Publié le: Jan 20, 2022
Amazon GuardDuty lance une nouvelle détection des menaces qui vous informe de l’utilisation de vos informations d’identification de l’instance EC2 pour appeler des API à partir d’une adresse IP détenue par un autre compte AWS que celui sur lequel l’instance EC2 associée s’exécute. Le nouveau type de résultats est : UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS. Amazon GuardDuty vous a toujours informé de l’utilisation de vos informations d’identification de l’instance EC2 en dehors d’AWS, cependant, cette nouvelle détection des menaces limite la capacité d’un acteur malveillant à contourner la détection à l’aide des informations d’identification de l’instance EC2 à partir d’un autre compte AWS.
Si vous êtes un client Amazon GuardDuty existant, vous n’avez rien d’autre à faire pour démarrer l’utilisation de cette nouvelle fonctionnalité de détection des menaces et contrôler vos opérations de plan de contrôle tels que capturés dans AWS CloudTrail. Si vous êtes également un client de la Protection S3 GuardDuty, cette nouvelle détection des menaces vous informera de l’utilisation des informations d’identification de l’instance EC2 à partir d’un autre compte AWS pour appeler des opérations de plan de données S3 (par ex. LIST/PUT/GET). La protection S3 est activée par défaut lorsque vous mettez en route GuardDuty pour la première fois. Si vous utilisez déjà GuardDuty pour protéger vos comptes et vos charges de travail et que vous n'avez pas encore activé cette fonctionnalité, vous pouvez activer la protection S3 via la console ou l'API GuardDuty.
Les informations d’identification de l’instance EC2 sont les informations d’identification temporairement disponibles via le service de métadonnées EC2 pour une application s’exécutant sur une instance, lorsqu’un rôle AWS Identity and Access Management (IAM) y est attaché. Si ces informations d’identification sont compromises, elles peuvent être utilisées pour appeler des API par malveillance en fonction des autorisations définies dans le rôle IAM attaché à l’instance. Lorsqu’une alerte est générée, vous pouvez désormais voir l’ID de compte AWS pour le compte à partir duquel les informations d’identification ont été utilisées dans la console Amazon GuardDuty ou les résultats JSON. Si le compte AWS distant à partir duquel les informations d’identification sont utilisées n’est pas affilié à votre compte AWS, cela signifie que les comptes ne font pas partie de votre configuration multi-comptes GuardDuty, les résultats du niveau de sévérité seront alors élevés. Sinon, si le compte AWS distant est affilié à votre compte AWS, les résultats du niveau de sévérité seront moyens. GuardDuty apprendra également les topologies de mises en réseau inter-comptes fréquemment utilisées pour réduire le volume des résultats générés pour les cas d’utilisation prévus, tels que lors de l’utilisation de AWS Transit Gateway pour acheminer le trafic entre deux comptes AWS.
Disponible dans le monde entier, Amazon GuardDuty surveille en permanence les comportements malveillants ou non autorisés, afin de protéger vos ressources AWS, y compris vos comptes AWS, vos clés d'accès, les instances EC2 et les données stockées dans S3. Optimisé par la détection des menaces, le machine learning et les techniques de détection des anomalies, GuardDuty évolue en permanence pour vous aider à protéger votre environnement AWS. Vous pouvez activer votre essai gratuit de 30 jours d'Amazon GuardDuty d’un simple clic dans la console de gestion AWS. Pour en savoir plus, consultez la section Résultats Amazon GuardDuty et pour recevoir les dernières mises à jour programmatiques sur les détections de menaces et les nouvelles fonctionnalités d'Amazon GuardDuty, abonnez-vous à la rubrique SNS Amazon GuardDuty.