Veröffentlicht am: May 17, 2019
Amazon GuardDuty fügt zwei neue Bedrohungserkennungen hinzu. Diese neuen Erkennungen stellen die neuesten Ergänzungen einer ständig wachsenden Bibliothek voll verwalteter Bedrohungserkennungen dar. Sie sind für Kunden verfügbar, die Amazon GuardDuty in ihren AWS-Konten aktivieren. Seit dem Start von Amazon GuardDuty wurden 25 aktive Ergebnistypen hinzugefügt. Damit werden nun insgesamt 54 aktive Ergebnistypen unterstützt.
Im Folgenden werden die neuen Ergebnistypen aufgeführt:
Recon:EC2/PortProbeEMRUnprotectedPort
Der neue Ergebnistyp Recon:EC2/PortProbeEMRUnprotectedPort zeigt an, dass ein EMR-bezogener sensitiver Port auf einer Amazon EC2-Instance nicht durch eine Sicherheitsgruppe, eine Zugriffssteuerungsliste oder eine On-Host-Firewall gesperrt ist und von im Internet bekannten Scannern aktiv herausgefordert wird. Ports, die dieses Ergebnis auslösen können, z. B. Port 8088 (YARN Web-UI-Port), könnten potenziell für die Remote-Code-Ausführung genutzt werden. Es handelt es sich hier um einen Ergebnistyp mit einem hohen Schweregrad.
PrivilegeEscalation:IAMUser/AdministrativePermissions
Der neue Ergebnistyp PrivilegeEscalation:IAMUser/AdministrativePermissions wird ausgelöst, wenn ein Benutzer oder eine Rolle versuchen, sich selbst eine hoch tolerante Richtlinie zuzuweisen. Wenn der/die entsprechende Benutzer oder Rolle nicht über administrative Rechte verfügen darf, zeigt der Ergebnistyp an, dass entweder die Anmeldeinformationen des Benutzers kompromittiert oder die Berechtigungen der Rolle nicht ordnungsgemäß konfiguriert wurden. Es handelt es sich hier um einen Ergebnistyp mit einem geringen Schweregrad.
Diese neuen Ergebnisse sind ab heute in allen Regionen verfügbar, in denen Amazon GuardDuty angeboten wird. Es müssen keine Maßnahmen ergriffen werden, um mit der Verwendung dieser neuen Ergebnistypen zu beginnen.
Nach der Aktivierung ist Amazon GuardDuty weltweit verfügbar und bietet eine kontinuierliche Überwachung zum Schutz vor böswilligem oder nicht autorisiertem Verhalten. So können Sie Ihre AWS-Ressourcen, einschließlich Ihrer AWS-Konten und Zugriffsschlüssel, schützen. GuardDuty identifiziert ungewöhnliche oder nicht autorisierte Aktivitäten, z. B. Kryptowährung-Mining oder Infrastrukturbereitstellungen in einer Region, die noch nie verwendet wurde. Wird eine Bedrohung erkannt, werden Sie mit einem GuardDuty-Sicherheitsbericht darüber benachrichtigt. Dieser enthält auch Details dazu, was beobachtet wurde und welche Ressourcen beteiligt waren. Mithilfe von Bedrohungsdaten und Machine Learning entwickelt sich GuardDuty kontinuierlich weiter, um Sie beim Schutz Ihrer AWS-Umgebung zu unterstützen.
Sie können Ihre kostenlose 30-Tage-Testversion von Amazon GuardDuty mit einem einzigen Klick in der GuardDuty-Konsole aktivieren. Auf der Seite AWS-Regionen finden Sie einen Überblick über die Regionen, in denen GuardDuty verfügbar ist. Weitere Informationen finden Sie unter Amazon GuardDuty-Ergebnisse, und um Ihre 30-Tage-Testversion zu starten, gehen Sie zu Amazon GuardDuty – kostenlose Testversion.