Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memahami dan menghasilkan GuardDuty temuan Amazon
GuardDuty Temuan mewakili masalah keamanan potensial yang terdeteksi di dalam Akun AWS, beban kerja, dan data. GuardDuty menghasilkan temuan setiap kali mendeteksi aktivitas tak terduga dan berpotensi berbahaya di AWS lingkungan Anda.
Anda dapat melihat dan mengelola GuardDuty temuan Anda di halaman **Temuan** di GuardDuty konsol, atau dengan menggunakan operasi AWS CLI atau API. Untuk informasi tentang bagaimana Anda dapat mengelola GuardDuty temuan, lihat[Mengelola GuardDuty temuan Amazon](findings_management.md).
**Topik:**
[GuardDuty menemukan format](guardduty_finding-format.md)
Memahami format GuardDuty menemukan jenis dan tujuan ancaman yang berbeda yang GuardDuty melacak.
[Sampel temuan](sample_findings.md)
Hasilkan temuan sampel di GuardDuty konsol, atau dengan menggunakan GuardDuty API atau AWS CLI perintah. Temuan sampel yang dihasilkan mencakup detail fiktif untuk membantu Anda memahami detail temuan yang terkait dengan setiap GuardDuty temuan. Temuan ini ditandai dengan awalan **[SAMPEL]**.
[GuardDuty Temuan uji di akun khusus](guardduty_findings-scripts.md)
Anda dapat menguji GuardDuty temuan spesifik di lingkungan Anda. Jalankan `guardduty-tester` skrip dalam non-produksi Akun AWS khusus. GuardDuty Untuk mendeteksi dan mensimulasikan temuan, itu akan menyebarkan sumber daya tertentu di lingkungan Anda. Pengalaman ini berbeda dengan menghasilkan temuan sampel.
[Melihat temuan yang dihasilkan di GuardDuty konsol](guardduty_working-with-findings.md)
Pelajari cara meninjau temuan yang dihasilkan di GuardDuty konsol.
[Tingkat keparahan GuardDuty temuan](guardduty_findings-severity.md)
Setiap GuardDuty temuan memiliki tingkat keparahan terkait yang mencerminkan potensi risiko di AWS lingkungan Anda. Bagian ini menjelaskan apa arti setiap tingkat keparahan.
[Detail temuan](guardduty_findings-summary.md)
Pelajari detail yang terkait dengan GuardDuty temuan yang dihasilkan di akun Anda. Topik ini mencakup detail yang terkait dengan deteksi ancaman dasar, Deteksi Ancaman Diperpanjang, dan rencana perlindungan khusus di GuardDuty.
[GuardDuty menemukan agregasi](finding-aggregation.md)
Pelajari cara GuardDuty menangani beberapa kejadian dari jenis temuan yang sama. Dengan menggabungkan jenis temuan yang sama yang terdeteksi, GuardDuty memperbarui jenis temuan asli dengan detail terbaru.
[GuardDuty menemukan jenis](guardduty_finding-types-active.md)
Bagian ini mendaftarkan jenis GuardDuty pencarian berdasarkan yang terkait [Sumber data dasar](guardduty_data-sources.md) atau[Fitur yang dipetakan GuardDuty](guardduty-feature-object-api-changes-march2023.md#guardduty-feature-enablement-datasource-relation). Untuk mempelajari tentang setiap jenis temuan, pilih temuan itu untuk detail lebih lanjut, seperti deskripsi dan langkah-langkah potensial untuk memulihkan temuan tersebut.
# GuardDuty menemukan format
Ketika GuardDuty mendeteksi perilaku mencurigakan atau tidak terduga di AWS lingkungan Anda, itu menghasilkan temuan. Temuan adalah pemberitahuan yang berisi rincian tentang potensi masalah keamanan yang GuardDuty ditemukan. [Melihat temuan yang dihasilkan di GuardDuty konsol](guardduty_working-with-findings.md)Termasuk informasi tentang apa yang terjadi, AWS sumber daya mana yang terlibat dalam aktivitas mencurigakan, kapan kegiatan ini berlangsung, dan informasi terkait yang dapat membantu Anda memahami akar penyebabnya.
Salah satu bagian informasi yang paling berguna dalam detail temuan adalah **jenis temuan**. Tujuan dari jenis temuan adalah untuk memberikan deskripsi ringkas namun dapat dibaca tentang potensi masalah keamanan. Misalnya, tipe PortProbeUnprotectedPort pencarian GuardDuty *Recon:EC2/*dengan cepat memberi tahu Anda bahwa di suatu tempat di AWS lingkungan Anda, sebuah EC2 instance memiliki port yang tidak dilindungi yang sedang diselidiki oleh penyerang potensial.
GuardDuty menggunakan format berikut untuk menamai berbagai jenis temuan yang dihasilkannya:
**ThreatPurpose:ResourceTypeAffected/ThreatFamilyName. DetectionMechanism\$1 Artifak**
Setiap bagian dari format ini mewakili aspek dari jenis temuan. Aspek-aspek ini memiliki penjelasan sebagai berikut:
+ **ThreatPurpose**- menggambarkan tujuan utama dari ancaman, jenis serangan atau tahap serangan potensial. Lihat bagian berikut untuk daftar lengkap tujuan GuardDuty ancaman.
+ **ResourceTypeAffected**- menjelaskan jenis AWS sumber daya mana yang diidentifikasi dalam temuan ini sebagai target potensial musuh. Saat ini, GuardDuty dapat menghasilkan temuan untuk jenis sumber daya yang tercantum dalam[GuardDuty jenis temuan aktif](guardduty_finding-types-active.md#findings-table).
+ **ThreatFamilyName**- menggambarkan ancaman keseluruhan atau potensi aktivitas jahat GuardDuty yang mendeteksi. Misalnya, nilai **NetworkPortUnusual**menunjukkan bahwa EC2 instance yang diidentifikasi dalam GuardDuty temuan tidak memiliki riwayat komunikasi sebelumnya pada port jarak jauh tertentu yang juga diidentifikasi dalam temuan tersebut.
+ **DetectionMechanism**- menjelaskan metode di mana GuardDuty mendeteksi temuan. Ini dapat digunakan untuk menunjukkan variasi pada jenis temuan umum atau temuan yang GuardDuty menggunakan mekanisme khusus untuk mendeteksi. Misalnya, **Backdoor:EC2/DenialOfService.Tcp** menunjukkan penolakan layanan (DoS) terdeteksi melalui TCP. Varian UDP adalah **Backdoor:EC2/DenialOfService.Udp**.
Nilai **.Custom** menunjukkan bahwa GuardDuty mendeteksi temuan berdasarkan daftar ancaman kustom Anda. Untuk informasi selengkapnya, lihat [Daftar entitas dan daftar alamat IP](guardduty_upload-lists.md).
Nilai **.Reputation** menunjukkan bahwa GuardDuty mendeteksi temuan menggunakan model skor reputasi domain. Untuk informasi selengkapnya, lihat [Cara AWS melacak ancaman keamanan terbesar cloud dan membantu mematikannya](https://aws.amazon.com/blogs/security/how-aws-tracks-the-clouds-biggest-security-threats-and-helps-shut-them-down/).
+ **Artifact** - menjelaskan sumber daya tertentu yang dimiliki oleh alat yang digunakan dalam aktivitas berbahaya. Misalnya, **DNS** dalam tipe temuan [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolbdns) menunjukkan bahwa EC2 instance Amazon berkomunikasi dengan domain terkait Bitcoin yang diketahui.
**catatan**
Artifak bersifat opsional dan mungkin tidak tersedia untuk semua jenis GuardDuty temuan.
## Tujuan Ancaman
Dalam *tujuan GuardDuty ancaman* menggambarkan tujuan utama dari ancaman, jenis serangan, atau tahap serangan potensial. Misalnya, beberapa tujuan ancaman, seperti **Backdoor**, menunjukkan jenis serangan. Namun, beberapa tujuan ancaman, seperti **Impact** sejajar dengan [taktik MITRE ATT&CK](https://attack.mitre.org/tactics/TA0010/). Taktik MITRE ATT&CK menunjukkan fase yang berbeda dalam siklus serangan musuh. Dalam rilis saat ini GuardDuty, ThreatPurpose dapat memiliki nilai-nilai berikut:
**Pintu Belakang**
Nilai ini menunjukkan bahwa musuh telah mengkompromikan AWS sumber daya dan mengubah sumber daya sehingga mampu menghubungi server home command and control (C&C) untuk menerima instruksi lebih lanjut untuk aktivitas berbahaya.
**Perilaku**
Nilai ini menunjukkan bahwa GuardDuty telah mendeteksi aktivitas atau pola aktivitas yang berbeda dari garis dasar yang ditetapkan untuk AWS sumber daya yang terlibat.
**CredentialAccess**
Nilai ini menunjukkan bahwa GuardDuty telah mendeteksi pola aktivitas yang mungkin digunakan musuh untuk mencuri kredensil, seperti kata sandi, nama pengguna, dan kunci akses, dari lingkungan Anda. Tujuan ancaman ini didasarkan pada [taktik MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/cloud/aws/).
**Cryptocurrency**
Nilai ini menunjukkan bahwa GuardDuty telah mendeteksi bahwa AWS sumber daya di lingkungan Anda adalah perangkat lunak hosting yang terkait dengan cryptocurrency (misalnya, Bitcoin).
**DefenseEvasion**
Nilai ini menunjukkan bahwa GuardDuty telah mendeteksi aktivitas atau pola aktivitas yang mungkin digunakan musuh untuk menghindari deteksi saat menyusup ke lingkungan Anda. Tujuan ancaman ini didasarkan pada [taktik MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/cloud/aws/)
**Penemuan**
Nilai ini menunjukkan bahwa GuardDuty telah mendeteksi aktivitas atau pola aktivitas yang dapat digunakan musuh untuk memperluas pengetahuan mereka tentang sistem dan jaringan internal Anda. Tujuan ancaman ini didasarkan pada [taktik MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/cloud/aws/).
**Eksekusi**
Nilai ini menunjukkan bahwa GuardDuty telah mendeteksi bahwa musuh dapat mencoba menjalankan atau telah menjalankan kode berbahaya untuk menjelajahi AWS lingkungan, atau mencuri data. Tujuan ancaman ini didasarkan pada [taktik MITRE ATT&CK](https://attack.mitre.org/tactics/TA0002/).
**Ekfiltrasi**
Nilai ini menunjukkan bahwa GuardDuty telah mendeteksi aktivitas atau pola aktivitas yang mungkin digunakan musuh saat mencoba mencuri data dari lingkungan Anda. Tujuan ancaman ini didasarkan pada [taktik MITRE ATT&CK](https://attack.mitre.org/tactics/TA0010/).
**Dampak**
Nilai ini menunjukkan bahwa GuardDuty telah mendeteksi aktivitas atau pola aktivitas yang menunjukkan bahwa musuh sedang mencoba memanipulasi, mengganggu, atau menghancurkan sistem dan data Anda. Tujuan ancaman ini didasarkan pada [taktik MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/cloud/aws/).
**InitialAccess**
Nilai ini umumnya dikaitkan dengan tahap akses awal serangan ketika musuh mencoba untuk membangun akses ke lingkungan Anda. Tujuan ancaman ini didasarkan pada [taktik MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/cloud/aws/).
**Pentest**
Terkadang pemilik AWS sumber daya atau perwakilan resmi mereka sengaja menjalankan tes terhadap AWS aplikasi untuk menemukan kerentanan, seperti grup keamanan terbuka atau kunci akses yang terlalu permisif. Uji penetrasi ini dilakukan dalam upaya untuk mengidentifikasi dan mengunci sumber daya yang rentan sebelum ditemukan oleh musuh. Namun, beberapa alat yang digunakan oleh penguji penetrasi resmi tersedia secara bebas dan oleh karena itu dapat digunakan oleh pengguna yang tidak sah atau musuh untuk menjalankan uji probing. Meskipun tidak GuardDuty dapat mengidentifikasi tujuan sebenarnya di balik aktivitas tersebut, nilai **Pentest** menunjukkan bahwa GuardDuty mendeteksi aktivitas tersebut, bahwa itu mirip dengan aktivitas yang dihasilkan oleh alat pengujian pena yang diketahui, dan bahwa itu dapat menunjukkan penyelidikan berbahaya pada jaringan Anda.
**Kegigihan**
Nilai ini menunjukkan bahwa GuardDuty telah mendeteksi aktivitas atau pola aktivitas yang dapat digunakan musuh untuk mencoba dan mempertahankan akses ke sistem Anda bahkan jika rute akses awal mereka terputus. Misalnya, ini dapat termasuk membuat pengguna IAM baru setelah mendapatkan akses menggunakan kredensial pengguna yang ada. Ketika kredensial pengguna yang ada dihapus, musuh akan mempertahankan akses pada pengguna baru yang tidak terdeteksi sebagai bagian dari peristiwa asli. Tujuan ancaman ini didasarkan pada [taktik MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/cloud/aws/).
**Kebijakan**
Nilai ini menunjukkan bahwa Anda Akun AWS menunjukkan perilaku yang bertentangan dengan praktik terbaik keamanan yang direkomendasikan. Misalnya, modifikasi kebijakan izin yang tidak disengaja yang terkait dengan AWS sumber daya atau lingkungan Anda, dan penggunaan akun istimewa yang seharusnya memiliki sedikit atau tidak ada penggunaan.
**PrivilegeEscalation**
Nilai ini menginformasikan bahwa prinsipal yang terlibat dalam lingkungan AWS Anda menunjukkan perilaku yang mungkin digunakan musuh untuk mendapatkan izin dengan tingkat yang lebih tinggi ke jaringan Anda. Tujuan ancaman ini didasarkan pada [taktik MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/cloud/aws/).
**Pengintaian**
Nilai ini menunjukkan bahwa GuardDuty telah mendeteksi aktivitas atau pola aktivitas yang mungkin digunakan musuh saat melakukan pengintaian terhadap lingkungan Anda untuk menentukan bagaimana mereka dapat memperluas akses mereka atau memanfaatkan sumber daya Anda. Misalnya, aktivitas ini dapat mencakup pelingkupan kerentanan di AWS lingkungan Anda dengan memeriksa port, membuat panggilan API, mencantumkan pengguna, dan mencantumkan tabel database.
**Siluman**
Nilai ini menunjukkan bahwa musuh secara aktif mencoba menyembunyikan tindakan mereka. Misalnya, mereka mungkin menggunakan server proksi anonim, sehingga sangat sulit untuk mengukur sifat sebenarnya dari aktivitas tersebut.
**Trojan**
Nilai ini menunjukkan bahwa serangan menggunakan program Trojan yang diam-diam melakukan aktivitas berbahaya. Terkadang perangkat lunak ini mengambil tampilan program yang sah. Terkadang pengguna secara tidak sengaja menjalankan perangkat lunak ini. Lain kali perangkat lunak ini mungkin berjalan secara otomatis dengan memanfaatkan kerentanan.
**UnauthorizedAccess**
Nilai ini menunjukkan bahwa GuardDuty mendeteksi aktivitas mencurigakan atau pola aktivitas yang mencurigakan oleh individu yang tidak berwenang.
# GuardDuty mesin pemindai deteksi malware
Amazon GuardDuty memiliki mesin pemindaian yang dibangun dan dikelola secara internal dan [vendor pihak ketiga](https://www.bitdefender.com/blog/businessinsights/bitdefender-and-amazon-web-services-strengthen-cloud-security/). Keduanya menggunakan indikator kompromi (IoCs) yang bersumber dari berbagai feed internal yang memiliki visibilitas di berbagai jenis malware yang mungkin ditargetkan. AWS GuardDuty juga memiliki definisi deteksi yang didasarkan pada aturan YARA yang ditambahkan oleh teknisi keamanan kami, dan deteksi berdasarkan model heuristik dan pembelajaran mesin (ML). Saat memindai objek Amazon S3, Perlindungan GuardDuty Malware menghasilkan hasil yang konsisten saat memindai objek yang sama beberapa kali dengan definisi dan mesin pemindaian yang sama. Deteksi berbasis tanda tangan tidak hanya mencakup pencocokan byte tetapi juga potongan kode yang berpotensi kompleks, dan pemindai dapat mengurai konten dan membuat keputusan.
Mesin pemindai malware tidak melakukan analisis perilaku langsung, di mana peledakan malware memantau sampel saat dijalankan dalam sistem nyata. GuardDuty Solusinya terutama deteksi berbasis file. Untuk mendeteksi malware tanpa file, GuardDuty berikan solusi berbasis agen, seperti untuk [Pemantauan Runtime](runtime-monitoring.md) Amazon EKS, Amazon EC2, dan Amazon ECS (termasuk). AWS Fargate
Tanpa batasan pada format file yang GuardDuty memindai malware, mesin pemindai yang digunakannya dapat mendeteksi berbagai jenis malware, seperti cryptominers, ransomware, dan webshell. Mesin GuardDuty pemindaian yang dikelola sepenuhnya terus memperbarui daftar tanda tangan malware setiap 15 menit.
Mesin pemindai adalah bagian dari sistem intelijen GuardDuty ancaman yang menggunakan komponen peledakan malware internal. Ini menghasilkan intelijen ancaman baru dengan mengumpulkan malware dan sampel jinak secara independen dari berbagai sumber. File hash tipe IoC dari sistem intelijen ancaman selanjutnya dimasukkan ke mesin pemindaian malware untuk mendeteksi malware berdasarkan hash file buruk yang diketahui.
# Menghasilkan temuan sampel di GuardDuty
Amazon GuardDuty membantu Anda menghasilkan temuan sampel untuk memvisualisasikan dan memahami berbagai jenis temuan yang dapat dihasilkannya. Saat Anda menghasilkan temuan sampel, GuardDuty isi daftar temuan Anda saat ini dengan satu sampel untuk setiap jenis temuan yang didukung, termasuk jenis pencarian urutan serangan.
Sampel yang dibuat adalah perkiraan yang diisi dengan nilai placeholder. Sampel ini mungkin terlihat berbeda dari temuan nyata untuk lingkungan Anda, tetapi Anda dapat menggunakannya untuk menguji berbagai konfigurasi GuardDuty, seperti EventBridge acara atau filter Anda. Untuk daftar nilai yang tersedia untuk menemukan jenis, lihat [GuardDuty menemukan jenis](guardduty_finding-types-active.md) tabel.
## Menghasilkan temuan sampel melalui GuardDuty konsol atau API
Pilih metode akses pilihan Anda untuk menghasilkan temuan sampel.
**catatan**
GuardDuty Konsol membantu Anda menghasilkan salah satu dari setiap jenis temuan. Untuk menghasilkan satu atau lebih jenis temuan spesifik, lakukan API/CLI langkah-langkah terkait.
------
#### [ Console ]
Gunakan prosedur berikut untuk membuat sampel temuan. Proses ini menghasilkan satu sampel temuan untuk setiap jenis GuardDuty temuan.
****
1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Pada panel navigasi, silakan pilih **Pengaturan**.
1. Di halaman **Pengaturan**, di bawah **Sampel temuan**, pilih **Buat sampel temuan**.
1. Di panel navigasi, pilih **Temuan**. Sampel temuan ditampilkan di halaman **Temuan saat ini** dengan prefiks **[SAMPLE]**.
------
#### [ API/CLI ]
Anda dapat menghasilkan satu sampel temuan yang cocok dengan jenis GuardDuty temuan apa pun melalui [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateSampleFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateSampleFindings.html)API, nilai yang tersedia untuk menemukan jenis tercantum dalam [GuardDuty menemukan jenis](guardduty_finding-types-active.md) tabel.
Ini berguna untuk pengujian aturan CloudWatch Acara atau otomatisasi berdasarkan temuan. Contoh berikut menunjukkan cara menghasilkan temuan sampel tunggal dari `Backdoor:EC2/DenialOfService.Tcp` jenis menggunakan AWS CLI.
Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId`
```
aws guardduty create-sample-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-types Backdoor:EC2/DenialOfService.Tcp
```
------
Judul temuan sampel yang dihasilkan melalui metode ini selalu dimulai dengan **[SAMPLE]** di konsol. Temuan sampel memiliki nilai `"sample": true` di bagian **AdditionalInfo** dari rincian JSON temuan.
Untuk memahami rincian temuan, seperti menemukan tingkat keparahan dan sumber daya yang berpotensi dikompromikan, terkait dengan temuan yang dihasilkan, lihat [Tingkat keparahan GuardDuty temuan](guardduty_findings-severity.md) dan[Detail temuan](guardduty_findings-summary.md).
Untuk menghasilkan beberapa temuan umum berdasarkan aktivitas simulasi di tempat yang berdedikasi dan terisolasi di Akun AWS lingkungan Anda, lihat[GuardDuty Temuan uji di akun khusus](guardduty_findings-scripts.md).
# GuardDuty Temuan uji di akun khusus
Gunakan dokumen ini untuk menjalankan skrip penguji yang menghasilkan GuardDuty temuan terhadap sumber daya pengujian yang akan digunakan di file Anda. Akun AWS Anda dapat melakukan langkah-langkah ini ketika Anda ingin memahami dan mempelajari tentang jenis GuardDuty temuan tertentu dan bagaimana rincian temuan mencari sumber daya aktual di akun Anda. Pengalaman ini berbeda dengan menghasilkan[Sampel temuan](sample_findings.md). Untuk informasi lebih lanjut tentang pengalaman pengujian GuardDuty temuan, lihat[Pertimbangan-pertimbangan](#considerations-generate-gdu-findings-tester).
**Topics**
+ [Pertimbangan-pertimbangan](#considerations-generate-gdu-findings-tester)
+ [GuardDuty temuan skrip tester dapat menghasilkan](#gdu-findings-tester-generates)
+ [Langkah 1 - Prasyarat](#prerequisites-gdu-tester-script)
+ [Langkah 2 - Menyebarkan sumber daya AWS](#deploy-gdu-tester-script)
+ [Langkah 3 - Jalankan skrip penguji](#run-gdu-tester-script)
+ [Langkah 4 - Bersihkan sumber daya AWS tes](#clean-gdu-tester-script-resources)
+ [Memecahkan masalah umum](#troubleshooting-gdu-tester-script-issues)
## Pertimbangan-pertimbangan
Sebelum Anda melanjutkan, pertimbangkan pertimbangan berikut:
+ GuardDuty merekomendasikan untuk menggunakan tester dalam non-produksi khusus. Akun AWS Pendekatan ini akan memastikan bahwa Anda dapat mengidentifikasi GuardDuty temuan yang dihasilkan oleh penguji dengan benar. Selain itu, GuardDuty penguji menyebarkan berbagai sumber daya yang mungkin memerlukan izin IAM di luar apa yang diizinkan di akun lain. Menggunakan akun khusus memastikan bahwa izin dapat dicakup dengan benar dengan batas akun yang jelas.
+ Skrip tester menghasilkan lebih dari 100 GuardDuty temuan dengan kombinasi AWS sumber daya yang berbeda. Saat ini, ini tidak termasuk semua. [GuardDuty menemukan jenis](guardduty_finding-types-active.md) Untuk daftar jenis pencarian yang dapat Anda hasilkan dengan skrip penguji ini, lihat[GuardDuty temuan skrip tester dapat menghasilkan](#gdu-findings-tester-generates).
**Catatan**
Untuk memvisualisasikan *jenis pencarian urutan Attack*, skrip tester hanya [AttackSequence:EKS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-eks-compromised-cluster) menghasilkan dan. [AttackSequence:S3/CompromisedData](guardduty-attack-sequence-finding-types.md#attack-sequence-s3-compromised-data) Untuk memvisualisasikan dan memahami[AttackSequence:IAM/CompromisedCredentials](guardduty-attack-sequence-finding-types.md#attack-sequence-iam-compromised-credentials), Anda dapat menghasilkan [Sampel temuan](sample_findings.md) di akun Anda.
+ Agar GuardDuty penguji berfungsi seperti yang diharapkan, GuardDuty perlu diaktifkan di akun tempat sumber daya penguji digunakan. Bergantung pada pengujian yang akan dijalankan, penguji mengevaluasi apakah rencana GuardDuty perlindungan yang sesuai diaktifkan atau tidak. Untuk setiap rencana perlindungan yang tidak diaktifkan, GuardDuty akan meminta izin untuk mengaktifkan rencana perlindungan yang diperlukan cukup lama GuardDuty untuk melakukan tes yang akan menghasilkan temuan. Nanti, GuardDuty akan menonaktifkan rencana perlindungan setelah pengujian selesai.
**Mengaktifkan GuardDuty untuk pertama kalinya**
Ketika GuardDuty diaktifkan di akun khusus Anda untuk pertama kalinya di Wilayah tertentu, akun Anda akan secara otomatis terdaftar dalam uji coba gratis 30 hari.
GuardDuty menawarkan paket perlindungan opsional. Pada saat memungkinkan GuardDuty, paket perlindungan tertentu juga diaktifkan dan termasuk dalam uji coba gratis GuardDuty 30 hari. Untuk informasi selengkapnya, lihat [Menggunakan uji GuardDuty coba gratis 30 hari](guardduty-pricing.md#using-guardduty-30-day-free-trial).
**GuardDuty sudah diaktifkan di akun Anda sebelum menjalankan skrip penguji**
Ketika sudah GuardDuty diaktifkan, maka berdasarkan parameter, skrip tester akan memeriksa status konfigurasi rencana perlindungan tertentu dan pengaturan tingkat akun lainnya yang diperlukan untuk menghasilkan temuan.
Dengan menjalankan skrip penguji ini, paket perlindungan tertentu mungkin diaktifkan untuk pertama kalinya di akun khusus Anda di Wilayah. Ini akan memulai uji coba gratis 30 hari untuk rencana perlindungan itu. Untuk informasi tentang uji coba gratis yang terkait dengan setiap paket perlindungan, lihat[Menggunakan uji GuardDuty coba gratis 30 hari](guardduty-pricing.md#using-guardduty-30-day-free-trial).
+ Selama infrastruktur GuardDuty penguji diterapkan, Anda kadang-kadang dapat menerima [UnauthorizedAccess:EC2/TorClient](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torclient) temuan dari instans. PenTest
## GuardDuty temuan skrip tester dapat menghasilkan
Saat ini, skrip penguji menghasilkan jenis temuan berikut yang terkait dengan log audit Amazon EC2, Amazon EKS, Amazon S3, IAM, dan EKS:
+ [AttackSequence:EKS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-eks-compromised-cluster)
+ [AttackSequence:S3/CompromisedData](guardduty-attack-sequence-finding-types.md#attack-sequence-s3-compromised-data)
+ [Backdoor:EC2/C&CActivity.B\$1DNS](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivitybdns)
+ [Backdoor:EC2/DenialOfService.Dns](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicedns)
+ [Backdoor:EC2/DenialOfService.Udp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudp)
+ [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolbdns)
+ [Impact:EC2/AbusedDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-abuseddomainrequestreputation)
+ [Impact:EC2/BitcoinDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-bitcoindomainrequestreputation)
+ [Impact:EC2/MaliciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-maliciousdomainrequestreputation)
+ [Impact:EC2/SuspiciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-suspiciousdomainrequestreputation)
+ [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan)
+ [Trojan:EC2/BlackholeTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-blackholetrafficdns)
+ [Trojan:EC2/DGADomainRequest.C\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestcdns)
+ [Trojan:EC2/DNSDataExfiltration](guardduty_finding-types-ec2.md#trojan-ec2-dnsdataexfiltration)
+ [Trojan:EC2/DriveBySourceTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-drivebysourcetrafficdns)
+ [Trojan:EC2/DropPoint\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-droppointdns)
+ [Trojan:EC2/PhishingDomainRequest\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-phishingdomainrequestdns)
+ [UnauthorizedAccess:EC2/MaliciousIPCaller.Custom](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-maliciousipcallercustom)
+ [UnauthorizedAccess:EC2/RDPBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-rdpbruteforce)
+ [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce)
+ [PenTest:IAMUser/KaliLinux](guardduty_finding-types-iam.md#pentest-iam-kalilinux)
+ [Recon:IAMUser/MaliciousIPCaller.Custom](guardduty_finding-types-iam.md#recon-iam-maliciousipcallercustom)
+ [Recon:IAMUser/TorIPCaller](guardduty_finding-types-iam.md#recon-iam-toripcaller)
+ [Stealth:IAMUser/CloudTrailLoggingDisabled](guardduty_finding-types-iam.md#stealth-iam-cloudtrailloggingdisabled)
+ [Stealth:IAMUser/PasswordPolicyChange](guardduty_finding-types-iam.md#stealth-iam-passwordpolicychange)
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws)
+ [UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom](guardduty_finding-types-iam.md#unauthorizedaccess-iam-maliciousipcallercustom)
+ [UnauthorizedAccess:IAMUser/TorIPCaller](guardduty_finding-types-iam.md#unauthorizedaccess-iam-toripcaller)
+ [Discovery:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-maliciousipcallercustom)
+ [Discovery:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-successfulanonymousaccess)
+ [Discovery:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-toripcaller)
+ [Execution:Kubernetes/ExecInKubeSystemPod](guardduty-finding-types-eks-audit-logs.md#execution-kubernetes-execinkubesystempod)
+ [Impact:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-maliciousipcallercustom)
+ [Persistence:Kubernetes/ContainerWithSensitiveMount](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-containerwithsensitivemount)
+ [Policy:Kubernetes/AdminAccessToDefaultServiceAccount](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-adminaccesstodefaultserviceaccount)
+ [Policy:Kubernetes/AnonymousAccessGranted](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-anonymousaccessgranted)
+ [PrivilegeEscalation:Kubernetes/PrivilegedContainer](guardduty-finding-types-eks-audit-logs.md#privilegeescalation-kubernetes-privilegedcontainer)
+ [UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom](lambda-protection-finding-types.md#unauthorized-access-lambda-maliciousIPcaller-custom)
+ [Discovery:S3/MaliciousIPCaller.Custom](guardduty_finding-types-s3.md#discovery-s3-maliciousipcallercustom)
+ [Discovery:S3/TorIPCaller](guardduty_finding-types-s3.md#discovery-s3-toripcaller)
+ [PenTest:S3/KaliLinux](guardduty_finding-types-s3.md#pentest-s3-kalilinux)
+ [Policy:S3/AccountBlockPublicAccessDisabled](guardduty_finding-types-s3.md#policy-s3-accountblockpublicaccessdisabled)
+ [Policy:S3/BucketAnonymousAccessGranted](guardduty_finding-types-s3.md#policy-s3-bucketanonymousaccessgranted)
+ [Policy:S3/BucketBlockPublicAccessDisabled](guardduty_finding-types-s3.md#policy-s3-bucketblockpublicaccessdisabled)
+ [Policy:S3/BucketPublicAccessGranted](guardduty_finding-types-s3.md#policy-s3-bucketpublicaccessgranted)
+ [Stealth:S3/ServerAccessLoggingDisabled](guardduty_finding-types-s3.md#stealth-s3-serveraccessloggingdisabled)
+ [UnauthorizedAccess:S3/MaliciousIPCaller.Custom](guardduty_finding-types-s3.md#unauthorizedaccess-s3-maliciousipcallercustom)
+ [UnauthorizedAccess:S3/TorIPCaller](guardduty_finding-types-s3.md#unauthorizedaccess-s3-toripcaller)
+ [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns)
+ [DefenseEvasion:Runtime/ProcessInjection.Ptrace](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionptrace)
+ [DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionvirtualmemw)
+ [Execution:Runtime/ReverseShell](findings-runtime-monitoring.md#execution-runtime-reverseshell)
+ [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation)
+ [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation)
+ [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation)
+ [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation)
+ [PrivilegeEscalation:Runtime/ContainerMountsHostDirectory](findings-runtime-monitoring.md#privilegeescalation-runtime-containermountshostdirectory)
+ [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed)
+ [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns)
+ [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns)
+ [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns)
+ [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns)
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns)
## Langkah 1 - Prasyarat
Untuk mempersiapkan lingkungan pengujian Anda, Anda memerlukan item berikut:
+ **Git** — Instal alat baris perintah git berdasarkan sistem operasi yang Anda gunakan.
Ini diperlukan untuk mengkloning [`amazon-guardduty-tester`repositori](https://github.com/awslabs/amazon-guardduty-tester).
+ **AWS Command Line Interface**— Alat open source yang memungkinkan Anda berinteraksi Layanan AWS dengan menggunakan perintah di shell baris perintah Anda. Untuk informasi selengkapnya, lihat [Memulai AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) di *Panduan AWS Command Line Interface Pengguna*.
+ **AWS Systems Manager**— Untuk memulai sesi Session Manager dengan node terkelola Anda dengan menggunakan AWS CLI Anda harus menginstal plugin Session Manager di mesin lokal Anda. Untuk informasi selengkapnya, lihat [Plugin Install Session Manager AWS CLI](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with-install-plugin.html) di *Panduan AWS Systems Manager Pengguna*.
+ **Node Package Manager (NPM)** - Instal NPM untuk menginstal semua dependensi.
+ **Docker** — Anda harus menginstal Docker. Untuk petunjuk penginstalan, lihat [situs web Docker](https://docs.docker.com/get-docker/).
Untuk memverifikasi bahwa Docker telah diinstal, jalankan perintah berikut dan konfirmasikan ada output yang mirip dengan output berikut:
```
$ docker --version
Docker version 19.03.1
```
+ Berlangganan gambar [Kali Linux](https://aws.amazon.com/marketplace/pp/prodview-fznsw3f7mq7to) di *AWS Marketplace*.
## Langkah 2 - Menyebarkan sumber daya AWS
Bagian ini menyediakan daftar konsep kunci dan langkah-langkah untuk menyebarkan AWS sumber daya tertentu di akun khusus Anda.
### Konsep
Daftar berikut menyediakan konsep kunci yang terkait dengan perintah yang membantu Anda menyebarkan sumber daya:
+ **AWS Cloud Development Kit (AWS CDK)**CDK adalah kerangka pengembangan perangkat lunak open-source untuk mendefinisikan infrastruktur cloud dalam kode dan menyediakannya. CloudFormation CDK mendukung beberapa bahasa pemrograman untuk mendefinisikan komponen cloud yang dapat digunakan kembali yang dikenal sebagai konstruksi. Anda dapat menyusun ini bersama-sama ke tumpukan dan aplikasi. Kemudian, Anda dapat menerapkan aplikasi CDK Anda CloudFormation untuk menyediakan atau memperbarui sumber daya Anda. Untuk informasi lebih lanjut, lihat [Apa itu AWS CDK?](https://docs.aws.amazon.com/cdk/v2/guide/home.html) di *Panduan AWS Cloud Development Kit (AWS CDK) Pengembang*.
+ **Bootstrapping** — Ini adalah proses mempersiapkan AWS lingkungan Anda untuk digunakan dengan. AWS CDK Sebelum Anda menyebarkan tumpukan CDK ke lingkungan, AWS lingkungan harus di-bootstrap terlebih dahulu. Proses penyediaan AWS sumber daya tertentu di lingkungan Anda yang digunakan oleh AWS CDK adalah bagian dari langkah-langkah yang akan Anda lakukan di bagian berikutnya -. [Langkah-langkah untuk menyebarkan sumber daya AWS](#steps-deploy-resource-test-guardduty-findings)
*Untuk informasi selengkapnya tentang cara kerja bootstrap, lihat [Bootstrapping di Panduan Pengembang](https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html).AWS Cloud Development Kit (AWS CDK) *
### Langkah-langkah untuk menyebarkan sumber daya AWS
Lakukan langkah-langkah berikut untuk mulai menerapkan sumber daya:
1. Siapkan akun AWS CLI default dan Wilayah kecuali variabel Wilayah akun khusus diatur secara manual dalam `bin/cdk-gd-tester.ts` file. Untuk informasi selengkapnya, lihat [Lingkungan](https://docs.aws.amazon.com/cdk/v2/guide/environments.html) di *Panduan AWS Cloud Development Kit (AWS CDK) Pengembang*.
1. Jalankan perintah berikut untuk menyebarkan sumber daya:
```
git clone https://github.com/awslabs/amazon-guardduty-tester && cd amazon-guardduty-tester
npm install
cdk bootstrap
cdk deploy
```
Perintah terakhir (`cdk deploy`) membuat CloudFormation tumpukan atas nama Anda. Nama tumpukan ini adalah **GuardDutyTesterStack**.
Sebagai bagian dari skrip ini, GuardDuty buat sumber daya baru untuk menghasilkan GuardDuty temuan di akun Anda. Ini juga menambahkan pasangan kunci tag berikut: nilai ke instans Amazon EC2:
`CreatedBy`:`GuardDuty Test Script`
Instans Amazon EC2 juga menyertakan instans EC2 yang menampung node EKS dan kluster ECS.
**Tipe instans**
GuardDuty dirancang untuk menggunakan jenis instans hemat biaya yang memberikan kinerja minimum yang diperlukan untuk berhasil melaksanakan pengujian. Karena persyaratan vCPU, grup node Amazon EKS memerlukan`t3.medium`, dan karena peningkatan kapasitas jaringan yang diperlukan untuk DenialOfService menemukan pengujian, node driver memerlukan. `m6i.large` Untuk semua tes lainnya, GuardDuty gunakan tipe `t3.micro` instance. Untuk informasi selengkapnya tentang jenis instans, lihat [Ukuran yang tersedia](https://docs.aws.amazon.com/ec2/latest/instancetypes/gp.html#gp_sizes) di *Panduan Jenis Instans Amazon EC2*.
## Langkah 3 - Jalankan skrip penguji
Ini adalah proses dua langkah di mana Anda pertama-tama perlu memulai sesi dengan driver uji dan kemudian, jalankan skrip untuk menghasilkan GuardDuty temuan dengan kombinasi sumber daya tertentu.
### Bagian A - Mulai sesi dengan driver tes
1. Setelah resource Anda di-deploy, simpan kode Region ke variabel di sesi terminal Anda saat ini. Gunakan perintah berikut dan ganti *us-east-1* dengan kode Wilayah tempat Anda menggunakan sumber daya:
```
$ REGION=us-east-1
```
1. Script tester hanya tersedia melalui AWS Systems Manager (SSM). Untuk memulai shell interaktif pada instance host tester, kueri host **InstanceId**.
1. Gunakan perintah berikut untuk memulai sesi Anda untuk skrip tester:
```
aws ssm start-session
--region $REGION
--document-name AWS-StartInteractiveCommand
--parameters command="cd /home/ssm-user/py_tester && bash -l"
--target $(aws ec2 describe-instances
--region $REGION
--filters "Name=tag:Name,Values=Driver-GuardDutyTester"
--query "Reservations[].Instances[?State.Name=='running'].InstanceId"
--output text)
```
### Bagian B - Menghasilkan temuan
Skrip tester adalah program berbasis Python yang secara dinamis membangun skrip bash untuk menghasilkan temuan berdasarkan masukan Anda. Anda memiliki fleksibilitas untuk menghasilkan temuan berdasarkan satu atau lebih jenis AWS sumber daya, rencana GuardDuty perlindungan, [Tujuan Ancaman](guardduty_finding-format.md#guardduty_threat_purposes) (taktik)[Sumber data dasar](guardduty_data-sources.md), atau[GuardDuty temuan skrip tester dapat menghasilkan](#gdu-findings-tester-generates).
Gunakan contoh perintah berikut sebagai referensi, dan jalankan satu atau beberapa perintah untuk menghasilkan temuan yang ingin Anda jelajahi:
```
python3 guardduty_tester.py
python3 guardduty_tester.py --all
python3 guardduty_tester.py --s3
python3 guardduty_tester.py --tactics discovery
python3 guardduty_tester.py --ec2 --eks --tactics backdoor policy execution
python3 guardduty_tester.py --eks --runtime only
python3 guardduty_tester.py --ec2 --runtime only --tactics impact
python3 guardduty_tester.py --log-source dns vpc-flowlogs
python3 guardduty_tester.py --finding 'CryptoCurrency:EC2/BitcoinTool.B!DNS'
```
Untuk informasi lebih lanjut tentang parameter yang valid, Anda dapat menjalankan perintah bantuan berikut:
```
python3 guardduty_tester.py --help
```
### Bagian C - Tinjau temuan yang dihasilkan
Pilih metode yang disukai untuk melihat temuan yang dihasilkan di akun Anda.
------
#### [ GuardDuty console ]
1. Masuk ke Konsol Manajemen AWS dan buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Di panel navigasi, pilih **Temuan**.
1. Dari tabel temuan, pilih temuan yang ingin Anda lihat detailnya. Ini akan membuka panel detail temuan. Untuk informasi, lihat [Memahami dan menghasilkan GuardDuty temuan Amazon](guardduty_findings.md).
1. Jika Anda ingin memfilter temuan ini, gunakan kunci dan nilai tag sumber daya. **Misalnya, untuk memfilter temuan yang dihasilkan untuk instans Amazon EC2, gunakan`CreatedBy`: `GuardDuty Test Script` tag key:value pair untuk kunci tag Instance dan **kunci tag Instance**.**
------
#### [ API ]
+ Jalankan [ListFindings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html)untuk melihat temuan untuk ID detektor tertentu. Anda dapat menentukan parameter untuk memfilter temuan.
Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId`
------
#### [ AWS CLI ]
+ Jalankan AWS CLI perintah berikut untuk melihat temuan yang dihasilkan dan ganti *us-east-1* dan *12abc34d567e8fa901bc2d34EXAMPLE* dengan nilai yang sesuai:
```
aws guardduty list-findings --region us-east-1 --detector-id 12abc34d567e8fa901bc2d34EXAMPLE
```
Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId`
Untuk informasi selengkapnya tentang parameter yang dapat Anda gunakan untuk memfilter temuan, lihat [daftar-temuan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/list-findings.html) di Referensi *AWS CLI Perintah*.
------
## Langkah 4 - Bersihkan sumber daya AWS tes
Pengaturan tingkat akun dan pembaruan status konfigurasi lainnya yang dibuat selama [Langkah 3 - Jalankan skrip penguji](#run-gdu-tester-script) kembali ke keadaan semula saat skrip penguji selesai.
Setelah Anda menjalankan skrip tester, Anda dapat memilih untuk membersihkan sumber daya AWS pengujian. Anda dapat memilih untuk melakukan ini dengan menggunakan salah satu metode berikut:
+ Jalankan perintah berikut:
```
cdk destroy
```
+ Hapus CloudFormation tumpukan dengan nama **GuardDutyTesterStack**. Untuk selengkapnya tentang langkah-langkah, lihat [Menghapus tumpukan di CloudFormation konsol](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html).
## Memecahkan masalah umum
GuardDuty telah mengidentifikasi masalah umum dan merekomendasikan langkah-langkah pemecahan masalah:
+ `Cloud assembly schema version mismatch`— Perbarui AWS CDK CLI ke versi yang kompatibel dengan versi perakitan cloud yang diperlukan, atau ke versi terbaru yang tersedia. Untuk informasi selengkapnya, lihat [AWS CDK Kompatibilitas CLI](https://docs.aws.amazon.com/cdk/v2/guide/versioning.html#cdk_toolkit_versioning).
+ `Docker permission denied`— Tambahkan pengguna akun khusus ke **docker atau **docker-users**** sehingga akun khusus dapat menjalankan perintah. Untuk informasi selengkapnya tentang langkah-langkah, lihat opsi [soket Daemon](https://docs.docker.com/reference/cli/dockerd/#daemon-socket-option).
+ `Your requested instance type is not supported in your requested Availability Zone`— Beberapa zona Availability tidak mendukung jenis instans tertentu. Untuk mengidentifikasi zona ketersediaan mana yang mendukung jenis instans pilihan Anda dan mencoba kembali untuk menerapkan AWS sumber daya, lakukan langkah-langkah berikut:
1. Pilih metode yang disukai untuk menentukan zona Ketersediaan mana yang mendukung jenis instans Anda:
------
#### [ Console ]
**Untuk mengidentifikasi Availability zone yang mendukung tipe instans pilihan**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Dengan menggunakan pemilih AWS Region di sudut kanan atas halaman, pilih Wilayah tempat Anda ingin meluncurkan instance.
1. Di panel navigasi, di bawah **Instance**, pilih Jenis **Instance**.
1. Dari tabel **tipe Instance**, pilih jenis instance yang disukai.
1. Di bawah **Jaringan**, lihat Wilayah yang tercantum di bawah **Availability zone**.
Berdasarkan informasi ini, Anda mungkin perlu memilih Wilayah baru tempat Anda dapat menyebarkan sumber daya.
------
#### [ AWS CLI ]
Jalankan perintah berikut untuk melihat daftar Availability zone. Pastikan untuk menentukan jenis instans pilihan Anda dan Region (*us-east-1*).
```
aws ec2 describe-instance-type-offerings --location-type availability-zone --filters Name=instance-type,Values=Preferred instance type --region us-east-1 --output table
```
Untuk informasi selengkapnya tentang perintah ini, lihat [describe-instance-type-offerings](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-instance-type-offerings.html)di *Referensi AWS CLI Perintah*.
Saat menjalankan perintah ini, jika Anda menerima kesalahan, pastikan Anda menggunakan versi terbaru AWS CLI. Untuk informasi selengkapnya, lihat [Pemecahan Masalah](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-troubleshooting.html) di *AWS Command Line Interface Panduan Pengguna*.
------
1. Coba gunakan sumber AWS daya lagi dan tentukan zona Ketersediaan yang mendukung jenis instans pilihan Anda.
**Untuk mencoba kembali menyebarkan sumber daya AWS**
1. Siapkan Region default dalam `bin/cdk-gd-tester.ts` file.
1. Untuk menentukan zona ketersediaan, buka `amazon-guardduty-tester/lib/common/network/vpc.ts` file.
1. Dalam file ini, ganti `maxAzs: 2,` dengan `availabilityZones: ['us-east-1a', 'us-east-1c'],` tempat Anda harus menentukan zona Ketersediaan untuk jenis instans Anda.
1. Lanjutkan dengan langkah-langkah yang tersisa di bawah[Langkah-langkah untuk menyebarkan sumber daya AWS](#steps-deploy-resource-test-guardduty-findings).
# Melihat temuan yang dihasilkan di GuardDuty konsol
Saat GuardDuty mendeteksi aktivitas yang cocok dengan pola masalah keamanan, GuardDuty buat temuan. Temuan ini dikaitkan dengan jenis sumber daya yang mungkin telah dikompromikan selama aktivitas ini. Anda dapat melihat detail yang terkait dengan setiap temuan yang GuardDuty dihasilkan.
Jika Anda menggunakan akun GuardDuty administrator, Anda dapat melihat temuan yang dihasilkan atas nama akun anggota. Namun, akun anggota dapat melihat temuan yang dihasilkan di akun mereka sendiri. Akun anggota tidak dapat melihat temuan yang dihasilkan untuk akun anggota lainnya.
**Langkah-langkah untuk melihat temuan di GuardDuty konsol**
1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Di panel navigasi kiri, pilih **Temuan**.
GuardDuty menampilkan temuan dalam format tabel. Secara default, tabel ini diurutkan dalam urutan menurun berdasarkan nilai kolom **Terakhir terlihat**, menampilkan temuan terbaru di bagian atas.
Temuan dengan ikon pedang (![\[Sword icon that represents attack sequence finding in GuardDuty console.\]](http://docs.aws.amazon.com/id_id/guardduty/latest/ug/images/attack-sequences-icon.PNG)) mewakili temuan urutan serangan.
1. Untuk melihat detail yang terkait dengan temuan, pilih **Judul**. Ini akan membuka panel samping detail temuan. Untuk menemukan urutan serangan, panel samping ini menyertakan *versi ringkasan* dari urutan serangan, dan untuk memperluas tampilan ini, pilih **Lihat detail**.
Untuk informasi tentang bidang yang tercantum di panel samping ini, lihat[Detail temuan](guardduty_findings-summary.md).
1.
**(Opsional) untuk mengunduh Finding JSON**
1. Pilih temuan, lalu pilih menu **Tindakan**.
1. Pada menu **Tindakan**, pilih **Lihat dan ekspor JSON**.
1. Pada jendela **Temuan JSON**, pilih **Unduh**.
**catatan**
Dalam beberapa kasus GuardDuty , menyadari bahwa temuan tertentu adalah positif palsu setelah dihasilkan. GuardDuty menyediakan bidang **Keyakinan** di JSON temuan, dan menetapkan nilainya ke nol. Dengan cara ini GuardDuty memungkinkan Anda tahu bahwa Anda dapat dengan aman mengabaikan temuan tersebut.
Temuan tanpa bidang **Keyakinan** tidak dianggap positif palsu.
## Menavigasi halaman Temuan
Bagian ini memberikan informasi kunci tentang berbagai elemen di halaman **Temuan**. Ini akan membantu Anda menganalisis temuan yang dihasilkan untuk analisis dan respons ancaman.
Daftar berikut menjelaskan elemen halaman **Temuan** yang akan membantu Anda lebih memahami temuan yang dihasilkan:
+ **Jenis ancaman**:
Jenis ancaman mencakup GuardDuty temuan individu dan temuan urutan serangan. Secara default, halaman menampilkan **Semua temuan**.
Untuk memfilter tampilan tabel temuan, pada menu **Jenis ancaman**, pilih salah satu opsi — **Hanya temuan urutan serangan** atau **Temuan individu saja**.
+ **Kolom Sumber Daya dan Hitung**:
Kolom **Sumber daya** dalam tabel temuan menunjukkan nama AWS sumber daya yang berpotensi dikompromikan. Untuk temuan urutan serangan, kolom ini menunjukkan jumlah AWS sumber daya yang berpotensi dikompromikan. Untuk melihat nama sumber daya, pilih *nomor* di bawah kolom **Sumber Daya**.
Kolom **Hitung** menunjukkan berapa kali GuardDuty mengamati temuan tertentu. Saat GuardDuty mendeteksi aktivitas yang cocok dengan masalah keamanan yang diidentifikasi sebelumnya, itu menambah jumlah untuk temuan spesifik tersebut. Untuk temuan urutan serangan, nilai kolom ini menunjukkan jumlah total sinyal dan temuan yang terlibat dalam pembuatan temuan.
+ **Menyortir temuan berdasarkan kolom tabel**:
Jika ada *panah* di sebelah header kolom, maka Anda dapat mengurutkan tabel temuan berdasarkan kolom. Pilih header kolom untuk mengurutkan temuan dalam urutan peningkatan atau penurunan nilai di kolom itu.
+ **Temuan penyaringan**:
Berdasarkan atribut properti tertentu, seperti `Account ID` dan`Resource type`, Anda dapat memfilter tabel temuan lebih lanjut. Untuk informasi tentang jenis filter yang dapat Anda gunakan, lihat[Temuan penyaringan GuardDuty ](guardduty_filter-findings.md).
+ **Status dan Aturan Tersimpan**:
Menu **Status** mencakup dua nilai — **Saat** Ini dan **Diarsipkan**. Tampilan default adalah Temuan **saat ini** dalam tabel.
Ketika Anda tidak lagi GuardDuty ingin menghasilkan temuan yang cocok dengan kriteria tertentu, Anda dapat menekan temuan itu. GuardDuty Arsip yang menemukan Ketika GuardDuty mendeteksi temuan ini lagi, Anda tidak akan diberitahu tentang pengamatan ini. Untuk melihat temuan yang diarsipkan secara khusus, pada menu **Status**, pilih **Diarsipkan**.
**Aturan tersimpan** adalah fitur yang membantu Anda secara otomatis memfilter dan mengambil tindakan pada temuan yang sesuai dengan kriteria tertentu. Tindakan dapat mencakup pengarsipan temuan atau menekannya dari notifikasi di masa mendatang.
Untuk informasi selengkapnya, lihat [Aturan penekanan](findings_suppression-rule.md).
# Tingkat keparahan GuardDuty temuan
Setiap GuardDuty temuan memiliki tingkat keparahan dan nilai yang ditetapkan yang mencerminkan potensi risiko temuan tersebut terhadap lingkungan Anda, sebagaimana ditentukan oleh teknisi keamanan kami. Nilai keparahan dapat jatuh di mana saja dalam kisaran 1,0 hingga 10,0, dengan nilai yang lebih tinggi menunjukkan risiko keamanan yang lebih besar. Untuk membantu Anda menentukan respons terhadap masalah keamanan potensial yang disorot oleh temuan, GuardDuty uraikan rentang ini menjadi tingkat keparahan *Kritis*, *Tinggi*, *Sedang*, dan *Rendah*.
Temuan jenis tertentu mungkin memiliki tingkat keparahan yang berbeda tergantung pada konteks khusus untuk temuan tersebut. Untuk melihat daftar konsolidasi tingkat keparahan default untuk semua jenis GuardDuty temuan, lihat[GuardDuty jenis temuan aktif](guardduty_finding-types-active.md#findings-table).
Bagian berikut menjelaskan tingkat keparahan yang ditentukan untuk GuardDuty temuan.
**Topics**
+ [Tingkat keparahan kritis](#guardduty-finding-severity-level-critical)
+ [Tingkat keparahan tinggi](#guardduty-finding-severity-level-high)
+ [Tingkat keparahan sedang](#guardduty-finding-severity-level-medium)
+ [Tingkat keparahan rendah](#guardduty-finding-severity-level-low)
## Tingkat keparahan kritis
**Kisaran nilai**: 9.0 - 10.0
**Deskripsi**: Tingkat keparahan kritis menunjukkan bahwa urutan serangan mungkin sedang berlangsung atau baru-baru ini terjadi. Satu atau lebih AWS sumber daya, seperti kredensyal masuk pengguna IAM dan bucket Amazon S3, berpotensi dikompromikan atau mungkin telah disusupi.
**Rekomendasi**: GuardDuty merekomendasikan agar Anda memprioritaskan triaging dan remediasi semua temuan tingkat keparahan kritis karena masalah ini dapat menjadi bagian dari serangan ransomware dan dapat meningkat kapan saja. Lihat detail tentang sumber daya yang terlibat dan mulailah menangani masalah keamanan. Untuk informasi selengkapnya, lihat [Mengatasi temuan](guardduty_remediate.md).
## Tingkat keparahan tinggi
**Kisaran nilai**: 7.0 - 8.9
**Deskripsi**: Tingkat keparahan yang tinggi menunjukkan bahwa sumber daya yang dimaksud (instans Amazon EC2 atau sekumpulan kredensi masuk pengguna IAM) dikompromikan dan digunakan secara aktif untuk tujuan yang tidak sah.
**Rekomendasi**: GuardDuty merekomendasikan agar Anda memperlakukan masalah keamanan dengan tingkat keparahan tinggi sebagai prioritas dan mengambil langkah-langkah perbaikan segera untuk mencegah penggunaan sumber daya Anda yang tidak sah lebih lanjut. Misalnya, bersihkan instans Amazon EC2 Anda atau hentikan, atau putar kredensyal IAM. Ikuti langkah-langkah [Mengatasi temuan](guardduty_remediate.md) untuk memulihkan temuan.
## Tingkat keparahan sedang
**Kisaran nilai**: 4.0 - 6.9
**Deskripsi**: Tingkat keparahan sedang menunjukkan aktivitas mencurigakan yang menyimpang dari perilaku yang diamati secara normal dan, tergantung pada kasus penggunaan Anda, mungkin merupakan indikasi kompromi sumber daya.
**Rekomendasi**: GuardDuty merekomendasikan untuk menyelidiki sumber daya yang berpotensi terkena dampak pada kenyamanan Anda paling awal. Langkah-langkah remediasi akan bervariasi menurut sumber daya dan menemukan keluarga. Pendekatan yang ditetapkan adalah bagi Anda untuk mengonfirmasi bahwa aktivitas tersebut diotorisasi dan konsisten dengan kasus penggunaan Anda. Jika Anda tidak dapat mengidentifikasi penyebabnya, atau mengonfirmasi bahwa aktivitas tersebut diotorisasi, Anda harus mempertimbangkan sumber daya yang disusupi. Ikuti langkah-langkah [Mengatasi temuan](guardduty_remediate.md) untuk memulihkan temuan.
Berikut adalah beberapa hal yang perlu dipertimbangkan ketika meninjau temuan tingkat menengah:
+ Periksa apakah pengguna yang berwenang telah menginstal perangkat lunak baru yang mengubah perilaku sumber daya (misalnya, mengizinkan lalu lintas yang lebih tinggi dari biasanya, atau mengaktifkan komunikasi pada port baru).
+ Periksa apakah pengguna yang berwenang mengubah pengaturan bidang kontrol, misalnya, mengubah pengaturan grup keamanan.
+ Jalankan pemindaian anti-virus pada sumber daya yang bersangkutan untuk mendeteksi perangkat lunak yang tidak sah.
+ Verifikasi izin yang terlampir pada IAM role, pengguna, grup, atau set kredensial yang bersangkutan. Ini mungkin harus diubah atau diputar.
## Tingkat keparahan rendah
**Rentang nilai**: 1.0 - 3.9
**Deskripsi**: Tingkat keparahan yang rendah menunjukkan upaya aktivitas mencurigakan yang tidak membahayakan lingkungan Anda, misalnya, pemindaian port atau upaya intrusi yang gagal.
**Rekomendasi**: Tidak ada tindakan yang disarankan segera, tetapi ada baiknya mencatat informasi ini karena mungkin mengindikasikan seseorang mencari titik lemah di lingkungan Anda.
# Detail temuan
Di GuardDuty konsol Amazon, Anda dapat melihat detail pencarian di bagian ringkasan pencarian. Detail menemukan bervariasi berdasarkan jenis temuan.
Ada dua detail utama yang menentukan jenis informasi apa yang tersedia untuk temuan apa pun. Yang pertama adalah jenis sumber daya, yang dapat berupa `Instance``AccessKey`,`S3Bucket`,`S3Object`,`Kubernetes cluster`,`ECS cluster`,`Container`,`RDSDBInstance`,`RDSLimitlessDB`, atau`Lambda`. Detail kedua yang menentukan informasi temuan adalah **Peran Sumber Daya**. Peran sumber daya bisa`Target`, artinya sumber daya adalah target aktivitas yang mencurigakan. Untuk temuan tipe instans, peran sumber daya juga dapat menjadi `Actor`, yang berarti bahwa sumber daya Anda adalah aktor yang melakukan aktivitas mencurigakan. Topik ini menjelaskan beberapa detail umum yang tersedia untuk temuan. Untuk [GuardDuty Jenis penemuan Runtime Monitoring](findings-runtime-monitoring.md) dan[Perlindungan Malware untuk tipe pencarian S3](gdu-malware-protection-s3-finding-types.md), peran sumber daya tidak diisi.
**Topics**
+ [Menemukan ikhtisar](#findings-summary-section)
+ [Sumber daya](#findings-resource-affected)
+ [Detail pencarian urutan serangan](#guardduty-extended-threat-detection-attack-sequence-finding-details)
+ [Rincian pengguna database RDS (DB)](#rds-pro-db-user-details)
+ [Detail temuan Pemantauan Runtime](#runtime-monitoring-runtime-details)
+ [Detail pemindaian volume EBS](#mp-ebs-volumes-scan-details)
+ [Perlindungan Malware untuk detail pencarian EC2](#malware-protection-scan-details)
+ [Detail temuan Perlindungan Malware untuk S3](#gdu-malware-protection-for-s3-finding-details)
+ [Tindakan](#finding-action-section)
+ [Aktor atau Target](#finding-actor-target)
+ [Detail geolokasi](#guardduty-finding-details-geolocation)
+ [Informasi tambahan](#finding-additional-info)
+ [Bukti](#finding-evidence)
+ [Perilaku anomali](#finding-anomalous)
## Menemukan ikhtisar
Bagian **Ikhtisar** temuan berisi fitur pengenal paling dasar dari temuan, termasuk informasi berikut:
+ **ID Akun** — ID AWS akun tempat aktivitas berlangsung yang mendorong GuardDuty untuk menghasilkan temuan ini.
+ **Hitung** — Berapa kali GuardDuty telah mengumpulkan aktivitas yang cocok dengan pola ini dengan ID temuan ini.
+ **Dibuat pada** — Waktu dan tanggal ketika temuan ini pertama kali dibuat. Jika nilai ini berbeda dari **Diperbarui pada**, ini menunjukkan bahwa aktivitas tersebut telah terjadi beberapa kali dan merupakan masalah yang sedang berlangsung.
**catatan**
Stempel waktu untuk temuan di GuardDuty konsol muncul di zona waktu lokal Anda, sementara ekspor JSON dan output CLI menampilkan stempel waktu di UTC.
+ **Finding ID** — Pengidentifikasi unik untuk jenis temuan ini dan kumpulan parameter. Kejadian baru dari aktivitas yang cocok dengan pola ini akan digabungkan ke ID yang sama.
+ **Tipe temuan** – String berformat yang mewakili tipe aktivitas yang memicu temuan. Untuk informasi selengkapnya, lihat [GuardDuty menemukan format](guardduty_finding-format.md).
+ **Wilayah** — AWS Wilayah di mana temuan itu dihasilkan. Untuk informasi selengkapnya tentang Wilayah yang didukung, lihat [Wilayah dan titik akhir](guardduty_regions.md)
+ **ID Sumber Daya** — ID AWS sumber daya tempat aktivitas berlangsung yang mendorong GuardDuty untuk menghasilkan temuan ini.
+ **ID Pindai** — Berlaku untuk temuan saat Perlindungan GuardDuty Malware untuk EC2 diaktifkan, ini adalah pengidentifikasi pemindaian malware yang berjalan pada volume EBS yang melekat pada instans EC2 atau beban kerja kontainer yang berpotensi dikompromikan. Untuk informasi selengkapnya, lihat [Perlindungan Malware untuk detail pencarian EC2](#malware-protection-scan-details).
+ **Keparahan** — Tingkat keparahan yang ditetapkan temuan baik Kritis, Tinggi, Sedang, atau Rendah. Untuk informasi selengkapnya, lihat [Temuan tingkat keparahan](guardduty_findings-severity.md).
+ **Diperbarui di** — Terakhir kali temuan ini diperbarui dengan aktivitas baru yang cocok dengan pola yang mendorong GuardDuty untuk menghasilkan temuan ini.
## Sumber daya
**Sumber daya yang terpengaruh** memberikan rincian tentang AWS sumber daya yang ditargetkan oleh aktivitas inisiasi. Informasi yang tersedia bervariasi berdasarkan tipe sumber daya dan tipe tindakan.
**Peran sumber daya** — Peran AWS sumber daya yang memulai temuan. Nilai ini bisa **TARGET** atau **ACTOR**, dan mewakili apakah sumber daya Anda adalah target aktivitas mencurigakan atau aktor yang melakukan aktivitas mencurigakan.
**Jenis sumber daya** — Jenis sumber daya yang terpengaruh. Jika beberapa sumber daya terlibat, temuan dapat mencakup beberapa jenis sumber daya. ****Jenis sumber daya adalah **Instance**,, **S3Bucket **AccessKey**, **S3Object****,,, **Container**, **KubernetesCluster**, **ECSCluster**DB, dan **RDSDBInstance**RDSLimitlessLambda.**** Tergantung tipe sumber dayanya, detail temuan yang berbeda tersedia. Pilih tab opsi sumber daya untuk mempelajari detail yang tersedia untuk sumber daya tersebut.
------
#### [ Instance ]
**Detail contoh:**
**catatan**
Beberapa detail instance mungkin hilang jika instance telah dihentikan atau jika pemanggilan API yang mendasarinya berasal dari instans EC2 di Wilayah lain saat melakukan panggilan API Lintas wilayah.
+ **ID Instance** — ID dari instans EC2 yang terlibat dalam aktivitas yang diminta GuardDuty untuk menghasilkan temuan.
+ **Jenis Instance** — Jenis instans EC2 yang terlibat dalam temuan.
+ **Waktu Peluncuran** - Waktu dan tanggal peluncuran instans.
+ **Outpost ARN** — Nama Sumber Daya Amazon (ARN) dari. AWS Outposts Hanya berlaku untuk AWS Outposts instance. Untuk informasi lebih lanjut, lihat [Apa itu AWS Outposts?](https://docs.aws.amazon.com/outposts/latest/userguide/what-is-outposts.html) di *Panduan Pengguna untuk rak Outposts*.
+ **Nama Grup Keamanan** – Nama Grup Keamanan yang melekat pada instans yang terlibat.
+ **ID Grup Keamanan** – ID grup keamanan yang melekat pada instans yang terlibat.
+ **Status instans** – Status instans yang ditargetkan saat ini.
+ **Availability Zone** – Availability Zone AWS Region tempat instans yang terlibat berada.
+ **ID Image** – ID dari Amazon Machine Image yang digunakan untuk membangun instans yang terlibat dalam aktivitas.
+ **Deskripsi Image** – Deskripsi ID Amazon Machine Image yang digunakan untuk membangun instans yang terlibat dalam aktivitas.
+ **Tanda** – Daftar tanda yang melekat pada sumber daya ini, tercantum dalam format `key`:`value`.
------
#### [ AccessKey ]
**Akses Detail Kunci:**
+ **ID kunci akses** — ID kunci akses pengguna yang terlibat dalam aktivitas yang diminta GuardDuty untuk menghasilkan temuan.
+ **Principal ID** — ID utama pengguna yang terlibat dalam aktivitas yang diminta GuardDuty untuk menghasilkan temuan.
+ **Jenis pengguna** — Jenis pengguna yang terlibat dalam aktivitas yang diminta GuardDuty untuk menghasilkan temuan. Untuk informasi selengkapnya, lihat elemen [CloudTrail UserIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html#cloudtrail-event-reference-user-identity-fields).
+ **Nama pengguna** — Nama pengguna yang terlibat dalam aktivitas yang diminta GuardDuty untuk menghasilkan temuan.
------
#### [ S3Bucket ]
**Detail ember Amazon S3:**
+ **Nama** – Nama bucket yang terlibat dalam temuan.
+ **ARN** – ARN bucket yang terlibat dalam temuan.
+ **Pemilik** – ID pengguna resmi dari pengguna yang memiliki bucket yang terlibat dalam temuan. Untuk informasi selengkapnya tentang pengguna kanonik, IDs lihat pengenal [AWS akun](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html).
+ **Tipe** – Tipe temuan bucket, dapat berupa **Tujuan** atau **Sumber**.
+ **Enkripsi sisi server default** — Detail enkripsi untuk bucket.
+ **Tag Bucket** — Daftar tag yang dilampirkan pada sumber daya ini, tercantum dalam format`key`:`value`.
+ **Izin Efektif** – Evaluasi dari semua izin dan kebijakan efektif pada bucket yang menunjukkan apakah bucket yang terlibat diekspos secara publik. Nilai dapat **bersifat publik** atau **tidak publik**.
------
#### [ S3Object ]
+ **Detail objek S3** - Termasuk informasi berikut tentang objek S3 yang dipindai:
+ **ARN** - Nama Sumber Daya Amazon (ARN) dari objek S3 yang dipindai.
+ **Kunci** — Nama yang ditetapkan ke file saat dibuat di bucket S3.
+ **Id Versi** — Bila Anda telah mengaktifkan versi bucket, bidang ini menunjukkan Id versi yang terkait dengan versi terbaru dari objek S3 yang dipindai. *Untuk informasi selengkapnya, lihat [Menggunakan pembuatan versi di bucket S3 di Panduan Pengguna](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) Amazon S3.*
+ **ETag** - Merupakan versi spesifik dari objek S3 yang dipindai.
+ **Hash** — Hash dari ancaman yang terdeteksi dalam temuan ini.
+ **Detail bucket S3** — Termasuk informasi berikut tentang bucket Amazon S3 yang terkait dengan objek S3 yang dipindai:
+ **Nama** - Menunjukkan nama bucket S3 yang berisi objek.
+ **ARN** - Nama Sumber Daya Amazon (ARN) dari ember S3.
+ **Pemilik** — Id Canonical dari pemilik bucket S3.
------
#### [ EKSCluster ]
**Detail klaster Kubernetes:**
+ **Nama** — Nama cluster Kubernetes.
+ **ARN** — ARN yang mengidentifikasi cluster.
+ **Created At** — Waktu dan tanggal ketika cluster ini dibuat.
**catatan**
Stempel waktu untuk temuan di GuardDuty konsol muncul di zona waktu lokal Anda, sementara ekspor JSON dan output CLI menampilkan stempel waktu di UTC.
+ ID **VPC — ID** VPC yang terkait dengan cluster Anda.
+ **Status** — Status cluster saat ini.
+ **Tag** — Metadata yang Anda terapkan ke cluster untuk membantu Anda mengkategorikan dan mengaturnya. Setiap tag terdiri dari kunci dan nilai opsional, yang tercantum dalam format`key`:`value`. Anda bisa menentukan kunci dan nilai.
Tag cluster tidak menyebar ke sumber daya lain yang terkait dengan cluster.
**Detail beban kerja Kubernetes:**
+ **Jenis** - Jenis beban kerja Kubernetes, seperti pod, deployment, dan job.
+ **Nama** — Nama beban kerja Kubernetes.
+ **Uid — ID** unik dari beban kerja Kubernetes.
+ **Dibuat pada** - Waktu dan tanggal ketika beban kerja ini dibuat.
+ **Label** — Pasangan nilai kunci yang melekat pada beban kerja Kubernetes.
+ **Container** — Detail kontainer yang berjalan sebagai bagian dari beban kerja Kubernetes.
+ **Namespace** — Beban kerja milik namespace Kubernetes ini.
+ **Volume** — Volume yang digunakan oleh beban kerja Kubernetes.
+ **Jalur host** - Merupakan file atau direktori yang sudah ada sebelumnya di mesin host tempat volume dipetakan.
+ **Nama** — Nama volume.
+ **konteks keamanan pod** — Mendefinisikan pengaturan privilege dan acess control untuk semua kontainer dalam sebuah pod.
+ **Jaringan host** — Setel ke `true` jika pod disertakan dalam beban kerja Kubernetes.
**Detail pengguna Kubernetes:**
+ **Grup** - Kubernetes RBAC (kontrol berbasis akses peran) kelompok pengguna yang terlibat dalam aktivitas yang menghasilkan temuan.
+ **ID — ID** unik dari pengguna Kubernetes.
+ **Nama pengguna** — Nama pengguna Kubernetes yang terlibat dalam aktivitas yang menghasilkan temuan.
+ **Nama sesi** — Entitas yang mengambil peran IAM dengan izin Kubernetes RBAC.
------
#### [ ECSCluster ]
**Rincian cluster ECS:**
+ **ARN** — ARN yang mengidentifikasi cluster.
+ **Nama** — Nama cluster.
+ **Status** — Status cluster saat ini.
+ **Jumlah layanan aktif** — Jumlah layanan yang berjalan di cluster dalam suatu `ACTIVE` keadaan. Anda dapat melihat layanan ini dengan [ListServices](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_ListServices.html)
+ Jumlah **instans kontainer terdaftar — Jumlah instance** kontainer yang terdaftar ke dalam klaster. Ini termasuk instance kontainer di keduanya `ACTIVE` dan `DRAINING` status.
+ **Menjalankan tugas menghitung** — Jumlah tugas di cluster yang berada dalam `RUNNING` status.
+ **Tag** — Metadata yang Anda terapkan ke cluster untuk membantu Anda mengkategorikan dan mengaturnya. Setiap tag terdiri dari kunci dan nilai opsional, yang tercantum dalam format`key`:`value`. Anda bisa menentukan kunci dan nilai.
+ **Kontainer** — Detail tentang wadah yang terkait dengan tugas:
+ **Nama kontainer** — Nama wadah.
+ **Gambar kontainer** — Gambar wadah.
+ **Detail tugas** — Detail tugas dalam sebuah cluster.
+ **ARN** — Nama Sumber Daya Amazon (ARN) dari tugas tersebut.
+ **Definisi ARN** — Nama Sumber Daya Amazon (ARN) dari definisi tugas yang membuat tugas.
+ **Versi** - Penghitung versi untuk tugas tersebut.
+ **Tugas dibuat di** — Stempel waktu Unix saat tugas dibuat.
+ **Tugas dimulai pada** — Stempel waktu Unix saat tugas dimulai.
+ **Tugas dimulai oleh** — Tag yang ditentukan saat tugas dimulai.
------
#### [ Container ]
**Detail kontainer:**
+ **Container runtime** — Container runtime (seperti `docker` atau`containerd`) yang digunakan untuk menjalankan container.
+ **ID - ID** instance kontainer atau entri ARN lengkap untuk instance kontainer.
+ **Nama** — Nama wadah.
+ **Gambar** - Gambar dari contoh kontainer.
+ **Volume mount** — Daftar dudukan volume kontainer. Sebuah wadah dapat memasang volume di bawah sistem file-nya.
+ **Konteks keamanan — Konteks** keamanan kontainer mendefinisikan hak istimewa dan pengaturan kontrol akses untuk kontainer.
+ **Detail proses** — Menjelaskan detail proses yang terkait dengan temuan.
------
#### [ RDSDBInstance ]
**RDSDBInstance rincian:**
**catatan**
Sumber daya ini tersedia dalam temuan Perlindungan RDS yang terkait dengan instance database.
+ **Database Instance ID** — Pengidentifikasi yang terkait dengan instance database yang terlibat dalam GuardDuty temuan.
+ **Engine** — Nama mesin database dari instance database yang terlibat dalam temuan. Nilai yang mungkin kompatibel dengan Aurora MySQL atau kompatibel dengan Aurora PostgreSQL.
+ **Versi mesin** — Versi mesin database yang terlibat dalam GuardDuty temuan.
+ **Database cluster ID** — Pengidentifikasi cluster database yang berisi ID instance database yang terlibat dalam GuardDuty temuan.
+ **Database instance ARN** — ARN yang mengidentifikasi instance database yang terlibat dalam temuan. GuardDuty
------
#### [ RDSLimitlessDB ]
**RDSLimitlessRincian DB:**
Sumber daya ini tersedia dalam temuan Perlindungan RDS yang terkait dengan versi mesin yang didukung dari Limitless Database.
+ **Pengidentifikasi grup shard DB** — Nama yang terkait dengan grup shard DB Limitless.
+ **ID sumber daya grup shard DB** — Pengidentifikasi sumber daya dari grup pecahan DB dalam DB Limitless.
+ **Grup pecahan DB ARN** — Nama Sumber Daya Amazon (ARN) yang mengidentifikasi grup pecahan DB.
+ **Engine** — Pengenal dari Limitless DB yang terlibat dalam temuan.
+ **Versi mesin** — Versi mesin Limitless DB.
+ **DB cluster identifier** — Nama cluster database yang merupakan bagian dari Limitless DB.
Untuk informasi tentang pengguna dan detail otentikasi dari database yang berpotensi terkena dampak, lihat. [Rincian pengguna database RDS (DB)](#rds-pro-db-user-details)
------
#### [ Lambda ]
**Detail fungsi Lambda**
+ **Nama fungsi** — Nama fungsi Lambda yang terlibat dalam temuan.
+ **Versi fungsi** — Versi fungsi Lambda yang terlibat dalam temuan.
+ **Deskripsi fungsi** — Deskripsi fungsi Lambda yang terlibat dalam temuan.
+ **Fungsi ARN** — Nama Sumber Daya Amazon (ARN) dari fungsi Lambda yang terlibat dalam temuan.
+ ID **Revisi — ID** revisi versi fungsi Lambda.
+ **Peran** — Peran eksekusi fungsi Lambda yang terlibat dalam temuan.
+ Konfigurasi **VPC - Konfigurasi** VPC Amazon, termasuk ID VPC, grup keamanan, dan subnet yang terkait dengan fungsi Lambda Anda. IDs
+ ID **VPC — ID** VPC Amazon yang terkait dengan fungsi Lambda yang terlibat dalam temuan.
+ **Subnet IDs** — ID subnet yang terkait dengan fungsi Lambda Anda.
+ **Grup Keamanan — Kelompok** keamanan yang melekat pada fungsi Lambda yang terlibat. Ini termasuk nama grup keamanan dan ID grup.
+ **Tag** — Daftar tag yang dilampirkan ke sumber daya ini, tercantum dalam format`key`: `value` pasangan.
------
## Detail pencarian urutan serangan
GuardDuty memberikan detail untuk setiap temuan yang dihasilkannya di akun Anda. Detail ini membantu Anda memahami alasan di balik temuan tersebut. Bagian ini berfokus pada detail yang terkait dengan[Jenis pencarian urutan serangan](guardduty-attack-sequence-finding-types.md). Ini termasuk wawasan seperti sumber daya yang berpotensi terkena dampak, garis waktu peristiwa, indikator, sinyal, dan titik akhir yang terlibat dalam temuan.
Untuk melihat detail yang terkait dengan sinyal yang merupakan GuardDuty temuan, lihat bagian terkait di halaman ini.
Di GuardDuty konsol, saat Anda memilih pencarian urutan serangan, panel samping detail dibagi menjadi tab berikut:
+ **Ikhtisar** — Memberikan tampilan ringkas tentang detail urutan serangan, termasuk sinyal, taktik MITRE, dan sumber daya yang berpotensi terkena dampak.
+ **Sinyal** — Menampilkan garis waktu peristiwa yang terlibat dalam urutan serangan.
+ **Sumber Daya** — Memberikan informasi tentang sumber daya yang berpotensi terkena dampak, atau sumber daya yang berpotensi berisiko.
Daftar berikut memberikan deskripsi yang terkait dengan rincian pencarian urutan serangan.
**Sinyal**
Sinyal bisa berupa aktivitas API atau temuan yang GuardDuty digunakan untuk mendeteksi temuan urutan serangan. GuardDuty menganggap sinyal lemah yang tidak menampilkan diri sebagai ancaman yang jelas, menyatukannya, dan berkorelasi dengan temuan yang dihasilkan secara individual. Untuk konteks lebih lanjut, tab **Sinyal** menyediakan garis waktu sinyal, seperti yang diamati oleh GuardDuty.
Setiap sinyal, yang merupakan GuardDuty temuan, memiliki tingkat keparahan dan nilai yang ditetapkan untuk itu sendiri. Di GuardDuty konsol, Anda dapat memilih setiap sinyal untuk melihat detail terkait.
**Aktor**
Memberikan rincian tentang aktor ancaman dalam urutan serangan. Untuk informasi selengkapnya, lihat *Referensi [Aktor](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Actor.html) di Amazon GuardDuty API*.
**Titik akhir**
Memberikan rincian tentang titik akhir jaringan yang digunakan dalam urutan serangan ini. Untuk informasi selengkapnya, lihat [NetworkEndpoint](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_NetworkEndpoint.html)di *Referensi Amazon GuardDuty API*. Untuk informasi tentang cara GuardDuty menentukan lokasi, lihat[Detail geolokasi](#guardduty-finding-details-geolocation).
**Indikator**
Termasuk data yang diamati yang cocok dengan pola masalah keamanan. Data ini menentukan mengapa GuardDuty ada indikasi aktivitas yang berpotensi mencurigakan. Misalnya, ketika nama indikatornya`HIGH_RISK_API`, ini menunjukkan tindakan yang biasa digunakan oleh pelaku ancaman, atau tindakan sensitif yang dapat menyebabkan dampak potensial pada Akun AWS, seperti mengakses kredensil atau memodifikasi sumber daya.
Tabel berikut mencakup daftar indikator potensial dan deskripsinya:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/guardduty/latest/ug/guardduty_findings-summary.html)
**Taktik MITRE**
Bidang ini menentukan taktik MITRE ATT&CK yang dicoba oleh aktor ancaman melalui urutan serangan. GuardDuty menggunakan kerangka kerja [MITRE ATT&ACK](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-format.html#guardduty_threat_purposes) yang menambahkan konteks ke seluruh urutan serangan. Warna yang digunakan GuardDuty konsol untuk menentukan tujuan ancaman yang telah digunakan oleh aktor ancaman, sejajar dengan warna yang menunjukkan kritis, tinggi, sedang, dan rendah[Temuan tingkat keparahan](guardduty_findings-severity.md).
**Indikator jaringan**
Indikator mencakup kombinasi nilai indikator jaringan yang menjelaskan mengapa jaringan menunjukkan perilaku yang mencurigakan. Bagian ini hanya berlaku jika **Indikator** menyertakan `SUSPICIOUS_NETWORK` atau`MALICIOUS_IP`. Contoh berikut menunjukkan bagaimana indikator jaringan dapat dikaitkan dengan indikator, di mana:
+ *AnyCompany*adalah Sistem Otonom (AS).
+ `TUNNEL_VPN`,`IS_ANONYMOUS`, dan `ALLOWS_FREE_ACCESS` merupakan indikator jaringan.
```
...{
"key": "SUSPICIOUS_NETWORK",
"values": [{
"AnyCompany": [
"TUNNEL_VPN",
"IS_ANONYMOUS",
"ALLOWS_FREE_ACCESS"
]
}]
}
...
```
Tabel berikut mencakup nilai indikator jaringan dan deskripsinya. Tag ini ditambahkan berdasarkan data intelijen ancaman yang GuardDuty dikumpulkan dari sumber seperti Spur
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/guardduty/latest/ug/guardduty_findings-summary.html)
## Rincian pengguna database RDS (DB)
**catatan**
Bagian ini berlaku untuk temuan saat Anda mengaktifkan fitur Perlindungan RDS di GuardDuty. Untuk informasi selengkapnya, lihat [GuardDuty Perlindungan RDS](rds-protection.md).
GuardDuty Temuan ini memberikan rincian pengguna dan otentikasi berikut dari database yang berpotensi dikompromikan:
+ **Pengguna** — Nama pengguna yang digunakan untuk melakukan upaya login anomali.
+ **Aplikasi** — Nama aplikasi yang digunakan untuk melakukan upaya login anomali.
+ **Database** — Nama instance database yang terlibat dalam upaya login anomali.
+ **SSL** — Versi Secure Socket Layer (SSL) yang digunakan untuk jaringan.
+ **Metode autentikasi** — Metode otentikasi yang digunakan oleh pengguna yang terlibat dalam temuan.
Untuk informasi tentang sumber daya yang berpotensi dikompromikan, lihat[Sumber daya](#findings-resource-affected).
## Detail temuan Pemantauan Runtime
**catatan**
Detail ini mungkin tersedia hanya jika GuardDuty menghasilkan salah satu[GuardDuty Jenis penemuan Runtime Monitoring](findings-runtime-monitoring.md).
Bagian ini berisi rincian runtime seperti detail proses dan konteks yang diperlukan. Detail proses menjelaskan informasi tentang proses yang diamati, dan konteks runtime menjelaskan informasi tambahan apa pun tentang aktivitas yang berpotensi mencurigakan.
**Detail proses**
+ **Nama** — Nama proses.
+ Jalur yang **dapat dieksekusi — Jalur** absolut dari file yang dapat dieksekusi proses.
+ **Executable SHA-256** — `SHA256` Hash dari proses yang dapat dieksekusi.
+ **Namespace PID** — ID proses dalam namespace PID sekunder selain namespace PID tingkat host. Untuk proses di dalam wadah, itu adalah ID proses yang diamati di dalam wadah.
+ **Direktori kerja saat** ini — Direktori kerja saat ini dari proses.
+ **Process ID** — ID yang ditetapkan untuk proses oleh sistem operasi.
+ **StartTime** — Waktu ketika proses dimulai. Ini dalam format string tanggal UTC (`2023-03-22T19:37:20.168Z`).
+ **UUID — ID** unik yang ditetapkan untuk proses oleh. GuardDuty
+ **UUID Induk** — ID unik dari proses induk. ID ini ditetapkan ke proses induk oleh GuardDuty.
+ **Pengguna** — Pengguna yang menjalankan proses.
+ **User ID** — ID pengguna yang menjalankan proses.
+ **ID pengguna** yang efektif — ID pengguna yang efektif dari proses pada saat acara berlangsung.
+ **Silsilah** — Informasi tentang nenek moyang proses.
+ **Process ID** — ID yang ditetapkan untuk proses oleh sistem operasi.
+ **UUID — ID** unik yang ditetapkan untuk proses oleh. GuardDuty
+ Jalur yang **dapat dieksekusi — Jalur** absolut dari file yang dapat dieksekusi proses.
+ **ID pengguna** yang efektif — ID pengguna yang efektif dari proses pada saat acara berlangsung.
+ **UUID Induk** — ID unik dari proses induk. ID ini ditetapkan ke proses induk oleh GuardDuty.
+ **Waktu Mulai** — Waktu ketika proses dimulai.
+ **Namespace PID** — ID proses dalam namespace PID sekunder selain namespace PID tingkat host. Untuk proses di dalam wadah, itu adalah ID proses yang diamati di dalam wadah.
+ **User ID** — User ID pengguna yang menjalankan proses.
+ **Nama** — Nama proses.
**Konteks runtime**
Dari bidang berikut, temuan yang dihasilkan mungkin hanya mencakup bidang-bidang yang relevan dengan jenis temuan.
+ **Mount Source** - Jalur pada host yang dipasang oleh wadah.
+ **Mount Target** - Jalur dalam wadah yang dipetakan ke direktori host.
+ Jenis **Sistem File - Merupakan jenis sistem file** yang dipasang.
+ **Bendera** - Merupakan opsi yang mengontrol perilaku acara yang terlibat dalam temuan ini.
+ **Memodifikasi Proses** — Informasi tentang proses yang membuat atau memodifikasi biner, skrip, atau pustaka, di dalam wadah saat runtime.
+ **Modified At** — Stempel waktu di mana proses membuat atau memodifikasi biner, skrip, atau pustaka di dalam wadah saat runtime. Bidang ini dalam format string tanggal UTC (`2023-03-22T19:37:20.168Z`).
+ **Library Path** — Jalur ke perpustakaan baru yang dimuat.
+ **LD Preload Value** — Nilai variabel `LD_PRELOAD` lingkungan.
+ **Socket Path** — Jalur ke soket Docker yang diakses.
+ **Runc Binary Path** — Jalan menuju `runc` biner.
+ **Release Agent Path** - Jalur ke file agen `cgroup` rilis.
+ **Contoh Baris Perintah** — Contoh baris perintah yang terlibat dalam aktivitas yang berpotensi mencurigakan.
+ **Kategori Alat** - Kategori yang dimiliki alat tersebut. Beberapa contohnya adalah Backdoor Tool, Pentest Tool, Network Scanner, dan Network Sniffer.
+ **Nama Alat** — Nama alat yang berpotensi mencurigakan.
+ **Script Path** — Jalur ke skrip yang dieksekusi yang menghasilkan temuan.
+ **Threat File Path** — Jalur mencurigakan di mana rincian intelijen ancaman ditemukan.
+ **Nama Layanan** — Nama layanan keamanan yang telah dinonaktifkan.
+ **Nama Modul** — Nama modul yang dimuat ke dalam kernel.
+ **Module SHA256** — SHA256 Hash dari modul.
+ **Module File Path** — Path ke modul dimuat ke kernel.
## Detail pemindaian volume EBS
**catatan**
Bagian ini berlaku untuk temuan saat Anda mengaktifkan GuardDuty pemindaian malware yang dimulai. [Perlindungan Malware untuk EC2](malware-protection.md)
Pemindaian volume EBS memberikan detail tentang volume EBS yang melekat pada instans EC2 atau beban kerja kontainer yang berpotensi dikompromikan.
+ **Scan ID** — Pengidentifikasi pemindaian malware.
+ **Pemindaian dimulai pada** — Tanggal dan waktu ketika pemindaian malware dimulai.
+ **Pemindaian selesai pada** — Tanggal dan waktu pemindaian malware selesai.
+ **Trigger Finding ID** — ID temuan dari GuardDuty temuan yang memulai pemindaian malware ini.
+ **Sumber** — Nilai potensial adalah `Bitdefender` dan`Amazon`.
Untuk informasi selengkapnya tentang mesin pemindai yang digunakan untuk mendeteksi malware, lihat[GuardDuty mesin pemindai deteksi malware](guardduty-malware-detection-scan-engine.md).
+ **Deteksi pemindaian** — Tampilan lengkap detail dan hasil untuk setiap pemindaian malware.
+ **Jumlah item yang dipindai - Jumlah** total file yang dipindai. Ini memberikan rincian seperti`totalGb`,`files`, dan`volumes`.
+ **Jumlah item yang terdeteksi ancaman — Jumlah** total berbahaya yang `files` terdeteksi selama pemindaian.
+ **Detail ancaman tingkat keparahan tertinggi** — Rincian ancaman tingkat keparahan tertinggi yang terdeteksi selama pemindaian dan jumlah file berbahaya. Ini memberikan rincian seperti`severity`,`threatName`, dan`count`.
+ **Ancaman terdeteksi oleh Nama** - Elemen kontainer mengelompokkan ancaman dari semua tingkat keparahan. Ini memberikan rincian seperti`itemCount`,`uniqueThreatNameCount`,`shortened`, dan`threatNames`.
## Perlindungan Malware untuk detail pencarian EC2
**catatan**
Bagian ini berlaku untuk temuan saat Anda mengaktifkan GuardDuty pemindaian malware yang dimulai. [Perlindungan Malware untuk EC2](malware-protection.md)
Saat Perlindungan Malware untuk pemindaian EC2 mendeteksi malware, Anda dapat melihat detail pemindaian dengan memilih temuan yang sesuai di halaman **Temuan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol. Tingkat keparahan Perlindungan Malware Anda untuk temuan EC2 tergantung pada tingkat keparahan GuardDuty temuan.
Informasi berikut tersedia di bawah bagian **Ancaman terdeteksi** di panel detail.
+ **Nama** — Nama ancaman, diperoleh dengan mengelompokkan file dengan deteksi.
+ **Keparahan** — Tingkat keparahan ancaman yang terdeteksi.
+ **Hash** — SHA-256 dari file.
+ **Jalur file** — Lokasi file berbahaya dalam volume EBS.
+ **Nama file** — Nama file di mana ancaman terdeteksi.
+ **Volume ARN** — ARN dari volume EBS yang dipindai.
Informasi berikut tersedia di bawah bagian **Detail pemindaian Malware** di panel detail.
+ **Scan ID — ID** pemindaian dari pemindaian malware.
+ **Pemindaian dimulai pada** — Tanggal dan waktu pemindaian dimulai.
+ **Pemindaian selesai pada** — Tanggal dan waktu pemindaian selesai.
+ **File yang dipindai** — Jumlah total file dan direktori yang dipindai.
+ **Total GB yang dipindai** — Jumlah penyimpanan yang dipindai selama proses berlangsung.
+ **Trigger finding ID** — ID temuan dari GuardDuty temuan yang memulai pemindaian malware ini.
+ Informasi berikut tersedia di bawah bagian **Detail volume** di panel detail.
+ **Volume ARN** — Nama Sumber Daya Amazon (ARN) dari volume.
+ **Snapshotarn** — ARN dari snapshot volume EBS.
+ **Status** — Status pemindaian volume, seperti`Running`,`Skipped`, dan`Completed`.
+ **Jenis enkripsi** — Jenis enkripsi yang digunakan untuk mengenkripsi volume. Misalnya, `CMCMK`.
+ **Nama perangkat** — Nama perangkat. Misalnya, `/dev/xvda`.
## Detail temuan Perlindungan Malware untuk S3
Detail pemindaian malware berikut tersedia saat Anda mengaktifkan keduanya GuardDuty dan Perlindungan Malware untuk S3 di: Akun AWS
+ **Ancaman** — Daftar ancaman yang terdeteksi selama pemindaian malware.
**Beberapa potensi ancaman dalam file arsip**
Jika Anda memiliki file arsip dengan potensi beberapa ancaman di dalamnya, Perlindungan Malware untuk S3 hanya melaporkan ancaman pertama yang terdeteksi. Setelah ini, status pemindaian ditandai sebagai selesai. GuardDuty menghasilkan jenis temuan terkait dan juga mengirimkan EventBridge peristiwa yang dihasilkannya. **Untuk informasi selengkapnya tentang memantau pemindaian objek Amazon S3 menggunakan EventBridge peristiwa, lihat skema pemberitahuan contoh untuk THREATS\$1FOUND di.** [Hasil pemindaian objek S3](monitor-with-eventbridge-s3-malware-protection.md#s3-object-scan-status-malware-protection-s3-ev)
+ **Jalur item** - Daftar jalur item bersarang dan detail hash dari objek S3 yang dipindai.
+ **Jalur item bersarang** - Jalur item dari objek S3 yang dipindai tempat ancaman terdeteksi.
Nilai bidang ini hanya tersedia jika objek tingkat atas adalah arsip dan jika ancaman terdeteksi di dalam arsip.
+ **Hash** — Hash dari ancaman yang terdeteksi dalam temuan ini.
+ **Sumber** — Nilai potensial adalah `Bitdefender` dan`Amazon`.
Untuk informasi selengkapnya tentang mesin pemindai yang digunakan untuk mendeteksi malware, lihat[GuardDuty mesin pemindai deteksi malware](guardduty-malware-detection-scan-engine.md).
## Tindakan
**Tindakan** temuan memberikan rincian tentang jenis aktivitas yang memicu temuan. Informasi yang tersedia bervariasi berdasarkan tipe tindakan.
**Tipe tindakan** – Tipe aktivitas temuan. ****Nilai ini dapat berupa **NETWORK\$1CONNECTION, PORT\$1PROBE****, DNS\$1REQUEST, \$1CALL**, atau **RDS\$1LOGIN\$1ATTACT**. AWS\$1API**** Informasi yang tersedia bervariasi berdasarkan tipe tindakan:
+ **NETWORK\$1CONNECTION** - Menunjukkan bahwa lalu lintas jaringan dipertukarkan antara instans EC2 yang diidentifikasi dan host jarak jauh. Tipe tindakan ini memiliki informasi tambahan berikut:
+ **Arah koneksi** — Arah koneksi jaringan diamati dalam aktivitas yang mendorong GuardDuty untuk menghasilkan temuan. Nilai bisa jadi salah satu dari nilai berikut:
+ **INBOUND** - Menunjukkan bahwa host jarak jauh memulai koneksi ke port lokal pada instans EC2 yang diidentifikasi di akun Anda.
+ **OUTBOUND** - Menunjukkan bahwa instans EC2 yang diidentifikasi memulai koneksi ke host jarak jauh.
+ **TIDAK DIKETAHUI** — Menunjukkan bahwa tidak GuardDuty dapat menentukan arah koneksi.
+ **Protokol** — Protokol koneksi jaringan diamati dalam aktivitas yang mendorong GuardDuty untuk menghasilkan temuan.
+ **IP lokal** — Alamat IP sumber asli dari lalu lintas yang memicu temuan. Info ini dapat digunakan untuk membedakan antara alamat IP dari lapisan perantara yang dilalui arus lalu lintas, dan alamat IP sumber asal dari lalu lintas yang memicu temuan. Misalnya, alamat IP pod EKS berbeda dengan alamat IP instans tempat pod EKS berjalan.
+ **Diblokir** – Menunjukkan apakah port yang ditargetkan diblokir.
+ **PORT\$1PROBE** - Menunjukkan bahwa host jarak jauh memeriksa instans EC2 yang diidentifikasi pada beberapa port terbuka. Tipe tindakan ini memiliki informasi tambahan berikut:
+ **IP lokal** — Alamat IP sumber asli dari lalu lintas yang memicu temuan. Info ini dapat digunakan untuk membedakan antara alamat IP dari lapisan perantara yang dilalui arus lalu lintas, dan alamat IP sumber asal dari lalu lintas yang memicu temuan. Misalnya, alamat IP pod EKS berbeda dengan alamat IP instans tempat pod EKS berjalan.
+ **Diblokir** – Menunjukkan apakah port yang ditargetkan diblokir.
+ **DNS\$1REQUEST** - Menunjukkan bahwa instans EC2 yang diidentifikasi menanyakan nama domain. Tipe tindakan ini memiliki informasi tambahan berikut:
+ **Protokol** — Protokol koneksi jaringan diamati dalam aktivitas yang mendorong GuardDuty untuk menghasilkan temuan.
+ **Diblokir** – Menunjukkan apakah port yang ditargetkan diblokir.
+ **AWS\$1API\$1CALL** — Menunjukkan bahwa AWS API telah dipanggil. Tipe tindakan ini memiliki informasi tambahan berikut:
+ **API** — Nama operasi API yang dipanggil dan dengan demikian diminta GuardDuty untuk menghasilkan temuan ini.
**catatan**
Operasi ini juga dapat mencakup peristiwa non-API yang ditangkap oleh AWS CloudTrail. Untuk informasi selengkapnya, lihat [peristiwa non-API yang ditangkap oleh CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-non-api-events.html).
+ **User Agent** — Agen pengguna yang membuat permintaan API. Nilai ini memberi tahu Anda apakah panggilan dilakukan dari, AWS layanan AWS SDKs, atau AWS CLI. Konsol Manajemen AWS
+ **KODE KESALAHAN** - Jika temuan dipicu oleh panggilan API yang gagal, ini menampilkan kode kesalahan untuk panggilan itu.
+ **Nama layanan** — Nama DNS dari layanan yang mencoba membuat panggilan API yang memicu temuan.
+ **RDS\$1LOGIN\$1ATTACT - Menunjukkan bahwa upaya** login dilakukan ke database yang berpotensi dikompromikan dari alamat IP jarak jauh.
+ **Alamat IP — Alamat** IP jarak jauh yang digunakan untuk melakukan upaya login yang berpotensi mencurigakan.
## Aktor atau Target
Temuan memiliki bagian **Aktor** jika **peran Sumber Daya** adalah `TARGET`. Ini menunjukkan bahwa sumber daya Anda ditargetkan oleh aktivitas mencurigakan, dan bagian **Aktor** berisi detail tentang entitas yang menargetkan sumber daya Anda.
Temuan memiliki bagian **Target** jika **peran Sumber Daya** adalah `ACTOR`. Hal ini menunjukkan bahwa sumber daya Anda terlibat dalam aktivitas yang mencurigakan terhadap host jarak jauh, dan bagian ini berisi informasi tentang IP atau domain yang ditargetkan sumber daya Anda.
Informasi yang tersedia di bagian **Aktor** atau **Target** dapat mencakup hal-hal berikut:
+ **Afiliasi** — Detail tentang apakah AWS akun pemanggil API jarak jauh terkait dengan lingkungan Anda GuardDuty . Jika nilai ini`true`, pemanggil API berafiliasi dengan akun Anda dalam beberapa cara; jika`false`, pemanggil API berasal dari luar lingkungan Anda.
+ **ID Akun Jarak Jauh** — ID akun yang memiliki alamat IP keluar yang digunakan untuk mengakses sumber daya di jaringan akhir.
+ **Alamat IP** — Alamat IP yang terlibat dalam aktivitas yang mendorong GuardDuty untuk menghasilkan temuan.
+ **Lokasi** — Informasi lokasi untuk alamat IP yang terlibat dalam aktivitas yang diminta GuardDuty untuk menghasilkan temuan.
+ **Organisasi** — informasi organisasi ISP dari alamat IP yang terlibat dalam aktivitas yang mendorong GuardDuty untuk menghasilkan temuan.
+ **Port** — Nomor port yang terlibat dalam aktivitas yang mendorong GuardDuty untuk menghasilkan temuan.
+ **Domain** — Domain yang terlibat dalam aktivitas yang mendorong GuardDuty untuk menghasilkan temuan.
+ **Domain dengan akhiran** — Domain tingkat kedua dan teratas yang terlibat dalam aktivitas yang berpotensi mendorong GuardDuty untuk menghasilkan temuan. [Untuk daftar domain tingkat atas dan tingkat kedua, lihat daftar akhiran publik.](https://publicsuffix.org/)
## Detail geolokasi
GuardDuty menentukan lokasi dan jaringan permintaan dengan menggunakan database MaxMind GeoIP. MaxMind melaporkan akurasi data mereka yang sangat tinggi di tingkat negara, meskipun akurasi bervariasi sesuai dengan faktor-faktor seperti negara dan jenis alamat IP.
Untuk informasi selengkapnya MaxMind, lihat [Geolokasi MaxMind IP](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation). Jika Anda yakin salah satu data GeoIP salah, kirimkan permintaan koreksi ke MaxMind [MaxMindCorrect IP2 Geo](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) Data.
## Informasi tambahan
Semua temuan memiliki bagian **Informasi tambahan** yang dapat mencakup informasi berikut:
+ **Nama daftar ancaman** — Nama daftar ancaman yang mencakup alamat IP atau nama domain yang terlibat dalam aktivitas yang diminta GuardDuty untuk menghasilkan temuan.
+ **Sampel** — Nilai benar atau salah yang menunjukkan apakah ini adalah temuan sampel.
+ **Diarsipkan** — Nilai benar atau salah yang menunjukkan apakah temuan ini telah diarsipkan.
+ **Tidak biasa** — Detail aktivitas yang tidak diamati secara historis. Ini dapat mencakup pengguna yang tidak biasa (sebelumnya tidak diamati), lokasi, waktu, bucket, perilaku login, atau ASN Org.
+ **Protokol yang tidak biasa** — Protokol koneksi jaringan yang terlibat dalam aktivitas yang mendorong GuardDuty untuk menghasilkan temuan.
+ **Detail agen** — Detail tentang agen keamanan yang saat ini digunakan di klaster EKS di Anda Akun AWS. Ini hanya berlaku untuk jenis pencarian Pemantauan Runtime EKS.
+ **Versi agen** — Versi agen GuardDuty keamanan.
+ **Agen Id** — Identifier unik dari agen GuardDuty keamanan.
## Bukti
Temuan berdasarkan intelijen ancaman memiliki bagian **Bukti** yang mencakup informasi berikut:
+ **Detail intelijen ancaman** — Nama daftar ancaman tempat yang dikenali `Threat name` muncul.
+ **Nama ancaman** — Nama keluarga malware atau pengenal lain yang terkait dengan ancaman.
+ **File ancaman SHA256** — SHA256 dari file yang menghasilkan temuan.
## Perilaku anomali
Jenis temuan yang berakhir **AnomalousBehavior**menunjukkan bahwa temuan tersebut dihasilkan oleh model pembelajaran mesin deteksi GuardDuty anomali (ML). Model ML mengevaluasi semua permintaan API ke akun Anda dan mengidentifikasi peristiwa anomali yang terkait dengan taktik yang digunakan oleh musuh. Model ML melacak berbagai faktor permintaan API, seperti pengguna yang membuat permintaan, lokasi tempat permintaan dibuat, dan API khusus yang diminta.
Detail tentang faktor permintaan API yang tidak biasa untuk identitas CloudTrail pengguna yang memanggil permintaan dapat ditemukan di detail temuan. Identitas didefinisikan oleh Elemen [ CloudTrail UserIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html), dan nilai yang mungkin adalah`Root`:`IAMUser`,,,, `AssumedRole` `FederatedUser``AWSAccount`, atau. `AWSService`
Selain detail yang tersedia untuk semua GuardDuty temuan yang terkait dengan aktivitas API, **AnomalousBehavior**temuan memiliki detail tambahan yang diuraikan di bagian berikut. Detail ini dapat dilihat di konsol dan juga tersedia di JSON temuan.
+ **Anomalous APIs** — Daftar permintaan API yang dipanggil oleh identitas pengguna di dekat permintaan API utama yang terkait dengan temuan. Panel ini selanjutnya memecah detail peristiwa API dengan cara berikut.
+ API pertama yang terdaftar adalah API utama, yang merupakan permintaan API yang terkait dengan aktivitas berisiko tertinggi yang diamati. Ini adalah API yang memicu temuan dan berkorelasi dengan tahap serangan dari tipe temuan. Ini juga merupakan API yang diuraikan di bagian **Tindakan** di konsol, dan di JSON temuan.
+ APIs Daftar lainnya adalah anomali tambahan APIs dari identitas pengguna terdaftar yang diamati di dekat API utama. Jika hanya ada satu API pada daftar, model ML tidak mengidentifikasi permintaan API tambahan dari identitas pengguna sebagai anomali.
+ Daftar APIs dibagi berdasarkan apakah API **berhasil dipanggil**, atau jika API tidak berhasil dipanggil, artinya respons kesalahan diterima. Jenis respons kesalahan yang diterima tercantum di atas setiap API yang tidak berhasil disebut. Jenis respons kesalahan yang mungkin adalah:`access denied`,`access denied exception`,`auth failure`,`instance limit exceeded`,`invalid permission - duplicate`,`invalid permission - not found`, dan`operation not permitted`.
+ APIs dikategorikan oleh layanan terkait mereka.
+ Untuk konteks lebih lanjut, pilih **Historis APIs** untuk melihat detail tentang bagian atas APIs, hingga maksimum 20, biasanya terlihat untuk identitas pengguna dan semua pengguna dalam akun. Ditandai **Langka (kurang dari sebulan sekali)**, Jarang **(beberapa kali sebulan)**, atau **Sering (harian hingga mingguan)**, tergantung pada seberapa sering mereka digunakan dalam akun Anda. APIs
+ **Perilaku Tidak Biasa (Akun)** — Bagian ini memberikan rincian tambahan tentang perilaku yang diprofilkan untuk akun Anda.
**Perilaku yang diprofilkan**
GuardDuty terus belajar tentang aktivitas dalam akun Anda berdasarkan peristiwa yang disampaikan. Kegiatan ini dan frekuensi yang diamati dikenal sebagai perilaku yang diprofilkan.
Informasi yang dilacak di panel ini mencakup:
+ **ASN Org — Org** Autonomous System Number (ASN) tempat panggilan API anomali dibuat.
+ **Nama Pengguna** – Nama pengguna yang membuat panggilan API anomali.
+ **User Agent** — Agen pengguna yang digunakan untuk membuat panggilan API anomali. Agen pengguna adalah metode yang digunakan untuk membuat panggilan seperti `aws-cli` atau `Botocore`.
+ **Tipe Pengguna** – Tipe pengguna yang membuat panggilan API anomali. Kemungkinan nilainya adalah `AWS_SERVICE`, `ASSUMED_ROLE`, `IAM_USER`, atau `ROLE`.
+ **Bucket** — Nama bucket S3 yang sedang diakses.
+ **Perilaku Tidak Biasa (Identitas Pengguna)** - Bagian ini memberikan rincian tambahan tentang perilaku yang diprofilkan untuk **Identitas Pengguna** yang terlibat dengan temuan tersebut. Ketika perilaku tidak diidentifikasi sebagai historis, ini berarti model GuardDuty ML sebelumnya tidak melihat identitas pengguna ini membuat panggilan API ini dengan cara ini dalam periode pelatihan. Berikut adalah detail tambahan tentang **Identitas Pengguna** yang tersedia:
+ **ASN Org** – ASN Org tempat panggilan API anomali dibuat.
+ **User Agent** — Agen pengguna yang digunakan untuk membuat panggilan API anomali. Agen pengguna adalah metode yang digunakan untuk membuat panggilan seperti `aws-cli` atau `Botocore`.
+ **Bucket** — Nama bucket S3 yang sedang diakses.
+ **Perilaku Tidak Biasa (Bucket)** — Bagian ini memberikan detail tambahan tentang perilaku yang diprofilkan untuk bucket S3 yang terkait dengan temuan tersebut. Jika perilaku tidak diidentifikasi sebagai historis, ini berarti model GuardDuty ML sebelumnya tidak pernah melihat panggilan API yang dilakukan ke bucket ini dengan cara ini dalam periode pelatihan. Informasi yang dilacak di bagian ini meliputi:
+ **ASN Org** – ASN Org tempat panggilan API anomali dibuat.
+ **Nama Pengguna** – Nama pengguna yang membuat panggilan API anomali.
+ **User Agent** — Agen pengguna yang digunakan untuk membuat panggilan API anomali. Agen pengguna adalah metode yang digunakan untuk membuat panggilan seperti `aws-cli` atau `Botocore`.
+ **Tipe Pengguna** – Tipe pengguna yang membuat panggilan API anomali. Kemungkinan nilainya adalah `AWS_SERVICE`, `ASSUMED_ROLE`, `IAM_USER`, atau `ROLE`.
**catatan**
Untuk konteks lebih lanjut tentang perilaku historis, pilih **Perilaku historis** di bagian **Perilaku Tidak Biasa (Akun)**, **ID Pengguna**, atau **Bucket** untuk melihat detail tentang perilaku yang diharapkan di akun Anda untuk masing-masing kategori berikut: **Langka (kurang dari sebulan sekali)**, Jarang **(beberapa kali sebulan)**, atau **Sering (harian hingga mingguan)**, tergantung seberapa sering mereka digunakan dalam akun Anda.
+ **Perilaku Tidak Biasa (Database)** - Bagian ini memberikan rincian tambahan tentang perilaku yang diprofilkan untuk instance database yang terkait dengan temuan. Ketika perilaku tidak diidentifikasi sebagai historis, itu berarti bahwa model GuardDuty ML sebelumnya tidak melihat upaya login yang dilakukan ke instance database ini dengan cara ini dalam periode pelatihan. Informasi yang dilacak untuk bagian ini di panel temuan meliputi:
+ **Nama pengguna — Nama** pengguna yang digunakan untuk melakukan upaya login anomali.
+ **ASN Org** — Org ASN tempat upaya login anomali dilakukan.
+ **Nama aplikasi — Nama** aplikasi yang digunakan untuk melakukan upaya login anomali.
+ **Nama database** — Nama instance database yang terlibat dalam upaya login anomali.
Bagian **perilaku historis** memberikan lebih banyak konteks tentang **nama Pengguna** yang diamati sebelumnya, **Org ASN**, **nama Aplikasi, dan nama** Database untuk **database** terkait. Setiap nilai unik memiliki hitungan terkait yang mewakili berapa kali nilai ini diamati dalam peristiwa login yang berhasil.
+ **Perilaku yang tidak biasa (klaster Akun Kubernetes, namespace Kubernetes, dan nama pengguna Kubernetes) — Bagian ini memberikan rincian tambahan tentang perilaku yang diprofilkan untuk klaster Kubernetes** dan namespace yang terkait dengan temuan tersebut. Ketika perilaku tidak diidentifikasi sebagai historis, itu berarti bahwa model GuardDuty ML sebelumnya tidak mengamati akun, klaster, namespace, atau nama pengguna ini dengan cara ini. Informasi yang dilacak untuk bagian ini di panel temuan meliputi:
+ **Username** — Pengguna yang memanggil Kubernetes API yang terkait dengan temuan tersebut.
+ **Nama Pengguna yang Ditiru - Pengguna** yang ditiru oleh. `username`
+ **Namespace** — Namespace Kubernetes di dalam klaster Amazon EKS tempat aksi terjadi.
+ **User Agent** — Agen pengguna yang terkait dengan panggilan API Kubernetes. Agen pengguna adalah metode yang digunakan untuk melakukan panggilan seperti`kubectl`.
+ **API** — Kubernetes API yang dipanggil oleh di `username` dalam klaster Amazon EKS.
+ **Informasi ASN — Informasi** ASN, seperti Organisasi dan ISP, terkait dengan alamat IP pengguna yang melakukan panggilan ini.
+ **Hari dalam seminggu** — Hari dalam seminggu ketika panggilan API Kubernetes dilakukan.
+ **Izin** — Kata kerja Kubernetes dan sumber daya yang diperiksa untuk mengindikasikan apakah Kubernetes `username` dapat menggunakan API Kubernetes atau tidak.
+ **Nama Akun Layanan** — Akun layanan yang terkait dengan beban kerja Kubernetes yang memberikan identitas pada beban kerja.
+ **Registry** — Registry container yang terkait dengan image container yang di-deploy dalam beban kerja Kubernetes.
+ **Image** - Gambar kontainer, tanpa tag dan intisari terkait, yang digunakan dalam beban kerja Kubernetes.
+ **Image Prefix Config** - Awalan gambar dengan konfigurasi keamanan kontainer dan beban kerja diaktifkan, `hostNetwork` seperti `privileged` atau, untuk wadah yang menggunakan gambar.
+ **Nama Subjek** — Subjek, seperti `user``group`,, atau `serviceAccountName` yang terikat pada peran referensi dalam `RoleBinding` atau`ClusterRoleBinding`.
+ **Nama Peran** — Nama peran yang terlibat dalam pembuatan atau modifikasi peran atau `roleBinding` API.
### Anomali berbasis volume S3
Bagian ini merinci informasi kontekstual untuk anomali berbasis volume S3. Temuan berbasis volume ([Exfiltration:S3/AnomalousBehavior](guardduty_finding-types-s3.md#exfiltration-s3-anomalousbehavior)) memantau jumlah panggilan API S3 yang tidak biasa yang dilakukan ke bucket S3 oleh pengguna, menunjukkan potensi eksfiltrasi data. Panggilan API S3 berikut dipantau untuk deteksi anomali berbasis volume.
+ `GetObject`
+ `CopyObject.Read`
+ `SelectObjectContent`
Metrik berikut akan membantu membangun dasar perilaku biasa saat entitas IAM mengakses bucket S3. Untuk mendeteksi eksfiltrasi data, temuan deteksi anomali berbasis volume mengevaluasi semua aktivitas terhadap garis dasar perilaku yang biasa. Pilih **Perilaku historis** di bagian **Perilaku Tidak Biasa (Identitas Pengguna)**, **Volume yang Diamati (Identitas Pengguna)****, dan Volume Teramati (Bucket)** untuk melihat metrik berikut.
+ Jumlah panggilan `s3-api-name` API yang dipanggil oleh pengguna IAM atau peran IAM (tergantung pada panggilan mana yang dikeluarkan) terkait dengan bucket S3 yang terpengaruh selama 24 jam terakhir.
+ Jumlah panggilan `s3-api-name` API yang dipanggil oleh pengguna IAM atau peran IAM (tergantung pada mana yang dikeluarkan) yang terkait dengan semua bucket S3 selama 24 jam terakhir.
+ Jumlah panggilan `s3-api-name` API di semua pengguna IAM atau peran IAM (tergantung pada mana yang dikeluarkan) terkait dengan bucket S3 yang terpengaruh selama 24 jam terakhir.
### Anomali berbasis aktivitas login RDS
Bagian ini merinci jumlah upaya login yang dilakukan oleh aktor yang tidak biasa dan dikelompokkan berdasarkan hasil upaya login. [Jenis temuan Perlindungan RDS](findings-rds-protection.md)Mengidentifikasi perilaku anomali dengan memantau peristiwa login untuk pola yang tidak biasa`successfulLoginCount`,`failedLoginCount`, dan. `incompleteConnectionCount`
+ **successfulLoginCount**— Penghitung ini mewakili jumlah koneksi yang berhasil (kombinasi atribut login yang benar) yang dibuat ke instance database oleh aktor yang tidak biasa. Atribut login termasuk nama pengguna, kata sandi, dan nama database.
+ **failedLoginCount**— Penghitung ini mewakili jumlah upaya login gagal (gagal) yang dilakukan untuk membuat koneksi ke instance database. Ini menunjukkan bahwa satu atau lebih atribut dari kombinasi login, seperti nama pengguna, kata sandi, atau nama database tidak benar.
+ **incompleteConnectionCount**— Penghitung ini mewakili jumlah upaya koneksi yang tidak dapat diklasifikasikan sebagai berhasil atau gagal. Koneksi ini ditutup sebelum database memberikan respons. Misalnya, pemindaian port di mana port database terhubung tetapi tidak ada informasi yang dikirim ke database, atau koneksi dibatalkan sebelum login selesai dalam upaya yang berhasil atau gagal.
# GuardDuty menemukan agregasi
GuardDuty memperbarui temuan yang dihasilkan secara dinamis. Jika GuardDuty mendeteksi aktivitas baru yang terkait dengan masalah keamanan yang sama, maka alih-alih membuat temuan baru, GuardDuty akan memperbarui temuan asli dengan detail terbaru. Perilaku ini memungkinkan Anda untuk mengidentifikasi masalah yang sedang berlangsung, tanpa perlu melihat melalui beberapa laporan serupa, dan mengurangi volume keseluruhan temuan untuk masalah keamanan yang diketahui.
Misalnya, untuk UnauthorizedAccess:EC2/SSHBruteForce menemukan, beberapa upaya akses terhadap instans Anda akan digabungkan ke ID temuan yang sama, meningkatkan jumlah **Hitungan** dalam detail temuan. Ini karena temuan tersebut mewakili satu masalah keamanan dengan instans yang menunjukkan bahwa port SSH pada instans tidak diamankan dengan benar terhadap tipe aktivitas ini. Namun, jika GuardDuty mendeteksi aktivitas akses SSH yang menargetkan instance baru di lingkungan Anda, itu akan membuat temuan baru dengan ID temuan unik untuk mengingatkan Anda tentang fakta bahwa ada masalah keamanan yang terkait dengan sumber daya baru.
Ketika sebuah temuan dikumpulkan, itu diperbarui dengan informasi dari kejadian terbaru dari aktivitas itu. Ini berarti bahwa dalam contoh di atas, jika instans Anda adalah target upaya brute force dari aktor baru, detail temuan akan diperbarui untuk mencerminkan IP jarak jauh dari sumber terbaru dan informasi lama akan diganti. Informasi lengkap tentang upaya aktivitas individual akan tetap tersedia di CloudTrail log atau Log Aliran VPC Anda.
Kriteria yang mengingatkan GuardDuty untuk menghasilkan temuan baru alih-alih menggabungkan yang sudah ada tergantung pada jenis temuan. Kriteria agregasi untuk setiap jenis temuan ditentukan oleh teknisi keamanan kami untuk memberikan gambaran umum tentang masalah keamanan yang berbeda dalam akun Anda.
Saat GuardDuty menghasilkan jenis pencarian urutan serangan di akun Anda, temuan akan dikumpulkan hanya ketika Anda GuardDuty mengidentifikasi sinyal serupa dalam urutan yang sama di akun Anda. Jika tidak, GuardDuty akan menghasilkan urutan serangan lain.