Publié le: Oct 16, 2019
Amazon GuardDuty ajoute trois nouvelles détections de menaces. Deux de ces détections sont en lien avec Amazon S3 et la troisième avec l’exfiltration potentielle de métadonnées d’instance EC2 via la réassociation de DNS.
Première détection en lien avec S3 : Policy:IAMUser/S3BlockPublicAccessDisabled vous informe que l’accès public au bloc S3 a été désactivé pour un compartiment S3 de votre compte (ou vos comptes s’ils sont dans une configuration à plusieurs comptes) AWS. L’accès public au bloc S3 sert à filtrer les stratégies ou ACL appliquées à un compartiment afin d’éviter l’exposition involontaire des données. Cette détection peut servir d’indicateur de mauvaise configuration ou d’activité malveillante. Une découverte générée à partir de cette détection de menace ne signifie pas que le compartiment ou ses objets sont partagés publiquement, mais qu’il faut auditer les stratégies et ACL appliquées au compartiment pour confirmer la mise en place des autorisations appropriées. Deuxième détection en lien avec S3 : Stealth:IAMUser/S3ServerAccessLoggingDisabled vous informe qu’une modification a été effectuée pour désactiver la journalisation de l’accès au serveur d’Amazon S3 pour un compartiment dans lequel elle était auparavant activée. Lorsque la journalisation de l’accès au serveur d’Amazon S3 est désactivée, cela peut indiquer une mauvaise configuration ou une activité malveillante qu’il faut étudier. La gravité de ces deux découvertes est faible.
Troisième détection : UnauthorizedAccess:EC2/MetaDataDNSRebind vous informe qu’une instance EC2 de votre environnement AWS demande un domaine qui résout sur l’adresse IP des métadonnées EC2. Une requête DNS de ce type peut indiquer une tentative de réassociation de DNS en vue d’obtenir des métadonnées d’une instance EC2, notamment les informations d’identification IAM associées à l’instance. La réassociation de DNS exploite les points faibles d’une application s’exécutant sur l’instance EC2 ou les utilisateurs humains qui accèdent à l’URL depuis un navigateur web s’exécutant sur l’instance EC2. La sévérité de cette découverte est élevée.
Ces nouvelles découvertes sont disponibles aujourd'hui dans toutes les régions dans lesquelles Amazon GuardDuty est disponible. Pour commencer à utiliser ces nouveaux types de découverte, aucune action n'est nécessaire de votre part.
Disponible dans le monde entier, Amazon GuardDuty surveille en permanence les comportements malveillants ou non autorisés pour vous aider à protéger vos ressources AWS, y compris vos comptes AWS et vos clés d’accès. GuardDuty identifie les activités inhabituelles ou non autorisées, telles que les déploiements d’infrastructure ou d’extraction de cryptomonnaie dans une région qui n’a jamais été utilisée. Optimisé par les renseignements sur les menaces et le machine learning, GuardDuty évolue en permanence pour contribuer à la protection de votre environnement AWS.
Vous pouvez activer votre essai gratuit de 30 jours d’Amazon GuardDuty d’un simple clic dans AWS Management Console. Consultez la page des régions AWS pour connaître toutes les régions dans lesquelles GuardDuty est disponible. Pour en savoir plus, consultez Résultats d'Amazon GuardDuty et pour commencer votre essai gratuit de 30 jours, consultez Essai gratuit d'Amazon GuardDuty.