Publicado en: Apr 10, 2023
Amazon GuardDuty incorpora tres nuevas detecciones de amenazas para ayudar a detectar el tráfico de DNS sospechoso, indicativo de posibles intentos de actores malintencionados de evadir la detección al realizar actividades como la filtración de datos o el uso de servidores de comando y control para comunicarse con el malware.
Los tipos de búsqueda que se han añadido recientemente son:
- Evasión de Defensa: EC2/Resolución de DNS Inusual
- Evasión de Defensa: EC2/Actividad Inusual de DoH (DNS sobre HTTPS)
- Evasión de Defensa: EC2/Actividad Inusual de DoT (DNS sobre TLS)
Amazon GuardDuty supervisa el tráfico de DNS de las instancias EC2 que utilizan los solucionadores de DNS de Amazon para detectar posibles actividades de actores malintencionados. Sin embargo, los actores malintencionados pueden intentar enmascarar sus actividades mediante el uso de proveedores de DNS externos o mediante técnicas como el envío de tráfico de DNS a través de HTTPS (DoH) o TLS (DoT). Las detecciones de amenazas GuardDuty recientemente añadidas ayudan a detectar este tipo de actividad. GuardDuty aprende los patrones de tráfico de DNS esperados para el entorno de AWS para alertar únicamente cuando la actividad es sospechosa e indica una posible actividad maliciosa.
Las nuevas detecciones de amenazas están disponibles para todos los clientes nuevos y actuales de Amazon GuardDuty sin costos adicionales y no requieren ninguna acción para activarlas. El tipo de búsqueda Evasión de Defensa: EC2/Resolución de DNS Inusual está disponible en todas las regiones compatibles con Amazon GuardDuty, y las detecciones de amenazas Evasión de Defensa: EC2/Actividad Inusual de DoH y Evasión de Defensa: EC2/Actividad Inusual de DoT están disponibles en todas las regiones compatibles con Amazon GuardDuty, excepto AWS Asia Pacífico (Osaka), AWS Asia Pacífico (Yakarta), AWS Asia Pacífico (Seúl) y China (Pekín, administrada por Sinnet) y las regiones de China (Ningxia, operada por NWCD), que se añadirán en una fecha posterior.
Los clientes de todos los sectores y regiones utilizan Amazon GuardDuty para proteger sus entornos de AWS, incluidos más del 90 % de los 2000 clientes más grandes de AWS. GuardDuty monitorea de manera continua el comportamiento malintencionado o no autorizado para ayudar a proteger sus recursos de AWS. Puede comenzar una prueba gratuita de 30 días de Amazon GuardDuty con un solo clic en la consola de administración de AWS. Para recibir actualizaciones programáticas sobre nuevas características y detecciones de amenazas de GuardDuty, suscríbase al tema de SNS sobre Amazon GuardDuty.