Amazon GuardDuty 扩展威胁检测现已支持 Amazon EKS
今天,AWS 宣布进一步增强 Amazon GuardDuty 的扩展威胁检测功能。该功能现已涵盖针对您 AWS 环境中的 Amazon Elastic Kubernetes Service (EKS) 集群的多阶段攻击防护。GuardDuty 通过关联多种安全信号(包括 Amazon EKS 审计日志、进程运行时行为、恶意软件执行情况和 AWS API 活动),检测复杂的攻击模式,这些威胁在传统监测中往往难以被发现。 此次新增的攻击序列检测结果可覆盖多个资源和数据来源,跨越更长时间范围,帮助您减少初步分析所花费的时间,专注应对关键严重等级的威胁,从而降低业务影响。
GuardDuty 扩展威胁检测利用在 AWS 规模下训练的人工智能和机器学习算法,自动关联各类安全信号,精准识别关键威胁。例如,它可以识别出一个异常部署的高权限容器,并检测到其后续的持久化尝试、加密货币挖矿行为以及反向 shell 创建,并将这些相关事件统一表示为一个严重等级为“关键”的攻击序列检测结果。您可以基于这些“关键”严重等级的攻击序列检测结果采取响应措施。每个检测结果都包含事件摘要、详细的事件时间线、与 MITRE ATT&CK® 策略和技术的映射关系,以及修复建议。
该功能提供 GuardDuty 的所有 AWS 区域对所有 GuardDuty 用户默认启用,无需额外付费。要检测涉及 Amazon EKS 集群的攻击序列,您必须启用 GuardDuty 的 EKS 防护功能。同时,GuardDuty 还建议启用 EKS 的运行时监控,以获得更全面的安全保障。您可以直接通过 GuardDuty 控制台,或借助 AWS Security Hub 和 Amazon EventBridge 集成,对检测结果进行响应和处理。
要开始使用,请参阅 Amazon GuardDuty 产品页面或在 AWS Free Tier 上免费试用 GuardDuty 30 天。