发布于: Jan 20, 2022
Amazon GuardDuty 引入了一种新的威胁检测,当您的 EC2 实例凭证用于从一个 IP 地址调用 API 时向您发出通知,此 IP 地址由与从中运行关联 EC2 实例不同的 AWS 账户拥有。全新的检测结果类型为:UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS。Amazon GuardDuty 始终会在从 AWS 外部使用您的 EC2 实例凭证时通知您,而这种新的威胁检测让恶意行为者无法使用来自另一个 AWS 账户的 EC2 实例凭证逃避检测。
如果您是现有的 Amazon GuardDuty 客户,则无需采取任何措施,即可开始使用这一全新的威胁检测功能来监控 AWS CloudTrail 中捕获的控制面板操作。如果您还是 GuardDuty S3 Protection 客户,那么从另一个 AWS 账户使用 EC2 实例凭证调用 S3 数据层面操作(例如 LIST/PUT/GET)时,此全新的威胁检测功能将进一步通知您。当您首次启用 GuardDuty 时,S3 保持默认打开。如果您已在使用 GuardDuty 保护自己的账户和工作负载,但尚未启用此功能,则可通过 GuardDuty 控制台或 API 启用 S3 保护。
EC2 实例凭证是通过 EC2 元数据服务提供给在实例上运行的任何应用程序的临时凭证,前提是将 AWS Identity and Access Management (IAM) 角色连接到此实例。如果发生泄露,这些凭证可用于根据连接到实例的 IAM 角色中定义的权限恶意调用 API。生成提示后,您现在还可以在 Amazon GuardDuty 控制台或检测结果 JSON 中查看从中使用此凭证的账户的 AWS 账户 ID。如果从中使用凭证的远程 AWS 账户未关联至您的 AWS 账户,这意味着这些账户不属于您的 GuardDuty 多账户设置,则检测结果的严重性较高。或者,如果远程 AWS 账户关联至您的 AWS 账户,则检测结果的严重性适中。GuardDuty 还将学习常用的跨账户联网拓扑,以减少为预期使用案例生成的调查结果量,例如使用 AWS Transit Gateway 在两个 AWS 账户之间路由流量时。
Amazon GuardDuty 已在全球推出,可持续监控恶意或未经授权的行为,以帮助保护您的 AWS 资源,包括您的 AWS 账户、访问密钥、EC2 实例和存储在 S3 中的数据。GuardDuty 由威胁情报、机器学习以及用于检测威胁的异常检测技术提供支持,仍在不断发展,以帮助保护您的 AWS 环境。只需在 AWS 管理控制台中单击一下鼠标,即可免费试用 Amazon GuardDuty 30 天。如需了解更多信息,请参阅 Amazon GuardDuty 检测结果,要接收有关 Amazon GuardDuty 新增功能和威胁检测的程序化更新,请订阅 Amazon GuardDuty SNS 主题。