La detección ampliada de amenazas de Amazon GuardDuty ahora es compatible con Amazon EC2 y Amazon ECS
AWS anuncia nuevas mejoras en la detección ampliada de amenazas de Amazon GuardDuty con nuevas capacidades para detectar ataques en varias etapas dirigidos a instancias de Amazon Elastic Compute Cloud (Amazon EC2) y clústeres de Amazon Elastic Container Service (Amazon ECS) que se ejecutan en AWS Fargate o Amazon EC2. La detección de amenazas ampliada de GuardDuty utiliza algoritmos de inteligencia artificial y machine learning de AWS entrenados a escala para correlacionar automáticamente las señales de seguridad y detectar amenazas críticas. Analiza múltiples señales de seguridad en la actividad de la red, el comportamiento de los procesos en tiempo de ejecución, la ejecución de malware y la actividad de las API de AWS durante períodos prolongados para detectar patrones de ataque sofisticados que, de otro modo, podrían pasar desapercibidos.
Con este lanzamiento, GuardDuty presenta dos nuevos resultados de gravedad crítica: AttackSequence:EC2/CompromesedInstanceGroup y AttackSequence:ECS/CompromesedCluster. Estos resultados proporcionan información sobre la secuencia de los ataques, lo que le permite dedicar menos tiempo al análisis inicial y más tiempo a responder a las amenazas críticas, lo que minimiza el impacto empresarial. Por ejemplo, GuardDuty puede identificar procesos sospechosos seguidos de intentos de persistencia, actividades de minería criptográfica y creación inversa de shell. De esta manera, quedan representados estos eventos relacionados como un único resultado de mucha gravedad. Cada resultado incluye un resumen detallado, un cronograma de los eventos, una asignación de las tácticas y técnicas de MITRE ATT&CK® y recomendaciones de soluciones.
Si bien la detección ampliada de amenazas de GuardDuty se habilita automáticamente para los clientes de GuardDuty sin costo adicional, la exhaustividad de su detección depende de sus planes de protección de GuardDuty habilitados. Para mejorar la cobertura de las secuencias de ataque y el análisis de amenazas de las instancias de Amazon EC2, habilite la supervisión de la versión ejecutable para EC2. Para permitir la detección de clústeres de ECS comprometidos, habilite la supervisión de la versión ejecutable para Fargate o EC2, según el tipo de infraestructura.
Para empezar, habilite los planes de protección de GuardDuty a través de la consola o la API. Los nuevos clientes de GuardDuty pueden empezar con una prueba gratuita de 30 días, y los clientes actuales que no hayan utilizado la Supervisión de la Versión Ejecutable también pueden probarla gratis durante 30 días. Para obtener más información, consulte la publicación del blog y la página del producto Amazon Guard Duty.