Publicado en: Jul 6, 2022
Amazon GuardDuty ha incorporado nuevas técnicas de machine learning que son muy eficientes al detectar accesos anómalos a los datos almacenados en los buckets de Amazon Simple Storage Service (Amazon S3). Esta nueva capacidad modela de manera continua las invocaciones de API para el plano de datos S3 (por ej. GET, PUT y DELETE) dentro de una cuenta, incorporando predicciones probabilísticas para alertas con más precisión el acceso muy sospechoso del usuario a los datos almacenados en los buckets S3, como solicitudes provenientes de una geoubicación inusual, o volúmenes inusualmente altos de llamadas a la API compatibles con intentos para extraer datos. El nuevo enfoque de machine learning puede identificar con más precisión la actividad maliciosa asociada a tácticas conocidas de ataque, entre ellas el descubrimiento, la manipulación y la extracción de datos. Las nuevas detecciones de amenazas están disponibles para todos los clientes de Amazon GuardDuty que tienen habilitada la protección de GuardDuty S3 sin necesidad de realizar alguna acción y sin costos adicionales. Si aun no está usando GuardDuty, la protección S3 estará activada en forma predeterminada cuando habilita el servicio . Si está usando GuardDuty y aun tiene que habilitar la protección S3, puede habilitar esta capacidad en toda la organización con un clic en la consola GuardDuty o a través de la API.
Esta última mejora el nivel de las detecciones de amenazas y anomalías que se basan en el plano de datos S3 existente de CloudTrail de GuardDuty a fin de mejorar la precisión, y brindar datos contextuales que ayuden a investigar y responder a los incidentes. Los datos contextuales que se crean en estas nuevas detecciones de amenazas se pueden ver en la consola de GuardDuty y en el archivo JSON de búsqueda que se obtiene a través de Amazon EventBridge. Con este dato contextual, puede responder con más rapidez preguntas como ¿qué era lo anómalo de la actividad? ¿Desde qué ubicaciones se puede acceder, por lo general, al bucket S3? Y ¿cuál es la cantidad normal de llamadas a la API que hace el usuario para retirar objetos del bucket S3 al que accedió? Esta función ya está disponible en todas las regiones compatibles de Amazon GuardDuty; quedan excluidas las siguientes regiones de AWS: Asia Pacífico (Osaka), Asia Pacífico (Yakarta), GovCloud (Este de EE. UU), GovCloud (Oeste de EE. UU.), China (Pekín), y China (Ningxia), que se agregarán en una fecha posterior. Las cinco nuevas detecciones de amenazas que se agregaron son:
- Descubrimiento:S3/conducta anómala
- Impacto:S3/conducta anómala. Escribir
- Impacto:S3/conducta anómala. Eliminar
- Extracción:S3/conducta anómala
- Impacto:S3/conducta anómala.Permiso
Amazon GuardDuty, que se encuentra disponible a nivel mundial, controla de manera continua el comportamiento malicioso o no autorizado para proteger los recursos de AWS, incluidas las claves de acceso, las cuentas de AWS, las instancias de EC2, los clústeres EKS y los datos almacenados en S3. Impulsado mediante inteligencia ante amenazas, machine learning y técnicas de detección de anomalías, GuardDuty evoluciona continuamente para ayudar a proteger el entorno de AWS.
Puede comenzar una prueba gratuita de 30 días de Amazon GuardDuty con un solo clic en la consola de administración de AWS. Consulte la página de regiones de AWS para conocer todas las regiones en las que GuardDuty se encuentra disponible. Para recibir actualizaciones programáticas sobre nuevas características y detecciones de amenazas de GuardDuty, suscríbase al tema de SNS de Amazon GuardDuty.