Amazon GuardDuty fügt Bedrohungserkennung für sensible Dateiänderungen hinzu
Amazon GuardDuty Runtime Monitoring umfasst jetzt drei neue Arten der Bedrohungserkennung, die Sicherheitsteams warnen, wenn sensible Dateien auf Amazon EC2-Instances und Container-Workloads, die auf Amazon EKS oder Amazon ECS ausgeführt werden, geändert werden. Diese Ergebnisse helfen dabei, die Aktivitäten von Angreifern nach einer Sicherheitsverletzung zu identifizieren, indem wichtige Systemdateien überwacht werden, einschließlich Konfigurationsdateien, Authentifizierungseinstellungen und Systemprotokolle. Diese Funktion wurde für Sicherheitsteams, DevSecOps-Experten und Cloud-Sicherheitsarchitekten entwickelt, die einen umfassenden Überblick über Bedrohungen in ihren AWS-Computerumgebungen benötigen.
Die neuen Arten der Erkennung – Persistence:Runtime/SensitiveFileModified, PrivilegeEscalation:Runtime/SensitiveFileModified und DefenseEvasion:Runtime/SensitiveFileModified – helfen dabei, Versuche zu erkennen, den dauerhaften Zugriff aufrechtzuerhalten, Rechte zu erweitern und die Erkennung nach einer ersten Systemkompromittierung zu umgehen. Durch die direkte Überwachung von fünf spezifischen Dateivorgängen (open-for-write, rename, symlink, link und unlink) können diese Ergebnisse Bedrohungen erkennen, selbst wenn Angreifer verschleierte Techniken verwenden, die die herkömmliche Befehlszeilenüberwachung umgehen. Die korrelationsbasierte Analyse unterscheidet bösartiges Verhalten von legitimen administrativen Vorgängen und trägt dazu bei, Fehlalarme zu reduzieren und gleichzeitig umsetzbare Informationen mit MITRE ATT&CK®-Taktiken und Empfehlungen zur Problembehebung bereitzustellen.
Diese Ergebnisse sensibler Dateiänderungen stehen jetzt allen Kunden zur Verfügung, die GuardDuty Runtime Monitoring für ihre Amazon EC2-, Amazon EKS- oder Amazon ECS-Workloads aktiviert haben. Eine kostenlose 30-Tage-Testversion ist für neue Benutzer verfügbar. Um mehr zu erfahren, gehen Sie zu Amazon GuardDuty – Erkenntnisse. Wenn Sie programmatische Informationen zu neuen Amazon GuardDuty-Funktionen und neu erkannten Bedrohungen erhalten möchten, können Sie das Amazon GuardDuty-SNS-Thema abonnieren.