Was ist Amazon GuardDuty?
Amazon GuardDuty ist ein Managed Threat Detection Service, der AWS-Accounts kontinuierlich auf verdächtige Aktivitäten überwacht. Der Service analysiert CloudTrail Events, VPC Flow Logs und DNS-Logs mit Machine Learning und Threat Intelligence. GuardDuty erkennt Angriffe wie Cryptomining, kompromittierte Instanzen oder ungewöhnliche API-Aufrufe ohne manuelles Log-Parsing.
Kernfunktionen
- Automatische Log-Analyse: Kontinuierliche Auswertung von CloudTrail, VPC Flow Logs, DNS und S3 Data Events
- ML-basierte Anomalieerkennung: Erkennung ungewöhnlicher Verhaltensmuster wie atypische Regionen oder Zugriffszeiten
- Threat Intelligence: Integration aktueller Bedrohungsdaten von AWS und Drittanbietern
- Findings nach Schweregrad: Priorisierte Alerts als Low, Medium oder High für effiziente Reaktion
- Multi-Account Management: Zentrale Verwaltung über AWS Organizations
Typische Anwendungsfälle
Erkennung kompromittierter Credentials
GuardDuty identifiziert, wenn Access Keys von ungewöhnlichen IPs oder Standorten verwendet werden. Typische Indikatoren: Logins aus neuen Regionen, API-Calls zu unüblichen Zeiten oder Zugriffe auf sensible Services.
Cryptomining-Erkennung
Kompromittierte EC2-Instanzen werden oft für Cryptocurrency-Mining missbraucht. GuardDuty erkennt charakteristische Netzwerkverkehrsmuster zu Mining-Pools.
Compliance-Monitoring
Für regulatorische Anforderungen dokumentiert GuardDuty kontinuierlich den Sicherheitsstatus. Findings können an SIEM-Systeme exportiert oder mit Security Hub aggregiert werden.
Vorteile
- Ein-Klick-Aktivierung ohne Agenten oder Sensoren
- Keine Performance-Auswirkungen auf laufende Workloads
- Automatische Updates der Threat Intelligence
- Integration mit EventBridge für automatisierte Reaktionen
Integration mit innFactory
Als AWS Reseller unterstützt innFactory Sie bei Amazon GuardDuty: Einrichtung für Multi-Account-Umgebungen, Konfiguration von Suppression Rules für False Positives und Integration mit Incident-Response-Workflows.