Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Erkennen und Analysieren **Ein Ereignis melden** Sie können über das AWS Security Incident Response Portal ein Sicherheitsereignis auslösen. Es ist wichtig, dass Sie während eines Sicherheitsereignisses nicht warten. AWS Security Incident Response verwendet automatisierte und manuelle Techniken, um Sicherheitsereignisse zu untersuchen, Protokolle zu analysieren und nach anomalen Mustern zu suchen. Ihre Partnerschaft und Ihr Verständnis Ihrer Umgebung beschleunigen diese Analyse. **Aktivierung unterstützter Erkennungsquellen** **Anmerkung** AWS Security Incident Response Die Servicekosten beinhalten keine Nutzungs- und sonstigen Kosten und Gebühren im Zusammenhang mit unterstützten Erkennungsquellen oder der Nutzung anderer AWS Dienste. Einzelheiten zu den Kosten finden Sie auf den Seiten der einzelnen Funktionen oder Dienste. *Amazon GuardDuty* Informationen zur Aktivierung GuardDuty in Ihrer gesamten Organisation finden Sie im `Setting up GuardDuty` Abschnitt des [ GuardDuty Amazon-Benutzerhandbuchs](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html#guardduty_enable-gd). Wir empfehlen Ihnen dringend, alle unterstützten GuardDuty Optionen zu aktivieren AWS-Regionen. Auf diese Weise können GuardDuty Sie auch in Regionen, die Sie nicht aktiv nutzen, Erkenntnisse über unbefugte oder ungewöhnliche Aktivitäten gewinnen. Weitere Informationen finden Sie unter [ GuardDuty Amazon-Regionen und -Endpunkte](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_regions.html) GuardDuty Die Aktivierung ermöglicht AWS Security Incident Response den Zugriff auf wichtige Daten zur Bedrohungserkennung und verbessert so die Fähigkeit, potenzielle Sicherheitsprobleme in Ihrer AWS Umgebung zu erkennen und darauf zu reagieren. *AWS Security Hub CSPM* AWS Security Hub CSPM kann Sicherheitserkenntnisse aus verschiedenen AWS Diensten und unterstützten Sicherheitslösungen von Drittanbietern aufnehmen. Diese Integrationen können dabei helfen, Ergebnisse anderer Erkennungstools zu AWS Security Incident Response überwachen und zu untersuchen. Informationen zur Aktivierung von Security Hub CSPM mit Organisationsintegration finden Sie im [AWS Security Hub CSPM Benutzerhandbuch](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html#securityhub-orgs-setup-overviews). Es gibt mehrere Möglichkeiten, Integrationen auf Security Hub CSPM zu aktivieren. Für Integrationen von Drittanbieterprodukten müssen Sie die Integration möglicherweise bei der erwerben und AWS Marketplace anschließend konfigurieren. Die Integrationsinformationen enthalten Links, mit denen Sie diese Aufgaben ausführen können. Erfahren Sie mehr darüber[, wie Sie AWS Security Hub CSPM Integrationen aktivieren](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integration-enable.html) können. AWS Security Incident Response kann die Ergebnisse der folgenden Tools überwachen und untersuchen, wenn diese integriert AWS Security Hub CSPM sind: + [CrowdStrike — CrowdStrike Falke](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-crowdstrike-falcon) + [Schnürarbeiten — Schnürarbeiten](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-lacework) + [Trend Micro — Cloud Eins](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-trend-micro) Durch die Aktivierung dieser Integrationen können Sie den Umfang und die Effektivität der Überwachungs- und AWS Security Incident Response Ermittlungsfunktionen erheblich verbessern. **Erkennung** Nimmt mit [Proactive Response](setup-monitoring-and-investigation-workflows.md) Erkenntnisse AWS Security Incident Response von Amazon GuardDuty und AWS Security Hub CSPM anhand von EventBridge Amazon-Regeln auf, die während des Onboardings auf Ihre Konten übertragen werden. AWS Security Incident Response archiviert automatisch GuardDuty Amazon-Ergebnisse, die während der automatisierten Triage als harmlos eingestuft wurden oder mit erwarteten Aktivitäten in Verbindung stehen. Sie können archivierte Ergebnisse in der GuardDuty Amazon-Konsole anzeigen, indem Sie im Filter Status der Ergebnisse die Option Archiviert auswählen. Weitere Informationen finden Sie im * GuardDuty Amazon-Benutzerhandbuch* unter [Generierte Ergebnisse in der GuardDuty Konsole anzeigen](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_working-with-findings.html). AWS Security Incident Response archiviert automatisch GuardDuty Amazon-Ergebnisse, die während der automatisierten Triage als harmlos eingestuft wurden oder mit erwarteten Aktivitäten in Verbindung stehen. Diese Archivierung erfolgt nur für Ergebnisse, die einer Triage unterzogen wurden und deren Ergebnis als „Archiv“ bezeichnet wurde. Ergebnisse, die derzeit untersucht werden, bleiben auch nach Abschluss einer Untersuchung in der GuardDuty Amazon-Konsole sichtbar. Sie können archivierte Ergebnisse in der GuardDuty Amazon-Konsole anzeigen, indem Sie im Ergebnisfilter **Archiviert** auswählen. Weitere Informationen zur Arbeit mit archivierten Ergebnissen finden Sie unter [Arbeiten mit Ergebnissen](https://docs.aws.amazon.com/guardduty/latest/ug/findings_managing.html) im * GuardDuty Amazon-Benutzerhandbuch*. Bei AWS Security Hub CSPM der Erfassung von Sicherheitsergebnissen aktualisiert das System jedes Ergebnis mit einem Hinweis, dass die automatische Prüfung begonnen hat. Der Workflow-Status ändert sich von NEU in BENACHRICHTIGT, wodurch das Ergebnis aus der Standardansicht der AWS Security Hub CSPM Ergebnisse entfernt wird. Wenn die Triage feststellt, dass ein Ergebnis harmlos ist oder mit einer erwarteten Aktivität zusammenhängt, fügt das System dem Ergebnis eine Notiz hinzu und aktualisiert den Workflow-Status auf UNTERDRÜCKT. **Analyse: Automatisierte Triage** AWS Security Incident Response analysiert automatisch Sicherheitsresultate. Der Triage-Prozess bestimmt, ob die erkannte Aktivität dem erwarteten Verhalten entspricht, indem Daten aus mehreren Quellen analysiert werden, darunter die gefundene Nutzlast, AWS Dienstmetadaten, AWS Protokollierungs- und Überwachungsdaten (wie AWS CloudTrail VPC-Flow-Logs), AWS Bedrohungsinformationen und den Kontext, den Sie zu Ihrer Umgebung AWS und den lokalen Umgebungen angeben müssen. Wenn die automatische Triage feststellt, dass die erkannte Aktivität zu erwarten ist, ergreift das System keine weiteren Ermittlungsmaßnahmen. **Analyse: Reaktion auf Sicherheitsvorfälle** AWS Security Incident Response Engineering ist ein globales, stets verfügbares Team von Sicherheitsexperten mit Fachwissen in der Reaktion auf Sicherheitsvorfälle AWS und der Reaktion auf Sicherheitsvorfälle. Wenn durch die automatische Triage nicht festgestellt werden kann, dass die Aktivität erwartet wird, wird die AWS Security Incident Response technische Abteilung mit der Durchführung einer Sicherheitsuntersuchung beauftragt. Wenn das Ereignis von Security Hub aufgenommen wurde, wird ein Hinweis zu dem entsprechenden Ergebnis veröffentlicht, der besagt, dass die Untersuchung durch AWS Security Incident Response Engineering im Gange ist. AWS Security Incident Response Engineering führt eine praktische Sicherheitsuntersuchung durch, indem es zusätzliche Servicemetadaten und Bedrohungsinformationen analysiert, Erkenntnisse aus früheren Erkenntnissen und Untersuchungen in Ihrer Umgebung überprüft und Fachwissen zur Reaktion auf Vorfälle einsetzt. Abhängig von Ihren Containment-Einstellungen (siehe Contain) kann AWS Security Incident Response Engineering das Incident Response Team Ihres Unternehmens anhand eines Security Incident Response-Falls in der AWS Security Incident Response Konsole kontaktieren, um zu überprüfen, ob die erkannte Aktivität erwartet und autorisiert ist. [Reaktion auf einen AWS](https://docs.aws.amazon.com/security-ir/latest/userguide/responding-to-an-aws-generated-case.html) generierten Fall. AWS Security Incident Response Kann im Rahmen einer Sicherheitsuntersuchung mithilfe von EC2 Triage auch Ermittlungsinformationen innerhalb von Amazon Elastic Compute Cloud-Instances sammeln. Wenn diese Funktion aktiviert ist, können AWS Security Incident Response Responder AWS Systems Manager Run Command auf Amazon EC2 EC2-Instances ausführen, um Ermittlungsdaten zu sammeln, laufende Prozesse zu überprüfen und den Systemstatus zu analysieren — ohne direkten Zugriff auf die Instance zu benötigen. EC2 Triage unterstützt die folgenden Betriebssysteme: Linux + Amazon Linux 2, Amazon Linux 2023 + Ubuntu 18.04, 20.04, 22.04, 24,04 + RedHat Enterprise Linux (RHEL) 7.x, 8.x, 9.x + CentOS 7.x, 8.x + SUSE Linux Enterprise Server (SLES) 12.x, 15.x + Debian 10, 11, 12 Windows + Windows Server 2012 R2 + Windows Server 2016, 2019, 2022 Um EC2 Triage verwenden zu können, müssen Sie die Vorlage **Containment with EC2 Triage** CloudFormation für Ihre Konten bereitstellen. Weitere Informationen finden Sie unter [Arbeitet mit CloudFormation StackSets](working-with-stacksets.md). Auf den Amazon EC2 EC2-Zielinstanzen muss der [SSM-Agent](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html) installiert und ausgeführt werden, und sie müssen online sein und von verwaltet werden. AWS Systems Manager Informationen zur Einrichtung finden Sie unter [Systems Manager für Amazon EC2 EC2-Instances einrichten](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html). **Kommunizieren** AWS Security Incident Response hält Sie bei Sicherheitsuntersuchungen auf dem Laufenden, indem Sie Ihr Incident-Response-Team im Rahmen eines Security Incident Response-Falls kontaktieren. Eine Untersuchung kann von mehreren AWS Security Incident Response Technikern unterstützt werden. Die Kommunikation kann Folgendes umfassen: Bestätigung oder Benachrichtigung über die Einleitung einer Sicherheitsuntersuchung, Einrichtung einer Call Bridge, Analyse von Artefakten wie Protokolldateien, Anfragen zur Bestätigung erwarteter Aktivitäten und Weitergabe von Untersuchungsergebnissen. Wenn Sie Ihr Incident-Response-Team AWS Security Incident Response proaktiv einbeziehen, wird ein Fall in Ihrem AWS Security Incident Response Mitgliedskonto erstellt, wodurch die Kommunikation für alle Unternehmenskonten an einem Ort zentralisiert wird. Diese Fälle enthalten das Präfix „[Proactive case]“ im Titel, wodurch sie als initiiert von identifiziert werden. AWS Security Incident Response Indem Ihr Incident-Response-Team aktiv auf diese Mitteilungen eingeht und zeitnah darauf reagiert, kann es Sie bei folgenden Aufgaben unterstützen AWS Security Incident Response : + Sorgen Sie für eine schnelle Reaktion auf echte Sicherheitsvorfälle. + Machen Sie sich mit Ihrer Umgebung und den erwarteten Verhaltensweisen vertraut. + Reduzieren Sie im Laufe der Zeit die Anzahl falsch positiver Erkennungen. Die Effektivität von AWS Security Incident Response verbessert sich mit Ihrer Zusammenarbeit und führt zu einer besser überwachten und sichereren AWS Umgebung. **Aktualisierung der Ergebnisse** AWS Security Incident Response verwaltet Ergebnisse je nach Quelle und Ergebnis der Triage unterschiedlich. **Optimierung der Dienste** Wenn Ihre Kontoservice-Kontingente dies zulassen, wird AWS Security Incident Response versucht, eine [ GuardDuty Amazon-Unterdrückungsregel](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html) oder eine [AWS Security Hub CSPM Automatisierungsregel](https://docs.aws.amazon.com/securityhub/latest/userguide/automation-rules.html) bereitzustellen. Diese Regeln unterdrücken future Ergebnisse, die dem Typ und der Quelle bekannter autorisierter Aktivitäten entsprechen (z. B. Quell-IP-Adresse, ASN, Identity Principal oder Ressource). AWS Security Hub CSPM Regeln werden mit Priorität 10 bereitgestellt, sodass Sie diese Automatisierungen bei Bedarf mit selbst definierten Regeln außer Kraft setzen können. Auf diese Weise stimmen Sie die AWS Security Incident Response Erkennungsquellen auf der Grundlage des erwarteten Verhaltens in Ihrer AWS Umgebung ab. Ihr Incident Response Team wird über Änderungen an diesen Regelsätzen informiert, und Änderungen werden auf Anfrage rückgängig gemacht.