Publié le: May 17, 2019
Amazon GuardDuty ajoute deux nouvelles détections de menaces. Ces nouvelles détections constituent la plus récente bibliothèque en croissance constante de détections de menaces entièrement gérées proposée aux clients qui activent Amazon GuardDuty dans leurs comptes AWS. Avec 25 ajouts depuis son lancement, Amazon GuardDuty prend désormais en charge 54 types de recherche actifs.
Voici les nouveaux types de recherche :
Recon:EC2/PortProbeEMRUnprotectedPort
Le nouveau type de recherche Recon:EC2/PortProbeEMRUnprotectedPort indique qu'un port sensible associé à EMR sur une instance Amazon EC2 n'est pas bloqué par un groupe de sécurité, une liste de contrôle d'accès ou un pare-feu d'hôte et que des scanners connus sur Internet l'exploitent activement. Les ports qui peuvent déclencher cette recherche, tels que le port 8088 (port YARN Web UI), pourraient éventuellement être utilisés pour l'exécution de code à distance. Il s'agit d'un type de recherche de gravité élevée.
PrivilegeEscalation:IAMUser/AdministrativePermissions
Le nouveau type de recherche PrivilegeEscalation:IAMUser/AdministrativePermissions est déclenché lorsqu'un utilisateur ou un rôle tente de s'affecter à lui-même une stratégie très permissive. Si l'utilisateur ou le rôle en question n'est pas censé disposer de privilèges d'administration, cela signifie que les informations d'identification de l'utilisateur ont été compromises ou que les autorisations du rôle ne sont peut-être pas configurées correctement. Il s'agit d'un type de recherche de gravité basse.
Ces nouvelles recherches sont disponibles aujourd'hui dans toutes les régions dans lesquelles Amazon GuardDuty est disponible. Pour commencer à utiliser ces nouveaux types de recherche, aucune action n'est nécessaire de votre part.
Une fois activé, Amazon GuardDuty surveille en permanence les comportements malveillants ou non autorisés pour vous aider à protéger vos ressources AWS, y compris vos comptes AWS et vos clés d'accès. GuardDuty identifie les activités inhabituelles ou non autorisées, telles que les déploiements d'infrastructure ou d'extraction de cryptomonnaie dans une région qui n'a jamais été utilisée. Lorsqu'une menace est détectée, vous en êtes averti par le biais de résultats de sécurité GuardDuty qui vous fournissent des informations détaillées sur ce qui a été observé et les ressources impliquées. Optimisé par les renseignements sur les menaces et le Machine Learning, GuardDuty évolue en permanence pour contribuer à la protection de votre environnement AWS.
Vous pouvez activer votre essai gratuit de 30 jours d'Amazon GuardDuty d'un simple clic dans la console GuardDuty. Consultez la page des régions AWS pour connaître toutes les régions dans lesquelles GuardDuty est disponible. Pour en savoir plus, consultez Résultats d'Amazon GuardDuty et pour commencer votre essai gratuit de 30 jours, consultez Essai gratuit d'Amazon GuardDuty.