Wie fügen sich CloudTrail und GuardDuty in Cloud-Logging und -Monitoring ein?
Kurzantwort
CloudTrail zeichnet jeden API-Aufruf im Konto auf — wer was wann von wo aus getan hat — und liefert dir den maßgeblichen Audit-Trail für Untersuchungen und Compliance. GuardDuty ist ein verwalteter Bedrohungserkennungsdienst, der CloudTrail-, VPC-Flow- und DNS-Logs analysiert, um Funde wie Anmeldedaten-Exfiltration oder Krypto-Mining sichtbar zu machen. CloudTrail ist die zu schützende Quelle der Wahrheit; GuardDuty verwandelt diese Telemetrie in umsetzbare Alarme.
Du kannst nicht auf das reagieren, was du nicht siehst, und die Cloud ist API-getrieben — daher sind Logging und Erkennung das Fundament der Cloud-Sicherheit. Diese Frage prüft, ob du den Unterschied zwischen dem Aufzeichnen von Aktivität und dem Erkennen von Bedrohungen darin kennst.
CloudTrail — die maßgebliche Audit-Quelle
CloudTrail protokolliert jeden API-Aufruf im Konto: die Identität (Principal), die Aktion, den Zeitstempel, die Quell-IP und die Anfrageparameter. Das ist dein maßgeblicher, nachträglicher Datensatz.
- Es beantwortet „wer hat was wann und von wo aus getan" — unverzichtbar für die Eingrenzung von Vorfällen und für Compliance.
- Es muss vor Manipulation geschützt sein. Bewährte Praxis ist, Logs an ein dediziertes, abgeschottetes Logging-Konto oder einen Write-Once-Bucket (Object-Lock) zu senden, sodass ein Angreifer, der das Workload-Konto kompromittiert, seine Spuren nicht löschen kann.
- Aktiviere es in allen Regionen plus Data Events für sensible Ressourcen, sonst hast du blinde Flecken.
GuardDuty — die Erkennungsschicht
Rohe Logs sind riesig und nicht selbsterklärend. GuardDuty ist ein verwalteter Bedrohungserkennungsdienst, der kontinuierlich CloudTrail, VPC-Flow-Logs und DNS-Logs analysiert und mit Threat Intelligence und ML Funde erzeugt:
- Beispiele: Instanz-Anmeldedaten, die von einem ungewöhnlichen Ort genutzt werden (wahrscheinlich Exfiltration), API-Aufrufe von bekannt bösartigen IPs, Krypto-Mining-Verkehr oder anomales IAM-Verhalten.
- Es verwandelt Terabytes an Telemetrie in eine kurze Liste priorisierter Alarme, die du an ein SOC oder eine automatisierte Reaktion weiterleiten kannst.
Wie sie zusammenarbeiten
CloudTrail liefert die Beweise; GuardDuty liefert die Erkennung darauf. Während eines Vorfalls wechselst du von einem GuardDuty-Fund zurück zu CloudTrail, um genau einzugrenzen, was ein kompromittiertes Anmeldedatum berührt hat.
Worauf Interviewer achten
Klare Trennung von Audit-Log und Bedrohungserkennung, Schutz der CloudTrail-Integrität (separates Konto / Object-Lock) und das Wissen, dass GuardDuty auch Flow- und DNS-Logs verarbeitet.
Wahrscheinliche Anschlussfragen
- Warum sollten CloudTrail-Logs in ein separates, abgeschottetes Konto gehen?
- Welche Arten von Funden erzeugt GuardDuty, die dir rohes CloudTrail nicht zeigen würde?
- Wie würdest du CloudTrail während eines Vorfalls nutzen, um ein kompromittiertes Anmeldedatum einzugrenzen?