Amazon GuardDuty Extended Threat Detection unterstützt jetzt Amazon EC2 und Amazon ECS
AWS kündigt weitere Verbesserungen von Amazon GuardDuty Extended Threat Detection mit neuen Funktionen zur Erkennung mehrstufiger Angriffe an, die auf Amazon Elastic Compute Cloud (Amazon EC2) -Instances und Amazon Elastic Container Service (Amazon ECS) -Cluster abzielen, die auf AWS Fargate oder Amazon EC2 ausgeführt werden. Die erweiterte Bedrohungserkennung von GuardDuty nutzt künstliche Intelligenz und Algorithmen für Machine Learning, die im AWS-Maßstab trainiert wurden, um Sicherheitssignale automatisch zu korrelieren und kritische Bedrohungen zu erkennen. Es analysiert mehrere Sicherheitssignale in Bezug auf Netzwerkaktivität, Prozesslaufverhalten, Malware-Ausführung und AWS-API-Aktivität über längere Zeiträume, um ausgeklügelte Angriffsmuster zu erkennen, die andernfalls unbemerkt bleiben könnten.
Mit diesem Launch stellt GuardDuty zwei neue Erkenntnisse zum kritischen Schweregrad vor: AttackSequence:EC2/CompromisedInstanceGroup und AttackSequence:ECS/CompromisedCluster. Diese Erkenntnisse liefern Informationen zur Angriffssequenz, sodass Sie weniger Zeit mit der ersten Analyse verbringen und mehr Zeit für die Reaktion auf kritische Bedrohungen aufwenden können, wodurch die Auswirkungen auf das Geschäft minimiert werden. GuardDuty kann beispielsweise verdächtige Prozesse identifizieren, auf die Persistenzversuche, Krypto-Mining-Aktivitäten und Reverse-Shell-Erstellung folgen. Diese verwandten Ereignisse werden in einem einzigen Befund mit kritischem Schweregrad dargestellt. Jede Erkenntnis beinhaltet eine detaillierte Zusammenfassung des Vorfalls, einen zeitlichen Ablauf der Ereignisse, eine Zuordnung der entsprechenden Taktiken und Techniken von MITRE ATT&CK® sowie Empfehlungen zur Behebung.
GuardDuty Extended Threat Detection wird für GuardDuty-Kunden automatisch und ohne zusätzliche Kosten aktiviert. Der Umfang der Erkennung hängt jedoch von Ihren aktivierten GuardDuty-Schutzplänen ab. Um die Abdeckung der Angriffssequenzen und die Bedrohungsanalyse von Amazon EC2-Instances zu verbessern, aktivieren Sie Runtime Monitoring for EC2. Um die Erkennung kompromittierter ECS-Cluster zu ermöglichen, aktivieren Sie je nach Infrastrukturtyp Runtime Monitoring für Fargate oder EC2.
Aktivieren Sie zunächst die GuardDuty-Schutzpläne über die Konsole oder die API. Neue GuardDuty-Kunden können mit einer kostenlosen 30-Tage-Testversion beginnen, und Bestandskunden, die Runtime Monitoring noch nicht verwendet haben, können es auch 30 Tage lang kostenlos testen. Weitere Informationen finden Sie im Blogbeitrag und auf der Amazon Guard Duty-Produktseite.