Skip to content

Wie fügen sich CloudTrail und GuardDuty in Cloud-Logging und -Monitoring ein?

Kurzantwort

CloudTrail zeichnet jeden API-Aufruf im Konto auf — wer was wann von wo aus getan hat — und liefert dir den maßgeblichen Audit-Trail für Untersuchungen und Compliance. GuardDuty ist ein verwalteter Bedrohungserkennungsdienst, der CloudTrail-, VPC-Flow- und DNS-Logs analysiert, um Funde wie Anmeldedaten-Exfiltration oder Krypto-Mining sichtbar zu machen. CloudTrail ist die zu schützende Quelle der Wahrheit; GuardDuty verwandelt diese Telemetrie in umsetzbare Alarme.

Du kannst nicht auf das reagieren, was du nicht siehst, und die Cloud ist API-getrieben — daher sind Logging und Erkennung das Fundament der Cloud-Sicherheit. Diese Frage prüft, ob du den Unterschied zwischen dem Aufzeichnen von Aktivität und dem Erkennen von Bedrohungen darin kennst.

CloudTrail — die maßgebliche Audit-Quelle

CloudTrail protokolliert jeden API-Aufruf im Konto: die Identität (Principal), die Aktion, den Zeitstempel, die Quell-IP und die Anfrageparameter. Das ist dein maßgeblicher, nachträglicher Datensatz.

  • Es beantwortet „wer hat was wann und von wo aus getan" — unverzichtbar für die Eingrenzung von Vorfällen und für Compliance.
  • Es muss vor Manipulation geschützt sein. Bewährte Praxis ist, Logs an ein dediziertes, abgeschottetes Logging-Konto oder einen Write-Once-Bucket (Object-Lock) zu senden, sodass ein Angreifer, der das Workload-Konto kompromittiert, seine Spuren nicht löschen kann.
  • Aktiviere es in allen Regionen plus Data Events für sensible Ressourcen, sonst hast du blinde Flecken.

GuardDuty — die Erkennungsschicht

Rohe Logs sind riesig und nicht selbsterklärend. GuardDuty ist ein verwalteter Bedrohungserkennungsdienst, der kontinuierlich CloudTrail, VPC-Flow-Logs und DNS-Logs analysiert und mit Threat Intelligence und ML Funde erzeugt:

  • Beispiele: Instanz-Anmeldedaten, die von einem ungewöhnlichen Ort genutzt werden (wahrscheinlich Exfiltration), API-Aufrufe von bekannt bösartigen IPs, Krypto-Mining-Verkehr oder anomales IAM-Verhalten.
  • Es verwandelt Terabytes an Telemetrie in eine kurze Liste priorisierter Alarme, die du an ein SOC oder eine automatisierte Reaktion weiterleiten kannst.

Wie sie zusammenarbeiten

CloudTrail liefert die Beweise; GuardDuty liefert die Erkennung darauf. Während eines Vorfalls wechselst du von einem GuardDuty-Fund zurück zu CloudTrail, um genau einzugrenzen, was ein kompromittiertes Anmeldedatum berührt hat.

Worauf Interviewer achten

Klare Trennung von Audit-Log und Bedrohungserkennung, Schutz der CloudTrail-Integrität (separates Konto / Object-Lock) und das Wissen, dass GuardDuty auch Flow- und DNS-Logs verarbeitet.

Wahrscheinliche Anschlussfragen

  • Warum sollten CloudTrail-Logs in ein separates, abgeschottetes Konto gehen?
  • Welche Arten von Funden erzeugt GuardDuty, die dir rohes CloudTrail nicht zeigen würde?
  • Wie würdest du CloudTrail während eines Vorfalls nutzen, um ein kompromittiertes Anmeldedatum einzugrenzen?

Quellen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.