Veröffentlicht am: Oct 16, 2019
Amazon GuardDuty fügt drei neue Bedrohungserkennungen hinzu. Zwei der Erkennungen beziehen sich auf Amazon S3, die dritte auf mögliche Metadaten-Exfiltration bei EC2-Instances über DNS-Rebinding.
Die erste S3-bezogene Erkennung, Policy:IAMUser/S3BlockPublicAccessDisabled, informiert Sie, dass der öffentliche S3-Blockzugriff für ein S3-Bucket in Ihrem AWS-Konto (oder Konten, bei einer Mehrkontokonfiguration) deaktiviert wurde. Der öffentliche S3-Blockzugriff wird zum Filtern der Richtlinien oder ACLs verwendet, die auf ein Bucket angewandt werden, um die unbeabsichtigte Offenlegung von Dateien zu verhindern. Diese Erkennung kann ein Zeichen für eine Miskonfiguration oder schädliche Aktivitäten sein. Ein über diese Bedrohungserkennung erzeugtes Ergebnis bedeutet nicht, dass das Bucket oder Objekte öffentlich freigegeben werden. Sie sollten aber die Richtlinien und ACLs überprüfen, die auf das Bucket angewandt werden, um die ordnungsgemäßen Berechtigungen sicherzustellen. Die zweite S3-bezogene Erkennung, Stealth:IAMUser/S3ServerAccessLoggingDisabled, informiert Sie, dass eine Änderung aufgetreten ist, um die Amazon S3-Serverzugriffsprotokollierung für ein Bucket zu deaktivieren, wenn sie zuvor aktiviert war. Wenn die Amazon S3-Serverzugriffsprotokollierung deaktiviert ist, kann dies auf eine Fehlkonfiguration oder schädliche Aktivitäten hindeuten und sollte untersucht werden. Der Schweregrad für beide Ergebnisse ist „niedrig“.
Die dritte Bedrohungserkennung, UnauthorizedAccess:EC2/MetaDataDNSRebind, infoormiert Sie, dass eine EC2-Instance in Ihrer AWS-Umgebung eine Domäne abfragt, die zur EC2-Metadaten-IP-Adresse auflöst. Eine DNS-Abfrage dieser Art kann auf einen Versuch hindeuten, DNS-Rebinding durchzuführen, um Metadaten von einer EC2-Instance abzurufen, darunter die mit der Instance verknüpften IAM-Anmeldedaten. DNS-Rebindung nutzt Schwachstellen in einer Anwendung auf der EC2-Instance oder menschliche Anwender aus, die auf die URL in einem Webbrowser zugreifen, der auf der EC2-Instance ausgeführt wird. Der Schweregrad für dieses Ergebnis ist „Hoch“.
Diese neuen Ergebnisse sind ab heute in allen Regionen verfügbar, in denen Amazon GuardDuty angeboten wird. Es müssen keine Maßnahmen ergriffen werden, um mit der Verwendung dieser neuen Ergebnistypen zu beginnen.
Amazon GuardDuty ist weltweit verfügbar und bietet eine kontinuierliche Überwachung zum Schutz vor böswilligem oder nicht autorisiertem Verhalten. So können Sie Ihre AWS-Ressourcen einschließlich Ihrer AWS-Konten und Zugriffsschlüssel schützen. GuardDuty identifiziert ungewöhnliche oder nicht autorisierte Aktivitäten, z. B. Kryptowährung-Mining oder Infrastrukturbereitstellungen in einer Region, die noch nie verwendet wurde. Mithilfe von Bedrohungsdaten und maschinellem Lernen entwickelt sich GuardDuty kontinuierlich weiter, um Sie beim Schutz Ihrer AWS-Umgebung zu unterstützen.
Sie können Ihre kostenlose 30-Tage-Testversion von Amazon GuardDuty mit einem einzigen Klick in der AWS-Managementkonsole aktivieren. Auf der Seite AWS-Regionen finden Sie einen Überblick über die Regionen, in denen GuardDuty verfügbar ist. Weitere Informationen finden Sie unter Amazon GuardDuty-Ergebnisse, und um Ihre 30-Tage-Testversion zu starten, gehen Sie zu Amazon GuardDuty – kostenlose Testversion.