发布于: Jul 6, 2022
Amazon GuardDuty 已加入新的机器学习技术,在检测对 Amazon Simple Storage Service (Amazon S3) 桶中所存储数据的异常访问上非常有效。这个新功能在一个账户中持续对 S3 数据面板 API 调用(例如,GET、PUT 和 DELETE)进行建模,加入了概率预测,在 S3 桶中所存储数据出现很可疑的访问时,可以更准确地发出警报,例如,来自异常地理位置的请求,或符合企图窃取数据的 API 调用量异常大。这个新的机器学习方法可以更准确地识别与已知攻击策略相关的恶意活动,包括数据挖掘、篡改和泄露。启用了 GuardDuty S3 Protection 的所有现有 Amazon GuardDuty 客户均可使用这些新的威胁检测功能,不需要采取任何操作,也无需额外费用。如果您还未使用 GuardDuty,当您启用这项服务时,将默认启用 S3 保护。如果您在使用 GuardDuty,且尚未启用 S3 Protection,您在 GuardDuty 控制台或通过 API 单击一下即可在企业范围内启用这个功能。
该最新增强功能升级了 GuardDuty 现有基于 CloudTrail S3 数据面板的异常威胁检测,以提高准确性、并提供上下文数据来帮助事故调查和做出响应。这些全新的威胁检测功能中生成的上下文数据可以在 GuardDuty 控制台中查看,并通过 Amazon EventBridge 推送出查找 JSON 文件。借助这个上下文数据,您可以更快速地回答“该活动有哪些异常?”之类的问题。 通常从哪个位置访问 S3 桶? 用户为检索对象从被访问的 S3 桶进行的正常的 API 调用数是多少? 这个功能目前在所有 Amazon GuardDuty 支持的区域提供,不包括 AWS 亚太地区(大阪)、AWS 亚太地区(雅加达)、AWS GovCloud(美国东部)、AWS GovCloud(美国西部)、AWS 中国(北京)和 AWS 中国(宁夏),这些区域将在稍后添加。新增的五大威胁检测功能包括:
- Discovery:S3/AnomalousBehavior
- Impact:S3/AnomalousBehavior.Write
- Impact:S3/AnomalousBehavior.Delete
- Exfiltration:S3/AnomalousBehavior
- Impact:S3/AnomalousBehavior.Permission
Amazon GuardDuty 已在全球推出,可持续监控恶意或未经授权的行为,以帮助保护您的 AWS 资源,包括您的 AWS 账户、访问密钥、EC2 实例、EKS 集群和存储在 S3 中的数据。GuardDuty 由威胁情报、机器学习以及用于检测威胁的异常检测技术提供支持,仍在不断发展,以帮助保护您的 AWS 环境。
只需在 AWS 管理控制台中单击一下鼠标,即可开始免费试用 Amazon GuardDuty 30 天。请参阅 AWS 区域页面,查看已推出 GuardDuty 的所有区域。要接收有关 GuardDuty 新增功能和威胁检测的程序化更新,请订阅 Amazon GuardDuty SNS 主题。