亚马逊AWS官方博客

Amazon GuardDuty EC2 运行时监控功能现已正式推出



Amazon GuardDuty 是一项基于机器学习(ML)的安全监控和智能威胁检测服务,它分析和处理各种 AWS 数据来源,持续监控您的 AWS 账户和工作负载中是否存在恶意活动,并提供详细的安全调查发现以供查看和采取补救措施。

我喜欢 GuardDuty 运行时监控功能,它会分析操作系统(OS)级别、网络和文件事件,以检测环境中特定 AWS 工作负载的潜在运行时威胁。我在 2023 年 3 月首次介绍了针对 Amazon Elastic Kubernetes Service (Amazon EKS) 资源正式推出的此功能。Seb 于 2023 年 11 月撰写了有关扩展的文章,谈到了运行时监控功能为 Amazon Elastic Container Service (Amazon ECS)AWS Fargate 提供威胁检测,Amazon Elastic Compute Cloud (Amazon EC2) 工作负载的预览版也在同一时期发布。

今天,我们宣布正式推出 Amazon GuardDuty EC2 运行时监控功能,扩大 EC2 实例在运行时的威胁检测范围,并通过持续监控 VPC 流日志、DNS 查询日志和 AWS CloudTrail 管理事件来补充 GuardDuty 已经提供的异常检测。现在,您可以查看在主机中、操作系统级别的活动以及容器级上下文中检测到的威胁。

借助 GuardDuty EC2 运行时监控,您可以识别和应对可能针对 EC2 工作负载中计算资源的潜在威胁。EC2 工作负载面临的威胁通常涉及远程执行代码,这是导致恶意软件下载和执行的原因。这可能包括您的 AWS 环境中连接到与加密货币活动相关 IP 地址或与恶意软件命令和控制相关 IP 地址的实例或自托管容器。

GuardDuty 运行时监控功能让您可以查看涉及恶意文件下载和执行每个步骤的可疑命令,这可以帮助您在威胁最初入侵期间及其演变成影响业务的事件之前发现它们。您还可以使用 AWS Organizations 为整个组织内的账户和工作负载集中启用运行时威胁检测覆盖范围,从而简化您的安全覆盖范围。

在 GuardDuty 中配置 EC2 运行时监控
只需点击几下,您就可以在 GuardDuty 控制台中启用 GuardDuty EC2 运行时监控。首次使用时,需要启用运行时监控。

任何首次使用 EC2 运行时监控功能的客户都可以免费试用 30 天,并可使用所有功能且查看检测调查发现。GuardDuty 控制台会显示免费试用还剩多少天。

现在,您可以为要监控其运行时行为的单个 EC2 实例设置 GuardDuty 安全代理。您可以选择是自动部署还是手动部署 GuardDuty 安全代理。正式发布后,您可以启用自动代理配置,这是大多数客户的首选选项,因为它允许 GuardDuty 代表他们管理安全代理。

该代理将使用 AWS Systems Manager 部署在 EC2 实例上,并使用Amazon Virtual Private Cloud (Amazon VPC) 端点接收与您的资源相关的运行时事件。如果您想手动管理 GuardDuty 安全代理,请访问 AWS 文档中的手动管理安全代理 Amazon EC2 实例。在多账户环境中,委托的 GuardDuty 管理员账户使用 AWS Organizations 管理其成员账户。有关更多信息,请访问 AWS 文档中的管理多个账户

启用 EC2 运行时监控功能后,您可以在 EC2 实例运行时覆盖范围选项卡中找到涵盖的 EC2 实例列表、账户 ID 和覆盖范围状态,以及代理能否接收相应资源的运行时事件。

即使覆盖状态为不正常,即它目前无法收到运行时调查发现,您仍然可以对您的 EC2 实例进行深入的防御。GuardDuty 通过监控 CloudTrail、VPC 流和与之关联的 DNS 日志,继续为 EC2 实例提供威胁检测。

查看 GuardDuty EC2 运行时安全调查发现
当 GuardDuty 检测到潜在威胁并生成安全调查发现时,您可以查看运行状况的详细信息。

如果您想查找特定于 Amazon EC2 资源的安全调查发现,请在左侧窗格中选择调查发现。您可以使用筛选栏按特定标准(例如实例资源类型)筛选调查发现表。调查发现的严重程度和详细信息因资源角色而异,也就是说 EC2 资源是可疑活动的目标还是执行活动的操作者。

继今天发布后,我们支持超过 30 个 EC2 实例的运行时调查发现,例如检测滥用域名、后门、与加密货币相关的活动和未经授权的通信。有关完整列表,请访问 AWS 文档中的Runtime Monitoring finding types

解决您的 EC2 安全调查发现
选择每个 EC2 安全调查发现可以了解更多详细信息。您可以找到与调查发现相关的所有信息,并检查相关资源以确定其行为是否符合预期。

如果活动获得授权,则可以使用抑制规则可信 IP 列表来防止该资源收到误报通知。如果发生意外活动,则最佳安全实践是假设该实例已遭到入侵,然后采取 AWS 文档中 Remediating a potentially compromised Amazon EC2 instance 中详述的操作。

您可以将 GuardDuty EC2 运行时监控功能与其他 AWS 安全服务(例如 AWS Security HubAmazon Detective)集成。您也可以使用 Amazon EventBridge,从而能够与安全事件管理或工作流程系统(例如 Splunk、Jira 和 ServiceNow)集成或触发自动和半自动响应(例如隔离工作负载以进行调查)。

如果您选择使用 Detective 进行调查,则可以找到 Detective 创建的用于 AWS 资源的可视化,以便快速轻松地调查安全问题。要了解更多信息,请访问 AWS 文档中的 Integration with Amazon Detective

注意事项
GuardDuty EC2 运行时监控支持现已面向运行 Amazon Linux 2Amazon Linux 2023 的 EC2 实例推出。您可以选择为代理配置最大 CPU 和内存限制。要了解更多信息以及未来更新,请访问 AWS 文档中的 Prerequisites for Amazon EC2 instance support

要估算 GuardDuty 的每日平均使用成本,请在左侧窗格中选择使用量。在 30 天免费试用期内,您可以估算试用期结束后的费用。在试用期结束后,我们将按每小时每 vCPU 向您收取监控代理费用。要了解更多信息,请访问 Amazon GuardDuty 定价页面

启用 EC2 运行时监控功能还可以为您节省 GuardDuty 成本。启用该功能后,您无需为源自运行安全代理的 EC2 实例的 GuardDuty 基础保护 VPC 流日志付费。这是由于安全代理提供了类似但更具上下文相关性的网络数据。此外,GuardDuty 仍会处理 VPC 流日志并生成相关调查发现,因此,即使代理出现停机,您也会继续获得网络级别的安全防护覆盖范围。

现已推出
Amazon GuardDuty EC2 运行时监控现已在所有提供 GuardDuty 的 AWS 区域推出,不包括 AWS GovCloud(美国)区域和 AWS 中国区域。如需获得已推出 EC2 运行时监控功能的区域的完整列表,请访问特定区域的功能可用性

GuardDuty 控制台中试一试 GuardDuty EC2 运行时监控功能吧。有关更多信息,请访问 Amazon GuardDuty 用户指南,并向 AWS re:Post for Amazon GuardDuty 发送反馈,或通过您常用的 AWS Support 联系人发送反馈。

Channy