Veröffentlicht am: Jan 20, 2022
Amazon GuardDuty führt eine neue Bedrohungserkennung ein, die Sie informiert, wenn Ihre EC2-Instance-Anmeldeinformationen verwendet werden, um APIs von einer IP-Adresse aufzurufen, die einem anderen AWS-Konto gehört als dem, in dem die zugehörige EC2-Instance läuft. Die neue Ergebnisart ist: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS. Während Amazon GuardDuty Sie schon immer informiert hat, wenn Ihre EC2-Instance-Anmeldeinformationen von außerhalb von AWS verwendet wurden, schränkt diese neue Bedrohungserkennung die Möglichkeiten eines böswilligen Akteurs ein, die Erkennung zu umgehen, indem er die EC2-Instance-Anmeldeinformationen von einem anderen AWS-Konto aus verwendet.
Wenn Sie bereits Kunde von Amazon GuardDuty sind, brauchen Sie nichts zu unternehmen, um diese neue Funktion zur Erkennung von Bedrohungen zu nutzen und Ihre in AWS CloudTrail erfassten Vorgänge auf der Kontrollebene zu überwachen. Wenn Sie auch Kunde von GuardDuty S3 Protection sind, informiert Sie diese neue Bedrohungserkennung darüber hinaus, wenn Anmeldeinformationen für EC2-Instances von einem anderen AWS-Konto aus verwendet werden, um S3-Data-Plane-Operationen (z. B. LISTs/PUTs/GETs) aufzurufen. Der S3-Schutz ist standardmäßig aktiviert, wenn Sie GuardDuty zum ersten Mal aktivieren. Wenn Sie bereits GuardDuty zum Schutz Ihrer Konten und Workloads verwenden und diese Funktion noch nicht aktiviert haben, können Sie den S3-Schutz über die GuardDuty-Konsole oder die API aktivieren.
EC2-Instance-Anmeldeinformationen sind die temporären Anmeldeinformationen, die über den EC2-Metadatenservice für alle Anwendungen, die auf einer Instanz laufen, zur Verfügung gestellt werden, wenn dieser eine AWS Identity and Access Management (IAM)-Rolle zugewiesen wird. Wenn diese Anmeldeinformationen kompromittiert werden, können sie dazu verwendet werden, APIs auf der Grundlage der in der IAM-Rolle für die Instance definierten Berechtigungen böswillig aufzurufen. Wenn ein Alarm generiert wird, können Sie jetzt auch die AWS-Konto-ID des Kontos sehen, von dem aus die Anmeldeinformationen in der Amazon GuardDuty-Konsole verwendet wurden, oder das gefundene JSON. Wenn das entfernte AWS-Konto, von dem aus die Anmeldeinformationen verwendet werden, nicht mit Ihrem AWS-Konto verbunden ist, d.h. wenn die Konten nicht Teil Ihrer GuardDuty-Mehrfachkonteneinrichtung sind, dann ist der Schweregrad des Fundes hoch. Wenn das entfernte AWS-Konto mit Ihrem AWS-Konto verbunden ist, ist der Schweregrad der Feststellung jedoch mittelmäßig. GuardDuty lernt auch häufig verwendete kontoübergreifende Netzwerktopologien kennen, um das Volumen der Feststellungen zu reduzieren, die für erwartete Anwendungsfälle generiert werden, z. B. wennAWS Transit Gateway für das Routen des Datenverkehrs zwischen zwei AWS-Konten verwendet wird.
Amazon GuardDuty ist weltweit verfügbar und überwacht kontinuierlich auf böswilliges oder unbefugtes Verhalten, um Ihre AWS-Ressourcen zu schützen, einschließlich Ihrer AWS-Konten, Zugangsschlüssel, EC2-Instances und in S3 gespeicherten Daten. GuardDuty basiert auf Threat Intelligence, Machine Learning und Techniken zur Erkennung von Anomalien, um Bedrohungen zu erkennen. GuardDuty wird ständig weiterentwickelt, damit Sie Ihre AWS-Umgebung schützen können. Sie können Ihre kostenlose 30-Tage-Testversion von Amazon GuardDuty mit einem einzigen Mausklick in der AWS Managementkonsole aktivieren. Weitere Informationen finden Sie unter Amazon GuardDuty-Ergebnisse. Um programmatische Updates zu neuen Amazon GuardDuty-Funktionen und Bedrohungserkennungen zu erhalten, abonnieren Sie bitte das Amazon GuardDuty SNS-Thema.