren, wird Ihr AWS Konto automatisch für eine GuardDuty kostenlose 30-Tage-Testversion für diese Region registriert.
Im folgenden Video wird erklärt, wie Sie mit einem Administratorkonto beginnen GuardDuty und es für mehrere Mitgliedskonten aktivieren können.
[](http://www.youtube.com/watch?v=0vIzHOQvjYU)
## Schritt 1: Amazon aktivieren GuardDuty
Der erste Schritt zur Verwendung GuardDuty besteht darin, es in Ihrem Konto zu aktivieren. Nach der Aktivierung GuardDuty wird sofort mit der Überwachung auf Sicherheitsbedrohungen in der aktuellen Region begonnen.
Wenn Sie die GuardDuty Ergebnisse für andere Konten innerhalb Ihrer Organisation als GuardDuty Administrator verwalten möchten, müssen Sie Mitgliedskonten hinzufügen und diese ebenfalls aktivieren GuardDuty .
**Anmerkung**
Wenn Sie den GuardDuty Malware-Schutz für S3 ohne Aktivierung aktivieren möchten GuardDuty, finden Sie die entsprechenden Schritte unter[GuardDuty Malware-Schutz für S3](gdu-malware-protection-s3.md).
------
#### [ Standalone account environment ]
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
1. Wählen Sie die Option **Amazon GuardDuty — Alle Funktionen**.
1. Wählen Sie **Erste Schritte**.
1. Sehen Sie **sich auf der GuardDuty Seite Willkommen bei** die Servicebedingungen an. Wählen Sie **Enable (Aktivieren) GuardDuty** aus.
------
#### [ Multi-account environment ]
**Wichtig**
Voraussetzung für diesen Vorgang ist, dass Sie derselben Organisation angehören wie alle Konten, die Sie verwalten möchten, und Zugriff auf das AWS Organizations Verwaltungskonto haben müssen, um einen Administrator GuardDuty innerhalb Ihrer Organisation delegieren zu können. Für die Delegierung eines Administrators sind möglicherweise zusätzliche Berechtigungen erforderlich. Weitere Informationen finden Sie unter [Für die Benennung eines delegierten GuardDuty Administratorkontos sind Berechtigungen erforderlich](organizations_permissions.md).
**Um ein GuardDuty delegiertes Administratorkonto zu bestimmen**
1. Öffnen Sie die AWS Organizations Konsole unter [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/)und verwenden Sie das Verwaltungskonto.
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
Ist in Ihrem Konto GuardDuty bereits aktiviert?
+ Falls GuardDuty es noch nicht aktiviert ist, können Sie **Erste Schritte** auswählen und dann auf der Seite **Willkommen GuardDuty bei** einen GuardDuty delegierten Administrator benennen.
+ **Wenn diese Option aktiviert GuardDuty ist, können Sie auf der Seite Einstellungen einen GuardDuty delegierten Administrator benennen.**
1. **Geben Sie die zwölfstellige AWS Konto-ID des Kontos ein, das Sie als delegierten Administrator für die Organisation festlegen möchten, und wählen Sie GuardDuty Delegieren aus.**
**Anmerkung**
Falls dies noch nicht aktiviert GuardDuty ist, wird durch die Benennung eines delegierten Administrators die Aktivierung GuardDuty für dieses Konto in Ihrer aktuellen Region aktiviert.
**So fügen Sie Mitgliedskonten hinzu**
Dieses Verfahren umfasst das Hinzufügen von Mitgliederkonten zu einem GuardDuty delegierten Administratorkonto durch. AWS Organizations Es besteht auch die Möglichkeit, Mitglieder auf Einladung hinzuzufügen. Weitere Informationen zu beiden Methoden zum Zuordnen von Mitgliedern finden Sie GuardDuty unter. [Mehrere Konten bei Amazon GuardDuty](guardduty_accounts.md)
1. Melden Sie sich im delegierten Administratorkonto an
1. Öffnen Sie die GuardDuty Konsole unter. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
1. Wählen Sie im Navigationsbereich **Settings (Einstellungen)** und dann **Accounts (Konten)** aus.
In der Kontentabelle werden alle Konten in der Organisation angezeigt.
1. Wählen Sie die Konten aus, die Sie als Mitglieder hinzufügen möchten, indem Sie das Kontrollkästchen neben der Konto-ID aktivieren. Wählen Sie dann im Menü **Aktion** die Option **Mitglied hinzufügen**.
**Tipp**
Sie können das Hinzufügen neuer Konten als Mitglieder automatisieren, indem Sie die **Auto-enable**Funktion aktivieren. Dies gilt jedoch nur für Konten, die Ihrer Organisation beitreten, nachdem die Funktion aktiviert wurde.
------
## Schritt 2: Beispiel-Erkenntnisse generieren und die grundlegenden Abläufe erkunden
Wenn ein Sicherheitsproblem GuardDuty entdeckt wird, wird ein Befund generiert. Ein GuardDuty Befund ist ein Datensatz, der Details zu diesem speziellen Sicherheitsproblem enthält. Die Einzelheiten der Erkenntnis können Ihnen bei der Untersuchung des Problems helfen.
GuardDuty unterstützt die Generierung von Stichprobenergebnissen mit Platzhalterwerten, anhand derer Sie die GuardDuty Funktionalität testen und sich mit den Ergebnissen vertraut machen können, bevor Sie auf ein echtes Sicherheitsproblem reagieren müssen, das von entdeckt wurde. GuardDuty Folgen Sie der nachstehenden Anleitung, um Beispielergebnisse für jeden Befundtyp zu generieren GuardDuty, der unter verfügbar ist. Weitere Möglichkeiten zur Generierung von Stichprobenergebnissen, einschließlich der Generierung eines simulierten Sicherheitsereignisses in Ihrem Konto, finden Sie unter. [Beispielerkenntnisse](sample_findings.md)
**So erstellen und untersuchen Sie Beispiel-Erkenntnisse**
1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).
1. Klicken Sie auf der Seite **Settings** unter **Sample findings** auf **Generate sample findings**.
1. Wählen Sie im Navigationsbereich **Zusammenfassung** aus, um die in Ihrer AWS Umgebung generierten Erkenntnisse zu den Ergebnissen anzuzeigen. Weitere Informationen zu den Komponenten des Übersichts-Dashboards finden Sie unter [Übersichts-Dashboard in Amazon GuardDuty](guardduty-summary.md).
1. Wählen Sie im Navigationsbereich **Findings** aus. Die Beispiel-Erkenntnisse werden auf der Seite **Aktuelle Erkenntnisse** mit dem Präfix **[SAMPLE]** angezeigt.
1. Wählen Sie eine Erkenntnis aus der Liste aus, um Details zur Erkenntnis anzuzeigen.
1. Sie können die verschiedenen Informationsfelder überprüfen, die im Bereich mit den Erkenntnisdetails verfügbar sind. Verschiedene Arten von Erkenntnissen können unterschiedliche Felder haben. Weitere Informationen zu den verfügbaren Feldern für alle Erkenntnistypen finden Sie unter [Erkenntnisdetails](guardduty_findings-summary.md). In der Detailansicht können Sie die folgenden Aktionen durchführen:
+ Wählen Sie oben im Bereich die **Erkenntnis-ID** aus, um die vollständigen JSON-Details für die Erkenntnis zu öffnen. Die vollständige JSON-Datei kann auch von dieser Ansicht heruntergeladen werden. Das JSON enthält einige zusätzliche Informationen, die nicht in der Konsolenansicht enthalten sind. Es ist das Format, das von anderen Tools und Services aufgenommen werden kann.
+ Sehen Sie sich den Abschnitt **Betroffene Ressource** an. Bei einem echten Ergebnis helfen Ihnen die Informationen hier dabei, eine Ressource in Ihrem Konto zu identifizieren, die untersucht werden sollte, und sie enthalten Links zu den entsprechenden AWS-Managementkonsole Ressourcen, die umsetzbar sind.
+ Wählen Sie das \+ oder - beim Lupensymbol, um einen inklusiven oder exklusiven Filter für dieses Detail zu erstellen. Weitere Informationen zu Filtern finden Sie unter [Ergebnisse filtern in GuardDuty](guardduty_filter-findings.md).
1. Archivieren Sie all Ihre Beispiel-Erkenntnisse
1. Wählen Sie alle Erkenntnisse aus, indem Sie das Kontrollkästchen oben in der Liste aktivieren.
1. Deaktivieren Sie alle Erkenntnisse, die Sie behalten möchten.
1. Wählen Sie das Menü **Aktionen** und dann **Archivieren**, um die Beispiel-Erkenntnisse auszublenden.
**Anmerkung**
Um die archivierten Erkenntnisse anzuzeigen, wählen Sie **Aktuell** und dann **Archiviert**, um zur Erkenntnisansicht zu wechseln.
## Schritt 3: Konfigurieren Sie den Export von GuardDuty Ergebnissen in einen Amazon S3 S3-Bucket
GuardDuty empfiehlt, Einstellungen für den Export von Ergebnissen zu konfigurieren, da Sie so Ihre Ergebnisse in einen S3-Bucket exportieren können, um sie nach Ablauf der Aufbewahrungsfrist von GuardDuty 90 Tagen auf unbestimmte Zeit zu speichern. Auf diese Weise können Sie Aufzeichnungen über die Ergebnisse führen oder Probleme in Ihrer AWS Umgebung im Laufe der Zeit verfolgen. GuardDuty verschlüsselt die Ergebnisdaten in Ihrem S3-Bucket mithilfe von AWS Key Management Service (AWS KMS key). Um die Einstellungen zu konfigurieren, müssen Sie GuardDuty der Berechtigung einen KMS-Schlüssel geben. Ausführlichere Schritte finden Sie unter[Generierte Ergebnisse nach Amazon S3 exportieren](guardduty_exportfindings.md).
**Um GuardDuty Ergebnisse in einen Amazon S3 S3-Bucket zu exportieren**
1.
**Richtlinie an KMS-Schlüssel anhängen**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Konsole AWS Key Management Service (AWS KMS) unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**.
1. *Wählen Sie einen vorhandenen KMS-Schlüssel aus, oder führen Sie die Schritte zum [Erstellen eines KMS-Schlüssels mit symmetrischer Verschlüsselung](https://docs.aws.amazon.com/kms/latest/developerguide/create-symmetric-cmk.html) im Entwicklerhandbuch aus.AWS Key Management Service *
Die Region Ihres KMS-Schlüssels und Ihres Amazon S3 S3-Buckets müssen identisch sein.
Kopieren Sie den Schlüssel ARN auf einen Notizblock, um ihn in den späteren Schritten zu verwenden.
1. Wählen Sie im Abschnitt **Schlüsselrichtlinie** Ihres KMS-Schlüssels die Option **Bearbeiten** aus. Wenn **Zur Richtlinienansicht wechseln** angezeigt wird, wählen Sie diese aus, um die **Schlüsselrichtlinie** anzuzeigen, und klicken Sie dann auf **Bearbeiten**.
1. Kopieren Sie den folgenden Richtlinienblock in Ihre KMS-Schlüsselrichtlinie:
```
{
"Sid": "AllowGuardDutyKey",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "kms:GenerateDataKey",
"Resource": "{{KMS key ARN}}",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:{{Region2}}:{{123456789012}}:detector/{{SourceDetectorID}}"
}
}
}
```
Bearbeiten Sie die Richtlinie, indem Sie die folgenden Werte ersetzen, die *{{red}}*im Richtlinienbeispiel formatiert sind:
1. {{KMS key ARN}}Ersetzen Sie durch den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels. Informationen zur Suche nach dem Schlüssel-ARN [finden Sie unter Suchen der Schlüssel-ID und des ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) im *AWS Key Management Service Entwicklerhandbuch*.
1. {{123456789012}}Ersetzen Sie es durch die AWS-Konto ID, der das GuardDuty Konto gehört, das die Ergebnisse exportiert.
1. {{Region2}}Ersetzen Sie durch den AWS-Region Ort, an dem die GuardDuty Ergebnisse generiert wurden.
1. {{SourceDetectorID}}Ersetzen Sie es durch das GuardDuty Konto in der spezifischen Region, in der die Ergebnisse generiert wurden. `detectorID`
Das `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
1.
**Richtlinie an Amazon S3 S3-Bucket anhängen**
Wenn Sie noch keinen Amazon S3 S3-Bucket haben, in den Sie diese Ergebnisse exportieren möchten, finden Sie weitere Informationen unter [Erstellen eines Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) im *Amazon S3 S3-Benutzerhandbuch*.
1. Führen Sie die Schritte unter [So erstellen oder bearbeiten Sie eine Bucket-Richtlinie](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) im *Amazon S3 S3-Benutzerhandbuch* aus, bis die Seite **Bucket-Richtlinie bearbeiten** angezeigt wird.
1. Die **Beispielrichtlinie** zeigt, wie Sie die GuardDuty Erlaubnis zum Exportieren von Ergebnissen in Ihren Amazon S3 S3-Bucket erteilen. Wenn Sie den Pfad ändern, nachdem Sie Exportergebnisse konfiguriert haben, müssen Sie die Richtlinie ändern, um die Erlaubnis für den neuen Speicherort zu erteilen.
Kopieren Sie die folgende **Beispielrichtlinie** und fügen Sie sie in den **Bucket-Richtlinieneditor** ein.
Wenn Sie die Richtlinienerklärung vor der endgültigen Aussage hinzugefügt haben, fügen Sie vor dem Hinzufügen dieser Aussage ein Komma hinzu. Stellen Sie sicher, dass die JSON-Syntax Ihrer KMS-Schlüsselrichtlinie gültig ist.
**Beispiel für eine S3-Bucket-Richtlinie**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow GetBucketLocation",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}",
"aws:SourceArn": "arn:aws:guardduty:{{us-east-2}}:{{123456789012}}:detector/{{SourceDetectorID}}"
}
}
},
{
"Sid": "Allow PutObject",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}[optional prefix]/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}",
"aws:SourceArn": "arn:aws:guardduty:{{us-east-2}}:{{123456789012}}:detector/{{SourceDetectorID}}"
}
}
},
{
"Sid": "Deny unencrypted object uploads",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "Deny incorrect encryption header",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:{{us-east-2}}:{{111122223333}}:key/{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}"
}
}
},
{
"Sid": "Deny non-HTTPS access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}[optional prefix]/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
1. Bearbeiten Sie die Richtlinie, indem Sie die folgenden Werte ersetzen, die *{{red}}*im Richtlinienbeispiel formatiert sind:
1. {{Amazon S3 bucket ARN}}Ersetzen Sie es durch den Amazon-Ressourcennamen (ARN) des Amazon S3-Buckets. Sie finden den **Bucket-ARN** auf der Seite **Bucket-Richtlinie bearbeiten** in der [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)Konsole.
1. {{123456789012}}Ersetzen Sie ihn durch die AWS-Konto ID, der das GuardDuty Konto gehört, das die Ergebnisse exportiert.
1. {{Region2}}Ersetzen Sie durch den AWS-Region Ort, an dem die GuardDuty Ergebnisse generiert wurden.
1. {{SourceDetectorID}}Ersetzen Sie es durch das GuardDuty Konto in der spezifischen Region, in der die Ergebnisse generiert wurden. `detectorID`
Das `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
1. Ersetzen Sie einen {{[optional prefix]}} Teil des {{S3 bucket ARN/[optional prefix]}} Platzhalterwerts durch einen optionalen Ordnerspeicherort, in den Sie die Ergebnisse exportieren möchten. Weitere Informationen zur Verwendung von Präfixen finden Sie unter [Objekte mithilfe von Präfixen organisieren](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html) im *Amazon S3 S3-Benutzerhandbuch*.
Wenn Sie einen optionalen Ordnerspeicherort angeben, der noch nicht existiert, GuardDuty wird dieser Speicherort nur erstellt, wenn das mit dem S3-Bucket verknüpfte Konto mit dem Konto identisch ist, das die Ergebnisse exportiert. Wenn Sie Ergebnisse in einen S3-Bucket exportieren, der zu einem anderen Konto gehört, muss der Speicherort des Ordners bereits vorhanden sein.
1. {{KMS key ARN}}Ersetzen Sie ihn durch den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels, der mit der Verschlüsselung der in den S3-Bucket exportierten Ergebnisse verknüpft ist. Informationen zur Suche nach dem Schlüssel-ARN [finden Sie unter Suchen der Schlüssel-ID und des ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) im *AWS Key Management Service Entwicklerhandbuch*.
1.
**Schritte in der GuardDuty Konsole**
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).
1. Wählen Sie auf der Seite **Einstellungen** unter **Exportoptionen für Ergebnisse** für den **S3-Bucket** die Option **Jetzt konfigurieren** (oder je nach Bedarf **Bearbeiten**) aus.
1. Geben Sie für den **S3-Bucket ARN** **bucket ARN** den ein, an den Sie die Ergebnisse senden möchten. Informationen zum [Anzeigen des Bucket-ARN finden Sie unter Eigenschaften für einen S3-Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html) anzeigen im *Amazon S3 S3-Benutzerhandbuch*.
1. Geben Sie für **KMS-Schlüssel-ARN** den ein**key ARN**. Informationen zum Auffinden des Schlüssel-ARN [finden Sie unter Suchen der Schlüssel-ID und des Schlüssel-ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) im *AWS Key Management Service Entwicklerhandbuch*.
1. Wählen Sie **Speichern**.
## Schritt 4: Richten Sie die GuardDuty Suche nach Benachrichtigungen über SNS ein
GuardDuty integriert sich in Amazon EventBridge, wodurch Ergebnisdaten zur Verarbeitung an andere Anwendungen und Dienste gesendet werden können. Mit EventBridge Hilfe von GuardDuty Ergebnissen können Sie automatische Antworten auf Ihre Ergebnisse einleiten, indem Sie Findereignisse mit Zielen wie AWS Lambda Funktionen, Amazon EC2 Systems Manager Manager-Automatisierung, Amazon Simple Notification Service (SNS) und mehr verknüpfen.
In diesem Beispiel erstellen Sie ein SNS-Thema, das das Ziel einer EventBridge Regel sein soll. Anschließend erstellen Sie EventBridge eine Regel, die Ergebnisdaten erfasst. GuardDuty Die resultierende Regel leitet die Erkenntnisdetails an eine E-Mail-Adresse weiter. Weitere Informationen dazu, wie Sie Erkenntnisse an Slack oder Amazon Chime senden und auch die Arten der Benachrichtigungen zu Erkenntnissen ändern können, finden Sie unter [Ein Amazon SNS SNS-Thema und einen Endpunkt einrichten](guardduty_findings_eventbridge.md#guardduty-eventbridge-set-up-sns-and-endpoint).
**So erstellen Sie ein SNS-Thema für Ihre Benachrichtigungen zu Erkenntnissen**
1. Öffnen Sie die Amazon-SNS-Konsole unter [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home).
1. Wählen Sie im Navigationsbereich **Themen** aus.
1. Wählen Sie **Create Topic (Thema erstellen)** aus.
1. Wählen Sie für **Typ** die Option **Standard**.
1. Geben Sie unter **Name** **GuardDuty** ein.
1. Wählen Sie **Create Topic (Thema erstellen)** aus. Die Themendetails für Ihr neues Thema werden geöffnet.
1. Wählen Sie im Abschnitt **Subscriptions (Abonnements)** die Option **Create subscription (Abonnement erstellen)** aus.
1. Wählen Sie unter **Protocol (Protokoll)** die Option **Email (E-Mail)** aus.
1. Geben Sie als **Endpunkt** die E-Mail-Adresse ein, an die Benachrichtigungen gesendet werden sollen.
1. Wählen Sie **Create subscription** (Abonnement erstellen) aus.
Sie müssen Ihre E-Mail-Adresse bestätigen, nachdem Sie das Abonnement erstellt haben.
1. Um nach einer Abonnementnachricht zu suchen, gehen Sie zu Ihrem E-Mail-Posteingang und wählen Sie in der Abonnementnachricht die Option **Abonnement bestätigen**.
**Anmerkung**
Um den Status der E-Mail-Bestätigung zu überprüfen, rufen Sie die SNS-Konsole auf und wählen Sie **Abonnements**.
**Um eine EventBridge Regel zu erstellen, um GuardDuty Ergebnisse zu erfassen und zu formatieren**
1. Öffnen Sie die EventBridge Konsole unter [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Wählen Sie im Navigationsbereich **Regeln** aus.
1. Wählen Sie **Regel erstellen** aus.
1. Geben Sie einen Namen und eine Beschreibung für die Regel ein.
Eine Regel darf nicht denselben Namen wie eine andere Regel in derselben Region und auf demselben Event Bus haben.
1. Bei **Event bus** (Ereignisbus) wählen Sie **default** (Standard) aus.
1. Bei **Regeltyp** wählen Sie **Regel mit einem Ereignismuster** aus.
1. Wählen Sie **Weiter** aus.
1. Wählen Sie unter **Event source** (Ereignisquelle) **AWS events** (Ereignisse) aus.
1. Wählen Sie für **Ereignismuster** die Option **Ereignismusterformular**.
1. Als **Event source** (Ereignisquelle) wählen Sie **AWS -Services** aus.
1. Wählen Sie unter **AWS -Service** die Option **GuardDuty** aus.
1. Wählen Sie als **Ereignistyp** die Option **GuardDutyFinding** aus.
1. Wählen Sie **Weiter** aus.
1. Bei **Zieltypen** wählen Sie **AWS -Service** aus.
1. Wählen Sie für **Ziel auswählen** das **SNS-Thema** und für **Thema** den Namen des SNS-Themas, das Sie zuvor erstellt haben.
1. Wählen Sie im Abschnitt **Zusätzliche Einstellungen** unter **Zieleingabe konfigurieren** die Option **Eingabe-Transformer**.
Durch das Hinzufügen eines Eingangstransformators werden die gesendeten JSON-Suchdaten GuardDuty in eine für Menschen lesbare Nachricht formatiert.
1. Wählen Sie **Configure input transformer** (Eingabetransformator konfigurieren).
1. Fügen Sie im Abschnitt **Ziel-Eingabe-Transformer** für **Eingabepfad** den folgenden Code ein:
```
{
"severity": "$.detail.severity",
"Finding_ID": "$.detail.id",
"Finding_Type": "$.detail.type",
"region": "$.region",
"Finding_Description": "$.detail.description"
}
```
1. Um die E-Mail zu formatieren, fügen Sie für **Template** den folgenden Code ein und achten Sie darauf, den roten Text durch die Werte zu ersetzen, die Ihrer Region entsprechen:
```
"You have a severity <{{severity}}> GuardDuty finding type <{{Finding_Type}}> in the <{{region}}> region."
"Finding Description:"
"<{{Finding_Description}}>."
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=<{{region}}>#/findings?search=id%3D<{{Finding_ID}}>"
```
1. Wählen Sie **Bestätigen** aus.
1. Wählen Sie **Weiter** aus.
1. (Optional) Geben Sie ein oder mehrere Tags für die Regel ein. Weitere Informationen finden Sie unter [ EventBridge Amazon-Tags](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) im * EventBridge Amazon-Benutzerhandbuch*.
1. Wählen Sie **Weiter** aus.
1. Überprüfen Sie die Details der Regel und wählen Sie dann **Regel erstellen** aus.
1. (Optional) Testen Sie Ihre neue Regel, indem Sie anhand des in Schritt 2 beschriebenen Prozesses Beispiel-Erkenntnisse generieren. Sie erhalten für jede generierte Beispiel-Erkenntnis eine E-Mail.
## Nächste Schritte
Wenn Sie die Nutzung fortsetzen GuardDuty, werden Sie verstehen, welche Arten von Ergebnissen für Ihre Umgebung relevant sind. Wenn Sie eine neue Erkenntnis erhalten, können Sie Informationen, einschließlich Empfehlungen zur Problembehebung, zu dieser Erkenntnis finden, indem Sie in der Beschreibung der Erkenntnis im Bereich mit den Erkenntnisdetails die Option **Weitere Informationen** auswählen oder indem Sie unter nach dem Namen der Erkenntnis in [GuardDuty Typen finden](guardduty_finding-types-active.md) suchen.
Die folgenden Funktionen helfen Ihnen bei der Feinabstimmung, GuardDuty sodass die relevantesten Ergebnisse für Ihre AWS Umgebung bereitgestellt werden können:
+ Um Ergebnisse auf einfache Weise nach bestimmten Kriterien wie Instanz-ID, Konto-ID, S3-Bucket-Name und mehr zu sortieren, können Sie darin Filter erstellen und speichern GuardDuty. Weitere Informationen finden Sie unter [Ergebnisse filtern in GuardDuty](guardduty_filter-findings.md).
+ Wenn Sie Erkenntnisse zu erwartetem Verhalten in Ihrer Umgebung erhalten, können Sie die Erkenntnisse anhand der Kriterien, die Sie mit [Unterdrückungsregeln](findings_suppression-rule.md) definieren, automatisch archivieren.
+ Um zu verhindern, dass Ergebnisse anhand einer Teilmenge vertrauenswürdiger IPs generiert werden, oder um GuardDuty Monitor-IPs außerhalb des normalen Überwachungsbereichs zu platzieren, können Sie [Listen vertrauenswürdiger IP-Adressen und Bedrohungen](guardduty_upload-lists.md) einrichten.