Veröffentlicht am: Apr 10, 2023
Amazon GuardDuty fügt drei neue Bedrohungserkennungen hinzu, um verdächtigen DNS-Verkehr zu erkennen, der auf potenzielle Versuche böswilliger Akteure hinweist, sich der Erkennung zu entziehen, wenn sie Aktivitäten wie das Exfiltrieren von Daten oder die Verwendung von Command & Control-Servern zur Kommunikation mit Malware ausführen.
Die neu hinzugefügten Erkenntnisse lauten:
- DefenseEvasion:EC2/UnusualDNSResolver
- DefenseEvasion:EC2/UnusualDoHActivity
- DefenseEvasion:EC2/UnusualDoTActivity
Amazon GuardDuty überwacht den DNS-Verkehr von EC2-Instances, die die Amazon-DNS-Resolver verwenden, um potenzielle Aktivitäten böswilliger Akteure zu erkennen. Böswillige Akteure können jedoch versuchen, ihre Aktivitäten mithilfe externer DNS-Anbieter oder mithilfe von Techniken wie dem Senden von DNS-Verkehr über HTTPS (DoH) oder über TLS (DoT) zu verschleiern. Die neu hinzugefügten GuardDuty-Bedrohungserkennungen helfen dabei, diese Art von Aktivität zu erkennen. GuardDuty lernt die erwarteten DNS-Verkehrsmuster für die AWS-Umgebung und warnt nur, wenn die Aktivität verdächtig ist und auf potenzielle bösartige Aktivitäten hindeutet.
Die neuen Bedrohungserkennungen stehen allen bestehenden und neuen Amazon-GuardDuty-Kunden ohne zusätzliche Kosten zur Verfügung und erfordern keine Aktion zur Aktivierung. Der Erkenntnistyp DefenseEvasion:EC2/UnusualDNSResolver ist in allen von Amazon GuardDuty unterstützten Regionen verfügbar, und die Bedrohungserkennungen DefenseEvasion:EC2/UnusualDOHActivity und DefenseEvasion:EC2/UnusualDotActivity sind in allen von Amazon GuardDuty unterstützten Regionen verfügbar, mit Ausnahme von AWS Asien-Pazifik (Osaka), AWS Asien-Pazifik (Jakarta), AWS Asien-Pazifik (Seoul), die Regionen China (Peking, betrieben von Sinnet) und China (Ningxia, betrieben von NWCD), die zu einem späteren Zeitpunkt hinzugefügt werden.
Kunden aus allen Branchen und Regionen nutzen Amazon GuardDuty, um ihre AWS-Umgebungen zu schützen, darunter über 90 % der 2.000 größten AWS-Kunden. GuardDuty überwacht kontinuierlich böswilliges oder nicht autorisiertes Verhalten, um Ihre AWS-Ressourcen zu schützen. Sie können Ihre kostenlose 30-Tage-Testversion von Amazon GuardDuty mit einem einzigen Mausklick in der AWS-Managementkonsole aktivieren. Wenn Sie programmatische Informationen zu neuen GuardDuty-Features und neu erkannten Bedrohungen erhalten möchten, können Sie das Amazon-GuardDuty-SNS-Thema abonnieren.