Veröffentlicht am: Mar 12, 2021
Amazon GuardDuty hat neue Machine Learning-Techniken integriert, die sich als äußerst effektiv bei der Unterscheidung von potenziell schädlichen Benutzeraktivitäten von anomalem, aber gutartigem Betriebsverhalten innerhalb von AWS-Konten erwiesen haben. Diese neue Funktion modelliert fortlaufend API-Aufrufe innerhalb eines Kontos, wobei probabilistische Vorhersagen einbezogen werden, um hochgradig verdächtiges Benutzerverhalten genauer zu isolieren und zu melden. Dieser neue Ansatz hat sich bewährt, um schädliche Aktivitäten zu identifizieren, die mit bekannten Angriffstaktiken verbunden sind, einschließlich Erkennung, Erstzugriff, Persistenz, Berechtigungsausweitung, Abwehrumgehung, Zugriff auf Anmeldeinformationen, Auswirkungen und Datenexfiltration. Die neuen Bedrohungserkennungen sind für alle Amazon-GuardDuty-Bestandskunden verfügbar, ohne dass eine Aktion erforderlich ist und ohne zusätzliche Kosten.
Diese neueste Erweiterung verbessert die bestehenden AWS-CloudTrail-basierten Anomaliebedrohungserkennungen von GuardDuty, um die Genauigkeit zu verbessern, die AWS-Serviceabdeckung zu erweitern und kontextbezogene Daten bereitzustellen, die bei der Reaktion auf Warnungen helfen. Diese Verbesserung verringert das Warnungsaufkommen für verdächtiges Benutzerverhalten um mehr als 50 % im Vergleich zur Anomalieerkennung allein und verdreifacht gleichzeitig die AWS-Serviceabdeckung, die GuardDuty bietet. Die bei diesen neuen Bedrohungserkennungen erzeugten kontextbezogenen Daten sind in der GuardDuty-Konsole einsehbar und die gefundene JSON-Datei wird über Amazon EventBridge ausgegeben. Mit diesen kontextbezogenen Daten können Sie schnell Fragen wie die folgenden beantworten: Welche AWS-Services könnten betroffen sein und welche Angriffstaktiken sind mit diesem verdächtigen Verhalten verbunden? Was war an der Aktivität anomal? Und was ist das erwartete Verhalten für den einzelnen Benutzer sowie für alle anderen Benutzer, die im selben AWS-Konto arbeiten? Diese Funktion ist jetzt in allen von Amazon GuardDuty unterstützten Regionen verfügbar, mit Ausnahme der AWS-GovCloud- und China-Regionen, die zu einem späteren Zeitpunkt hinzugefügt werden. Die acht neu hinzugefügten Bedrohungserkennungen sind:
- Discovery:IAMUser/AnomalousBehavior
- InitialAccess:IAMUser/AnomalousBehavior
- Persistence:IAMUser/AnomalousBehavior
- PrivilegeEscalation:IAMUser/AnomalousBehavior
- DefenseEvasion:IAMUser/AnomalousBehavior
- CredentialAccess:IAMUser/AnomalousBehavior
- Impact:IAMUser/Anomalous
- BehaviorExfiltration:IAMUser/AnomalousBehavior
Amazon GuardDuty ist weltweit verfügbar und bietet eine kontinuierliche Überwachung zum Schutz vor böswilligem oder nicht autorisiertem Verhalten. So können Sie Ihre AWS-Ressourcen einschließlich Ihrer AWS-Konten, Zugriffsschlüssel und EC2-Instances schützen. Sie können Ihre kostenlose 30-Tage-Testversion von Amazon GuardDuty mit einem einzigen Klick in der AWS-Managementkonsole aktivieren. Weitere Informationen finden Sie unter Amazon-GuardDuty-Ergebnisse.Wenn Sie programmatische Informationen zu neuen Amazon-GuardDuty-Funktionen und neu erkannten Bedrohungen erhalten möchten, können Sie das Amazon-GuardDuty-SNS-Thema abonnieren.