Publié le: Mar 12, 2021
Amazon GuardDuty a intégré de nouvelles techniques de machine learning qui se sont avérées très efficaces pour discerner les activités potentiellement malveillantes des utilisateurs d'un comportement opérationnel anormal mais bénin au sein des comptes AWS. Cette nouvelle fonctionnalité modélise en permanence les invocations d'API au sein d'un compte, en intégrant des prédictions probabilistes pour isoler avec plus de précision et alerter sur les comportements d'utilisateurs hautement suspects. Cette nouvelle approche a prouvé qu'elle pouvait identifier les activités malveillantes associées à des tactiques d'attaque connues, notamment la découverte, l'accès initial, la persistance, l'élévation des privilèges, l'évasion de défense, l'accès aux informations d'identification, l'impact et l'exfiltration de données. Les nouvelles détections de menaces sont disponibles pour tous les clients existants d'Amazon GuardDuty, sans action requise et sans frais supplémentaires.
Cette dernière amélioration met à niveau les détections de menaces par anomalie basées sur AWS CloudTrail de GuardDuty afin d'améliorer la précision, d'élargir la couverture des services AWS et de fournir des données contextuelles pour aider à répondre aux alertes. Cette amélioration réduit de plus de 50 % le volume d'alertes pour comportement suspect des utilisateurs, par rapport à la détection d'anomalies seule, tout en triplant la couverture des services AWS fournie par GuardDuty. Les données contextuelles produites dans ces nouvelles détections de menaces sont consultables dans la console GuardDuty et le fichier de résultats JSON envoyé par Amazon EventBridge. Avec ces données contextuelles, vous pouvez rapidement répondre à des questions telles que : quels services AWS peuvent être impactés et quelles tactiques d'attaque sont associées à ce comportement suspect ? Qu'est-ce qui était anormal dans cette activité ? Et quel est le comportement attendu de l'utilisateur individuel, ainsi que de tous les autres utilisateurs qui opèrent dans le même compte AWS ? Cette fonctionnalité est désormais disponible dans toutes les régions prises en charge par Amazon GuardDuty, à l'exception des régions AWS GovCloud et Chine, qui seront ajoutées ultérieurement. Les huit nouvelles détections de menaces ajoutées sont :
- Discovery:IAMUser/AnomalousBehavior
- InitialAccess:IAMUser/AnomalousBehavior
- Persistence:IAMUser/AnomalousBehavior
- PrivilegeEscalation:IAMUser/AnomalousBehavior
- DefenseEvasion:IAMUser/AnomalousBehavior
- CredentialAccess:IAMUser/AnomalousBehavior
- Impact:IAMUser/Anomalous
- BehaviorExfiltration:IAMUser/AnomalousBehavior
Disponible dans le monde entier, Amazon GuardDuty surveille en permanence les comportements malveillants ou non autorisés pour vous aider à protéger vos ressources AWS, y compris vos comptes AWS, vos clés d'accès et vos instances EC2. Vous pouvez activer votre essai gratuit de 30 jours d'Amazon GuardDuty d’un simple clic dans la console de gestion AWS. Pour en savoir plus, consultez la section Amazon GuardDuty Findings et pour recevoir les dernières mises à jour programmatiques sur les détections de menaces et les nouvelles fonctionnalités d'Amazon GuardDuty, abonnez-vous à la rubrique SNS Amazon GuardDuty.