Amazon GuardDuty 新增敏感文件修改威胁检测功能

发布于: 2026年7月1日

Amazon GuardDuty 运行时监控现已新增三项威胁检测,当 Amazon EC2 实例以及运行在 Amazon EKS 或 Amazon ECS 上的容器工作负载中的敏感文件被修改时,系统会向安全团队发出提醒。这些调查发现通过监控关键系统文件(包括配置文件、身份验证设置和系统日志),帮助识别攻击者在入侵后的活动。该功能专为需全面了解其 AWS 计算环境中威胁的安全团队、DevSecOps 专业人员和云安全架构师而设计。

新增的检测包括 Persistence:Runtime/SensitiveFileModified、PrivilegeEscalation:Runtime/SensitiveFileModified 和 DefenseEvasion:Runtime/SensitiveFileModified,可有效识别系统在遭受初始入侵后,攻击者试图维持持久访问、提升权限以及规避检测的恶意行为。通过直接监控五种特定的文件操作(open-for-write、rename、symlink、link 和 unlink),即使攻击者使用绕过传统命令行监控的混淆技术,这些调查发现也能检测到威胁。基于关联的分析可区分恶意行为与合法的管理员操作,在降低误报的同时,提供包含 MITRE ATT&CK® 战术对应关系和修复建议的实用威胁情报。

这些敏感文件修改调查发现现已向所有已为 Amazon EC2、Amazon EKS 或 Amazon ECS 工作负载启用 GuardDuty 运行时监控的客户开放。新用户可免费试用 30 天。要了解更多信息,请参阅 Amazon GuardDuty 调查发现。要接收有关 Amazon GuardDuty 新增功能和威胁检测的程序化更新,请订阅 Amazon GuardDuty SNS 主题