发布于: Oct 16, 2019
Amazon GuardDuty 引入了三种新威胁检测。其中两种检测与 Amazon S3 相关,第三种检测与通过 DNS 重新绑定导致的潜在 EC2 实例元数据外泄相关。
第一种与 S3 相关的检测 Policy:IAMUser/S3BlockPublicAccessDisabled 将通知您,已在您的 AWS 账户(或者在多账户配置中配置的账户)中对 S3 存储桶禁用 S3 数据块公共访问。S3 数据块公共访问用于过滤应用到存储桶的策略或 ACL,以防止无意的数据泄露。此检测可能表示存在错误配置或恶意活动。此威胁检测所生成的结果并不意味着存储桶或对象已公开共享,但您应审计应用到存储桶的政策和 ACL,以确认具有相应的权限。第二种与 S3 相关的检测 Stealth:IAMUser/S3ServerAccessLoggingDisabled 将通知您发生了某项更改,如果先前已对存储桶启用 Amazon S3 服务器访问日志记录,则会将其禁用。如果 Amazon S3 服务器访问日志记录已禁用,可能表示存在错误配置或恶意活动,应予以调查。这两种结果的严重性均为低。
第三种新威胁检测 UnauthorizedAccess:EC2/MetaDataDNSRebind 将通知您,您的 AWS 环境中的 EC2 实例正在查询解析为 EC2 元数据 IP 地址的域。此类 DNS 查询可能表示有人试图进行 DNS 重新绑定以从 EC2 实例获取元数据,包括与该实例相关联的 IAM 凭据。DNS 重新绑定会利用 EC2 实例上运行的应用程序中的漏洞或者在 EC2 实例上运行的 Web 浏览器中访问 URL 的人类用户。此结果的严重性为高。
这些新结果现已在所有推出 Amazon GuardDuty 的区域提供。您无需采取任何操作即可开始使用这些新的结果类型。
Amazon GuardDuty 已在全球推出,可持续监控恶意或未经授权的行为,以帮助保护您的 AWS 资源,包括您的 AWS 账户和访问密钥。GuardDuty 可识别异常或未经授权的活动,例如加密货币挖矿或在从未使用过的区域部署基础设施。GuardDuty 采用威胁情报分析和机器学习技术,并不断改进,来帮助保护您的 AWS 环境安全。
只需在 AWS 管理控制台中单击一下鼠标,即可免费试用 Amazon GuardDuty 30 天。请参阅 AWS 区域页面,查看已推出 GuardDuty 的所有区域。如需了解更多信息,请参阅 Amazon GuardDuty 调查结果。要开始 30 天免费试用,请参阅 Amazon GuardDuty 免费试用。