Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Was ist Amazon GuardDuty? Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der kontinuierlich AWS Datenquellen und Protokolle in Ihrer AWS Umgebung überwacht, analysiert und verarbeitet. GuardDuty verwendet Threat-Intelligence-Feeds wie Listen bösartiger IP-Adressen und Domains, Datei-Hashes und Modelle für maschinelles Lernen (ML), um verdächtige und potenziell bösartige Aktivitäten in Ihrer AWS Umgebung zu identifizieren. Die folgende Liste bietet einen Überblick über potenzielle Bedrohungsszenarien, anhand derer Sie Folgendes erkennen GuardDuty können: + Kompromittierte und exfiltrierte Anmeldeinformationen AWS . + Exfiltration und Zerstörung von Daten, die zu einem Ransomware-Ereignis führen können. Ungewöhnliche Muster von Anmeldeereignissen in den unterstützten Engine-Versionen der Amazon Aurora- und Amazon RDS-Datenbanken, die auf ein anomales Verhalten hinweisen. + Unautorisierte Cryptomining-Aktivitäten in Ihren Amazon Elastic Compute Cloud (Amazon EC2) -Instances und Container-Workloads. + Vorhandensein von Malware in Ihren Amazon EC2 EC2-Instances und Container-Workloads sowie neu hochgeladene Dateien in Ihren Amazon Simple Storage Service (Amazon S3) -Buckets. + Ereignisse auf Betriebssystemebene, Netzwerk- und Dateiereignisse, die auf unberechtigtes Verhalten in Ihren Amazon Elastic Kubernetes Service (Amazon EKS) -Clustern, Amazon Elastic Container Service (Amazon ECS) AWS Fargate -Aufgaben und Amazon EC2 EC2-Instances und Container-Workloads hinweisen. Das folgende Video bietet einen Überblick darüber, wie Sie Bedrohungen in Ihrer Umgebung GuardDuty erkennen können. AWS [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/ng14ToMXnTA/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/ng14ToMXnTA) **Topics** + [Eigenschaften von GuardDuty](#features-of-guardduty) + [Compliance mit PCI DSS](#guardduty-pci-dss-compliance) + [Preisgestaltung in GuardDuty](guardduty-pricing.md) + [Zugreifen GuardDuty](guardduty-access.md) ## Eigenschaften von GuardDuty Im Folgenden finden Sie einige der wichtigsten Methoden, mit denen Amazon GuardDuty Sie bei der Überwachung, Erkennung und Verwaltung potenzieller Bedrohungen in Ihrer AWS Umgebung unterstützen kann. **Überwacht kontinuierlich bestimmte Datenquellen und Ereignisprotokolle** + **Fundamentale Bedrohungserkennung** — Wenn Sie GuardDuty in an aktivieren AWS-Konto, GuardDuty werden automatisch die grundlegenden Datenquellen aufgenommen, die mit diesem Konto verknüpft sind. Zu diesen Datenquellen gehören AWS CloudTrail Verwaltungsereignisse, VPC-Flow-Logs (von Amazon EC2 EC2-Instances) und DNS-Logs. Sie müssen nichts anderes aktivieren, um mit der Analyse und Verarbeitung dieser Datenquellen GuardDuty zu beginnen, um zugehörige Sicherheitsergebnisse zu generieren. Weitere Informationen finden Sie unter [GuardDuty grundlegende Datenquellen](guardduty_data-sources.md). + **Erweiterte Bedrohungserkennung** — Diese Funktion erkennt mehrstufige Angriffe, die sich über grundlegende Datenquellen, mehrere Arten von AWS Ressourcen und einen Zeitraum innerhalb eines Zeitraums erstrecken. AWS-Konto In Ihrem Konto gibt es möglicherweise mehrere Ereignisse, die für sich genommen keine eindeutige Bedrohung darstellen. Wenn diese Ereignisse jedoch in einer Reihenfolge beobachtet werden, die auf eine verdächtige Aktivität hinweist, wird dies als Angriffssequenz GuardDuty identifiziert. GuardDuty benachrichtigt Sie, indem es den zugehörigen Erkennungstyp der Angriffssequenz generiert, um Ihnen Einzelheiten zur beobachteten Angriffssequenz bereitzustellen. Extended Threat Detection wird AWS-Konto bei jeder Aktivierung automatisch aktiviert, ohne dass zusätzliche Kosten anfallen. GuardDuty Für diese Funktion müssen Sie keinen anwendungsspezifischen Schutzplan aktivieren. Um die Sicherheit Ihrer Amazon S3 S3-Ressourcen zu erhöhen, GuardDuty empfiehlt es sich jedoch, S3 Protection in Ihrem Konto zu aktivieren. Auf diese Weise kann Extended Threat Detection mehrstufige Angriffe identifizieren, die sich möglicherweise auf Ihre Amazon S3 S3-Ressourcen auswirken. Weitere Informationen darüber, wie diese Funktion funktioniert und welche Bedrohungsszenarien sie abdeckt, finden Sie unter[GuardDuty Erweiterte Bedrohungserkennung](guardduty-extended-threat-detection.md). + **Auf Anwendungsfälle ausgerichtete GuardDuty Schutzpläne** — Für einen besseren Einblick in die Sicherheit Ihrer AWS Umgebung bei der Erkennung von Bedrohungen GuardDuty bieten wir spezielle Schutzpläne, die Sie aktivieren können. Schutzpläne helfen Ihnen bei der Überwachung von Protokollen und Ereignissen anderer AWS Dienste. Zu diesen Quellen gehören EKS-Auditprotokolle, RDS-Anmeldeaktivitäten, Amazon S3 S3-Datenereignisse in CloudTrail, EBS-Volumes, Runtime Monitoring in Amazon EKS, Amazon EC2 und Amazon ECS-Fargate sowie Lambda-Netzwerkaktivitätsprotokolle. GuardDuty[fasst diese Protokoll- und Ereignisquellen unter dem Begriff „Funktionen“ zusammen.](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-features-activation-model.html) Sie können jederzeit einen oder mehrere spezielle Schutzpläne in AWS-Region einem unterstützten Paket aktivieren. GuardDuty beginnt mit der Überwachung, Verarbeitung und Analyse der Aktivitäten auf der Grundlage des von Ihnen aktivierten Schutzplans. Weitere Informationen zu den einzelnen Schutzplänen und ihrer Funktionsweise finden Sie im entsprechenden Schutzplandokument. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/what-is-guardduty.html) **Aktivieren Sie den Malware-Schutz für S3 unabhängig** GuardDuty bietet die Flexibilität, Malware Protection for S3 unabhängig zu verwenden, ohne den GuardDuty Amazon-Service zu aktivieren. Weitere Informationen zu den ersten Schritten nur mit Malware Protection for S3 finden Sie unter[GuardDuty Malware-Schutz für S3](gdu-malware-protection-s3.md). Um alle anderen Schutzpläne nutzen zu können, müssen Sie den GuardDuty Dienst aktivieren. **Verwaltung einer Umgebung mit mehreren Konten** Sie können eine AWS Umgebung mit mehreren Konten verwalten, indem Sie entweder die AWS Organizations (empfohlene) oder die herkömmliche Einladungsmethode verwenden. Weitere Informationen finden Sie unter [Mehrere Konten in GuardDuty](guardduty_accounts.md). **Generiert Sicherheitsergebnisse für erkannte Bedrohungen** Wenn potenzielle Sicherheitsbedrohungen im Zusammenhang mit Ihren AWS Ressourcen GuardDuty erkannt werden, werden Sicherheitsergebnisse generiert, die Informationen über die potenziell gefährdete Ressource liefern. Generieren Sie nach GuardDuty der Aktivierung in Ihrem Konto, [Beispielerkenntnisse](sample_findings.md) um die zugehörigen [Erkenntnisdetails](guardduty_findings-summary.md) Dateien anzuzeigen. Eine vollständige Liste der Sicherheitsergebnisse finden Sie unter[GuardDuty Typen finden](guardduty_finding-types-active.md). Mit GuardDuty können Sie auch ein Testerskript verwenden, das spezifische GuardDuty Sicherheitserkenntnisse generiert, um zu verstehen, wie die GuardDuty Ergebnisse überprüft und darauf reagiert werden. Weitere Informationen finden Sie unter [GuardDuty Testergebnisse in speziellen Konten](guardduty_findings-scripts.md). **Bewertung und Verwaltung von Sicherheitsergebnissen** GuardDuty konsolidiert Ihre Sicherheitsfeststellungen für alle Konten und zeigt die Ergebnisse im Übersichts-Dashboard auf der GuardDuty Konsole an. Sie können die Ergebnisse auch über die AWS Security Hub CSPM API oder das AWS Command Line Interface AWS SDK abrufen. Mit einem ganzheitlichen Überblick über Ihren aktuellen Sicherheitsstatus können Sie Trends und potenzielle Probleme erkennen und die erforderlichen Abhilfemaßnahmen ergreifen. Weitere Informationen finden Sie unter [Verwaltung der GuardDuty Ergebnisse](findings_management.md). **Integrieren Sie es in verwandte AWS Sicherheitsdienste** Um Sie bei der Analyse und Untersuchung der Sicherheitstrends in Ihrer AWS Umgebung weiter zu unterstützen, sollten Sie die folgenden AWS sicherheitsbezogenen Services in Kombination mit in Betracht ziehen. GuardDuty + **AWS Security Hub CSPM**— Dieser Service bietet Ihnen einen umfassenden Überblick über den Sicherheitsstatus Ihrer AWS Ressourcen und hilft Ihnen, Ihre AWS Umgebung anhand der Sicherheitsstandards und bewährten Verfahren der Branche zu überprüfen. Dies geschieht unter anderem dadurch, dass Ihre Sicherheitsergebnisse aus mehreren AWS Diensten (einschließlich Amazon Macie) und unterstützten AWS Partner Network (APN) -Produkten verwendet, aggregiert, organisiert und priorisiert werden. Security Hub CSPM hilft Ihnen dabei, Ihre Sicherheitstrends zu analysieren und die Sicherheitsprobleme mit der höchsten Priorität in Ihrer AWS Umgebung zu identifizieren. Informationen zur gemeinsamen Verwendung von Security Hub CSPM GuardDuty und Security Hub finden Sie unter. [Integration GuardDuty mit AWS Security Hub CSPM](guardduty_integrations.md#gd-securityhub) Weitere Informationen zu Security Hub CSPM finden Sie im [AWS Security Hub Benutzerhandbuch](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html). + **Amazon Detective** — Dieser Service hilft Ihnen dabei, Sicherheitslücken oder verdächtige Aktivitäten zu analysieren, zu untersuchen und schnell die Ursache zu identifizieren. Detective sammelt automatisch Protokolldaten von Ihren AWS Ressourcen. Es verwendet dann Machine Learning, statistische Analysen und die Diagrammtheorie, um Visualisierungen zu erstellen, mit denen Sie effektive Sicherheitsuntersuchungen schneller und effizienter durchführen können. Die vorgefertigten Datenaggregationen, Zusammenfassungen und Kontexte von Detective helfen Ihnen bei der Analyse und Bestimmung der Art und des Ausmaßes potenzieller Sicherheitsprobleme. Hinweise zur gemeinsamen Verwendung von GuardDuty und Detective finden Sie unter[Integration GuardDuty mit Amazon Detective](guardduty_integrations.md#gd-detective). Weitere Informationen zu Detective finden Sie im [Amazon Detective User Guide](https://docs.aws.amazon.com/detective/latest/userguide/what-is-detective.html). + **Amazon EventBridge** — Dieser Service hilft Ihnen, Benachrichtigungen zu erhalten und nahezu in Echtzeit auf GuardDuty Sicherheitslücken zu reagieren. GuardDuty erzeugt ein Ereignis, wenn sich die Ergebnisse ändern. Sie können wählen, von wie oft Sie die Benachrichtigungen erhalten möchten EventBridge. Weitere Informationen finden Sie unter [Was ist Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) im * EventBridge Amazon-Benutzerhandbuch*. ## Compliance mit PCI DSS GuardDuty unterstützt die Verarbeitung, Speicherung und Übertragung von Kreditkartendaten durch einen Händler oder Dienstleister und wurde als konform mit dem Payment Card Industry (PCI) Data Security Standard (DSS) validiert. Weitere Informationen zu PCI DSS, einschließlich der Möglichkeit, eine Kopie des AWS PCI Compliance Package anzufordern, finden Sie unter [PCI DSS Level 1.](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) Weitere Informationen finden Sie im *AWS Sicherheitsblog* unter [Neuer Drittanbietertest vergleicht Amazon GuardDuty mit Systemen zur Erkennung von Netzwerkeindringlingen](https://aws.amazon.com/blogs/security/new-third-party-test-compares-amazon-guardduty-to-network-intrusion-detection-systems/). # Preisgestaltung in GuardDuty Dieser Abschnitt konzentriert sich auf das Kostenloses AWS-Kontingent Modell, das für verschiedene Schutzpläne GuardDuty verwendet wird, und darauf, wie Sie die geschätzten und tatsächlichen Nutzungskosten einsehen können. Weitere Informationen zu den Preisen aller Schutzpläne in den unterstützten Regionen finden Sie unter [GuardDutyPreise](https://aws.amazon.com/guardduty/pricing/). **Kostenloses AWS-Kontingent** Kostenloses AWS-Kontingent hilft Ihnen dabei, die einzelnen Dienste bis zu den angegebenen Limits kostenlos zu erkunden und auszuprobieren AWS-Services . Es gibt drei Kategorien: 12 Monate kostenlose, immer kostenlose und kurzfristige kostenlose Testversionen. Amazon GuardDuty gehört zur Kategorie der kurzfristigen kostenlosen Testversionen und bietet eine kostenlose 30-Tage-Testversion an. Wenn Sie die Nutzung GuardDuty nach Ablauf dieser kostenlosen Testversion fortsetzen, fallen je nachdem, wie Sie diesen Service nutzen, Kosten an. ****1** Ausnahme von der kostenlosen GuardDuty 30-Tage-Testversion** Malware-Scan auf Abruf (unter Malware Protection for EC2) und Malware Protection for S3 fallen nicht in die Kategorie der kostenlosen GuardDuty 30-Tage-Testversion. Malware Protection for S3 fällt in die Kategorie der kostenlosen 12-monatigen Tests, Kostenloses AWS-Kontingent wohingegen der On-Demand-Malware-Scan einem pay-as-you-use Kostenmodell folgt. Es gibt weder eine kostenlose 30-Tage-Testversion noch ein 12-monatiges kostenloses Kontingent mit Malware-Scan auf Abruf. ## Nutzen Sie die kostenlose GuardDuty 30-Tage-Testversion Wenn Sie es GuardDuty zum ersten Mal in einer verwenden AWS-Region, werden Sie AWS-Konto automatisch für eine kostenlose 30-Tage-Testversion in dieser Region registriert. Einige der Schutzpläne werden ebenfalls automatisch aktiviert und sind in der kostenlosen 30-Tage-Testversion enthalten. Da es GuardDuty sich um einen regionalen Dienst handelt, wird Ihr Konto in dieser Region 30 Tage lang kostenlos getestet, wenn Sie ihn zum ersten Mal GuardDuty in einer anderen Region aktivieren. Wenn Sie mit mehreren Konten in einer GuardDuty Organisation arbeiten, erhält jedes Konto seine eigene kostenlose 30-Tage-Testversion. Anhand der folgenden Tabelle können Sie überprüfen, welche Schutzpläne standardmäßig aktiviert sind und welche kostenlosen Testversionen verfügbar sind. GuardDuty | Schutzplan | Standardmäßig aktiviert mit GuardDuty | Separate kostenlose Testversion verfügbar **[2](#protection-plan-separate-enablement-gdu)** | | --- | --- | --- | | [EKS-Schutz](kubernetes-protection.md) | Ja | Ja | | [S3-Schutz](s3-protection.md) | Ja | Ja | | [Laufzeitüberwachung](runtime-monitoring.md) | Nein | Ja | | [Malware-Schutz für EC2](malware-protection.md) – [GuardDuty-initiierter Malware-Scan](gdu-initiated-malware-scan.md) | Ja | Ja | | [Malware-Schutz für EC2](malware-protection.md) – [Malware-Scan auf Abruf GuardDuty](on-demand-malware-scan.md) | Nein | Nein [1](#protection-plan-exception-free-trial-gdu) | | [GuardDuty Malware-Schutz für S3](gdu-malware-protection-s3.md) | Nein | Nein [1](#protection-plan-exception-free-trial-gdu) | | [RDS-Schutz](rds-protection.md) | Ja | Ja | | [Lambda Protection](lambda-protection.md) | Ja | Ja | **2** GuardDuty Bei der ersten Aktivierung werden die Schutzpläne (außer Runtime Monitoring) automatisch aktiviert und sind in der ersten kostenlosen 30-Tage-Testversion enthalten. Wenn ein vorhandenes GuardDuty Konto nach Ablauf der ersten GuardDuty kostenlosen Testversion einen neuen Schutzplan aktiviert, wird dieser Schutzplan mit einer eigenen kostenlosen 30-Tage-Testversion geliefert. Weitere Informationen zu kostenlosen Testversionen von Schutzplänen finden Sie in dem Dokument, das zu den einzelnen Schutzplänen gehört. **Geschätzte Nutzungskosten während der kostenlosen Testversion anzeigen** — Während der kostenlosen 30-Tage-Testversion GuardDuty und möglicherweise eines Schutzplans werden die GuardDuty geschätzten Nutzungskosten für Ihr Konto angezeigt. Wenn Sie ein delegiertes GuardDuty Administratorkonto haben, können Sie die geschätzten Gesamtkosten für die Nutzung und die Aufschlüsselung auf Kontoebene für alle Mitgliedskonten, die aktiviert wurden, einsehen. GuardDuty Weitere Informationen finden Sie unter [Überwachung der GuardDuty Nutzung und Schätzung der Kosten](monitoring_costs.md). **Nutzungskosten nach Ablauf der kostenlosen Testphase** — Wenn Sie nach Ablauf der kostenlosen Testphase einen der Schutzpläne weiterhin nutzen GuardDuty , fallen für Sie die entsprechenden Nutzungskosten an. Um Ihre Rechnung einzusehen, navigieren Sie in der [https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/)Konsole zum **Cost Explorer**. Weitere Informationen zur AWS Kontoabrechnung finden Sie im [AWS Billing Benutzerhandbuch](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html). ## Nutzung des Malware-Schutzes für S3 mit einem kostenlosen Nutzungskontingent für 12 Monate Malware Protection for S3 verwendet ein kostenloses Kontingent für Ihr Abonnement AWS-Konten , das entweder neu ist, über ein laufendes kostenloses Kontingent oder ein abgelaufenes 12-monatiges kostenloses Kontingent verfügt. Weitere Informationen finden Sie unter [Preise und Nutzungskosten für Malware Protection for S3](pricing-malware-protection-for-s3-guardduty.md). # Zugreifen GuardDuty Amazon GuardDuty ist in den meisten Fällen verfügbar AWS-Regionen. Eine Liste der Regionen, in denen GuardDuty das Produkt derzeit verfügbar ist, finden Sie unter[Regionen und Endpunkte](guardduty_regions.md). Sie können es GuardDuty auf eine der folgenden Arten verwenden: **GuardDuty Konsole** [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) Die Konsole ist eine browserbasierte Schnittstelle für den Zugriff auf und die Verwendung von GuardDuty. Die GuardDuty Konsole bietet Zugriff auf Ihr GuardDuty Konto, Ihre Daten und Ressourcen. **AWS Command Line Interface** Mit AWS Command Line Interface (AWS CLI) können Sie Befehle an der Befehlszeile Ihres Systems ausgeben, um GuardDuty Aufgaben und AWS Aufgaben auszuführen. Die AWS CLI Befehle sind nützlich, wenn Sie Skripts erstellen möchten, die Aufgaben ausführen. Informationen zur Installation und Verwendung AWS CLI finden Sie im [AWS Command Line Interface Benutzerhandbuch](https://docs.aws.amazon.com/cli/latest/userguide/). Die verfügbaren AWS CLI Befehle für GuardDuty finden Sie in der [AWS CLI Befehlsreferenz](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/index.html). **GuardDuty HTTPS-API** Sie können mithilfe der GuardDuty HTTPS-API AWS programmgesteuert darauf zugreifen GuardDuty , sodass Sie HTTPS-Anfragen direkt an den Dienst senden können. Weitere Informationen finden Sie in der [Amazon GuardDuty API-Referenz](https://docs.aws.amazon.com/guardduty/latest/APIReference/). **AWS SDKs** AWS bietet Softwareentwicklungskits (SDKs), die aus Bibliotheken und Beispielcode für verschiedene Programmiersprachen und Plattformen (Java, Python, Ruby, .NET, iOS, Android und mehr) bestehen. SDKs Sie bieten eine bequeme Möglichkeit, programmatischen Zugriff auf zu GuardDuty erstellen. Informationen zu den AWS SDKs, einschließlich deren Download und Installation, finden Sie unter [Tools für Amazon Web Services](https://aws.amazon.com/tools/).