Amazon GuardDuty 扩展威胁检测现已支持 Amazon EC2 和 Amazon ECS
AWS 宣布进一步增强 Amazon GuardDuty 扩展威胁检测功能,新增功能可检测针对在 AWS Fargate 或 Amazon EC2 上运行的 Amazon Elastic Compute Cloud (Amazon EC2) 实例和 Amazon Elastic Container Service (Amazon ECS) 集群的多阶段攻击。GuardDuty 扩展威胁检测利用在 AWS 规模下训练的人工智能和机器学习算法,自动关联安全信号并检测关键威胁。它分析了长时间内网络活动、流程运行时行为、恶意软件执行和 AWS API 活动中的多种安全信号,以检测可能被忽视的复杂攻击模式。
在本次发布中,GuardDuty 引入了两个新的关键严重性调查发现:AttackSequence:EC2/CompromisedInstanceGroup 和 AttackSequence:ECS/CompromisedCluster。这些调查发现提供了攻击序列信息,使您能够减少花在初始分析上的时间,将更多时间用于应对关键威胁,从而最大限度地减少对业务的影响。例如,GuardDuty 可以识别可疑进程,然后进行持久化尝试、加密货币挖矿活动和反向 Shell 创建,将这些相关事件表示为单一的关键严重性调查发现。每个调查发现都包含详细的摘要、事件时间线、与 MITRE ATT&CK® 策略和技术的映射关系,以及修复建议。
虽然已自动为 GuardDuty 客户免费启用 GuardDuty 扩展威胁检测功能,但其检测全面性取决于您启用的 GuardDuty 保护计划。要提升 Amazon EC2 实例的攻击序列覆盖范围和威胁分析,请启用 EC2 的运行时监控。要启用对受感染 ECS 集群的检测,请根据您的基础设施类型启用 Fargate 或 EC2 的运行时监控。
要开始使用,请通过控制台或 API 启用 GuardDuty 保护计划。GuardDuty 新客户可以从 30天免费试用开始,未使用过运行时监控的现有客户也可以免费试用 30 天。有关其他信息,请访问博客文章和 Amazon Guard Duty 产品页面。