Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Protokollierung Amazon GuardDuty Amazon-API-Aufrufen mit AWS CloudTrail
<a name="logging-using-cloudtrail"></a>

Amazon GuardDuty ist in einen Service integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Service in ausgeführt wurden GuardDuty. CloudTrail erfasst alle API-Aufrufe GuardDuty als Ereignisse, einschließlich Aufrufe von der GuardDuty Konsole und von Codeaufrufen an die GuardDuty APIs. Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Übermittlung von CloudTrail Ereignissen an einen Amazon Simple Storage Service (Amazon S3) -Bucket aktivieren, einschließlich Ereignissen für GuardDuty. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem in der CloudTrail Konsole im **Ereignisverlauf** anzeigen. Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, an die die Anfrage gestellt wurde GuardDuty, die IP-Adresse, von der die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln. 

Weitere Informationen dazu CloudTrail, einschließlich der Konfiguration und Aktivierung, finden Sie im *[AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)*.

## GuardDuty Informationen in CloudTrail
<a name="service-name-info-in-cloudtrail"></a>

CloudTrail ist in Ihrem AWS Konto aktiviert, wenn Sie das Konto erstellen. Wenn unterstützte Ereignisaktivitäten in auftreten GuardDuty, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen im CloudTrail **Ereignisverlauf in einem Ereignis** aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem AWS Konto ansehen, suchen und herunterladen. Weitere Informationen finden Sie unter [Ereignisse mit CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html). 

Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem AWS Konto, einschließlich der Ereignisse für GuardDuty, erstellen Sie einen Trail. Ein Trail ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie ein Trail in der Konsole anlegen, gilt dieser für alle Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie unter: 
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [In CloudTrail unterstützte Services und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)

Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte: 
+ Ob die Anfrage mit Anmeldeinformationen des Root-Benutzers oder des IAM-Benutzers gestellt wurde
+ Ob die Anfrage mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen föderierten Benutzer ausgeführt wurde
+ Ob die Anfrage von einem anderen AWS Dienst gestellt wurde

Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).

## GuardDuty Ereignisse auf der Kontrollebene in CloudTrail
<a name="guardduty-control-plane-events-in-cloudtrail"></a>

Standardmäßig CloudTrail protokolliert es alle GuardDuty API-Operationen, die in der [Amazon GuardDuty API-Referenz](https://docs.aws.amazon.com/guardduty/latest/APIReference/) bereitgestellt werden, als Ereignisse in CloudTrail Dateien.

## GuardDuty Datenereignisse in CloudTrail
<a name="guardduty-data-events-in-cloudtrail"></a>

[GuardDuty Überwachung der Laufzeit](runtime-monitoring.md)verwendet einen GuardDuty Sicherheitsagenten, der auf Ihren Amazon Elastic Kubernetes Service (Amazon EKS) -Clustern, Amazon Elastic Compute Cloud (Amazon EC2) -Instances und AWS Fargate (nur Amazon Elastic Container Service (Amazon ECS)) Aufgaben installiert ist, um Add-on (`aws-guardduty-agent`) zu sammeln, die [Gesammelte Laufzeit-Ereignistypen](runtime-monitoring-collected-events.md) für Ihre AWS Workloads gesammelt werden, und sendet sie dann zur Bedrohungserkennung und GuardDuty -analyse an.

### Protokollierung und Überwachung von Datenereignissen
<a name="runtime-monitoring-add-on-cloudtrail-logs"></a>

Sie können die AWS CloudTrail Protokolle optional so konfigurieren, dass die Datenereignisse für Ihren Security Agent angezeigt werden. GuardDuty 

Informationen zum Erstellen und Konfigurieren CloudTrail finden Sie unter [Datenereignisse](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events) im *AWS CloudTrail Benutzerhandbuch* und folgen Sie den Anweisungen zur **Protokollierung von Datenereignissen mit erweiterten Ereignisauswahlmöglichkeiten in der AWS-Managementkonsole**. Wenn Sie den Trail protokollieren, stellen Sie sicher, dass Sie die folgenden Änderungen vornehmen:
+ Wählen Sie für den **Ereignistyp „Daten**“ die Option **GuardDutyDetektor** aus.
+ Wählen Sie für die **Protokollauswahlvorlage** die Option **Alle Ereignisse protokollieren** aus.
+ Erweitern Sie die **JSON-Ansicht** für die Konfiguration. Die Ausgabe sollte ähnlich dem folgenden JSON aussehen:

  ```
  [
    {
      "name": "",
      "fieldSelectors": [
        {
          "field": "eventCategory",
          "equals": [
            "Data"
          ]
        },
        {
          "field": "resources.type",
          "equals": [
            "AWS::GuardDuty::Detector"
          ]
        }
      ]
    }
  ]
  ```

Nachdem Sie den Selektor für den Trail aktiviert haben, navigieren Sie zur Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/). Sie können die Datenereignisse aus Ihrem S3-Bucket herunterladen, den Sie bei der Konfiguration der CloudTrail Protokolle ausgewählt haben.

# Beispiel: Einträge in GuardDuty Protokolldateien
<a name="understanding-guardduty-entries"></a>

 Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass sie nicht in einer bestimmten Reihenfolge angezeigt werden.

Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der das Ereignis auf der Datenebene demonstriert.

```
{
        "eventVersion": "1.08",
        "userIdentity": {
            "type": "AssumedRole",
            "principalId": "111122223333:aws:ec2-instance:i-123412341234example",
            "arn": "arn:aws:sts::111122223333:assumed-role/aws:ec2-instance/i-123412341234example",
            "accountId": "111122223333",
            "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
            "sessionContext": {
                "sessionIssuer": {
                    "type": "Role",
                    "principalId": "111122223333:aws:ec2-instance",
                    "arn": "arn:aws:iam::111122223333:role/aws:ec2-instance",
                    "accountId": "111122223333",
                    "userName": "aws:ec2-instance"
                },
                "attributes": {
                    "creationDate": "2023-03-05T04:00:21Z",
                    "mfaAuthenticated": "false"
                },
                "ec2RoleDelivery": "2.0"
            }
        },
        "eventTime": "2023-03-05T06:03:49Z",
        "eventSource": "guardduty.amazonaws.com",
        "eventName": "SendSecurityTelemetry",
        "awsRegion": "us-east-1",
        "sourceIPAddress": "54.240.230.177",
        "userAgent": "aws-sdk-rust/0.54.1 os/linux lang/rust/1.66.0",
        "requestParameters": null,
        "responseElements": null,
        "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
        "readOnly": false,
        "resources": [{
            "accountId": "111122223333",
            "type": "AWS::GuardDuty::Detector",
            "ARN": "arn:aws:guardduty:us-west-2:111122223333:detector/12abc34d567e8fa901bc2d34e56789f0"
        }],
        "eventType": "AwsApiCall",
        "managementEvent": false,
        "recipientAccountId": "111122223333",
        "eventCategory": "Data",
        "tlsDetails": {
            "tlsVersion": "TLSv1.2",
            "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
            "clientProvidedHostHeader": "guardduty-data.us-east-1.amazonaws.com"
        }
    }
```

Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die `CreateIPThreatIntelSet` Aktion demonstriert (Ereignis auf der Steuerungsebene).

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::444455556666:user/Alice",
        "accountId": "444455556666",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2018-06-14T22:54:20Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::444455556666:user/Alice",
                "accountId": "444455556666",
                "userName": "Alice"
            }
        }
    },
    "eventTime": "2018-06-14T22:57:56Z",
    "eventSource": "guardduty.amazonaws.com",
    "eventName": "CreateThreatIntelSet",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "54.240.230.177",
    "userAgent": "console.amazonaws.com",
    "requestParameters": {
        "detectorId": "12abc34d567e8fa901bc2d34e56789f0",
        "name": "Example",
        "format": "TXT",
        "activate": false,
        "location": "https://s3.amazonaws.com/bucket.name/file.txt"
    },
    "responseElements": {
        "threatIntelSetId": "1ab200428351c99d859bf61992460d24"
    },
    "requestID": "5f6bf981-7026-11e8-a9fc-5b37d2684c5c",
    "eventID": "81337b11-e5c8-4f91-b141-deb405625bc9",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "recipientAccountId": "444455556666"
}
```

Aus diesem Ereignis Informationen können Sie ersehen, dass die Anfrage gestellt wurde, um eine Bedrohungsliste `Example` in GuardDuty zu erstellen. Sie können auch sehen, dass die Anfrage von einem Benutzer namens Alice am 14. Juni 2018 gemacht wurde.