发布于: Apr 10, 2023

Amazon GuardDuty 增加了三项新的威胁检测功能,用于帮助检测可疑的 DNS 流量,指明恶意攻击者在执行泄露数据或使用命令和控制服务器与恶意软件通信等活动时可能企图逃避检测。

新添加的调查发现类型如下:

  1. DefenseEvasion:EC2/UnusualDNSResolver
  2. DefenseEvasion:EC2/UnusualDoHActivity
  3. DefenseEvasion:EC2/UnusualDoTActivity

Amazon GuardDuty 监控来自 EC2 实例的 DNS 流量,这些实例使用 Amazon DNS 解析程序来检测潜在的恶意攻击者活动。但是,恶意攻击者可能会试图通过外部 DNS 提供商或技术(例如通过 HTTPS (DoH) 或 TLS (DoT) 发送 DNS 流量)来掩盖其活动。新增的 GuardDuty 威胁检测功能有助于检测此类活动。GuardDuty 了解 AWS 环境的预期 DNS 流量模式,以便仅在活动可疑且表明是潜在恶意活动时才发出通知。

这种全新的威胁检测功能适用于所有现有和新的 Amazon GuardDuty 客户,无需支付额外费用,也无需任何操作即可激活。所有支持 Amazon GuardDuty 的区域均提供调查发现类型 DefenseEvasion:EC2/UnusualDNSResolver,DefenseEvasion:EC2/Unusual DoHActivity 和 DefenseEvasion:EC2/UnusualDoTActivity 威胁检测在所有支持 Amazon GuardDuty 的区域提供,不包括 AWS 亚太地区(大阪)、AWS 亚太地区(雅加达)、AWS 亚太地区(首尔)、中国(北京,由光环新网运营)和中国(宁夏,由西云数据运营)区域,以后会添加这些区域。

不同行业和地区的客户都在使用 Amazon GuardDuty 保护他们的 AWS 环境,包括 AWS 的 2,000 个最大客户中 90% 以上的客户。GuardDuty 可持续监控恶意或未经授权的行为,帮助保护您的 AWS 资源。只需在 AWS 管理控制台中单击一下鼠标,即可开始免费试用 Amazon GuardDuty 30 天。要接收有关 GuardDuty 新增功能和威胁检测的程序化更新,请订阅 Amazon GuardDuty SNS 主题