Veröffentlicht am: Jul 6, 2022
Amazon GuardDuty wurde um neue Machine-Learning-Techniken ergänzt, die hocheffektiv bei der Erkennung von abnormalem Zugriff auf Daten sind, die in Amazon Simple Storage Service (Amazon S3)-Buckets gespeichert werden. Diese neue Funktion modelliert kontinuierlich S3-Datenebenenaufrufe (z. B. GET, PUT und DELETE) in einem Konto und bezieht dabei probabilistische Vorhersagen ein, um zuverlässigere Alarme bei hochverdächtigen Benutzerzugriffen auf in S3-Buckets gespeicherte Daten zu ermöglichen, etwa bei Anfragen, die von einem unüblichen Geo-Standort stammen oder ungewöhnlich hohen API-Aufrufen, die bei Datenexfiltrationsversuchen oft festgestellt werden. Der neue Machine-Learning-Ansatz kann genauer schädliche Aktivitäten erkennen, die oft mit bekannten Angriffstaktiken in Verbindung stehen, darunter Datenerkennung, -manipulation und -exfiltration. Die neuen Bedrohungserkennungen sind für alle Amazon-GuardDuty-Bestandskunden verfügbar, die GuardDuty S3 Protection aktiviert haben, ohne dass eine Aktion erforderlich ist und ohne zusätzliche Kosten. Wenn Sie GuardDuty noch nicht verwenden, ist S3 Protection standardmäßig aktiviert, wenn Sie den Service aktivieren. Wenn Sie GuardDuty verwenden und S3 Protection noch nicht aktiviert haben, können Sie diese Funktion in der gesamten Organisation mit nur einem Klick in der GuardDuty-Konsole oder über die API aktivieren.
Diese neueste Erweiterung verbessert die bestehenden CloudTrail S3-datenebenenbasierten Anomaliebedrohungserkennungen von GuardDuty, um die Genauigkeit zu verbessern und kontextbezogene Daten bereitzustellen, die bei der Untersuchung von Vorfällen und der Reaktion helfen. Die bei diesen neuen Bedrohungserkennungen erzeugten kontextbezogenen Daten sind in der GuardDuty-Konsole einsehbar und die gefundene JSON-Datei wird über Amazon EventBridge ausgegeben. Mit diesen kontextbezogenen Daten können Sie schneller Fragen beantworten wie: „Was an der Aktivität war ungewöhnlich? Von welchen Standorten aus wird üblicherweise auf das S3-Bucket zugegriffen? Und welche Anzahl von API-Aufrufen führt der Benutzer in der Regel aus, um Objekte aus dem zugegriffenen S3-Bucket abzurufen?“ Diese Funktion ist nun in allen von Amazon GuardDuty unterstützten Regionen verfügbar, mit Ausnahme der AWS-Regionen Asien-Pazifik (Osaka), Asien-Pazifik (Jakarta), AWS GovCloud (USA Ost), AWS GovCloud (USA West), China (Peking) und China (Ningxia), die zu einem späteren Zeitpunkt hinzugefügt werden. Die fünf neu hinzugefügten Bedrohungserkennungen sind:
- Discovery:S3/AnomalousBehavior
- Impact:S3/AnomalousBehavior.Write
- Impact:S3/AnomalousBehavior.Delete
- Exfiltration:S3/AnomalousBehavior
- Impact:S3/AnomalousBehavior.Permission
Amazon GuardDuty ist weltweit verfügbar und überwacht kontinuierlich auf böswilliges oder unbefugtes Verhalten, um Ihre AWS-Ressourcen zu schützen, einschließlich Ihrer AWS-Konten, Zugangsschlüssel, EC2-Instances, EKS-Cluster und in S3 gespeicherten Daten. GuardDuty basiert auf Threat Intelligence, Machine Learning und Techniken zur Erkennung von Anomalien, um Bedrohungen zu erkennen. GuardDuty wird ständig weiterentwickelt, damit Sie Ihre AWS-Umgebung schützen können.
Sie können Ihre kostenlose 30-Tage-Testversion von Amazon GuardDuty mit einem einzigen Mausklick in der AWS Managementkonsole aktivieren. Auf der Seite AWS-Regionen finden Sie einen Überblick über die Regionen, in denen GuardDuty verfügbar ist. Wenn Sie programmatische Informationen zu neuen Amazon GuardDuty-Funktionen und neu erkannten Bedrohungen erhalten möchten, können Sie das Amazon-GuardDuty-SNS-Thema abonnieren.