Publié le: Jul 6, 2022
Amazon GuardDuty a intégré de nouvelles techniques de machine learning très efficaces pour détecter les accès anormaux aux données stockées dans les compartiments Amazon Simple Storage Service (Amazon S3). Cette nouvelle capacité modélise en continu les invocations d'API de plan de données S3 (par exemple, GET, PUT et DELETE) dans un compte, en intégrant des prédictions probabilistes pour alerter plus précisément sur les accès utilisateur hautement suspects aux données stockées dans les compartiments S3, telles que des requêtes provenant d'une géolocalisation inhabituelle ou des volumes inhabituellement élevés d'appels d'API compatibles avec des tentatives d'exfiltration de données. La nouvelle approche de machine learning peut identifier plus précisément les activités malveillantes associées aux tactiques d'attaque connues, notamment la détection, la falsification et l'exfiltration de données. Les nouvelles détections de menaces sont disponibles pour tous les clients existants d'Amazon GuardDuty, qui ont activé la protection GuardDuty S3, sans action requise et sans frais supplémentaires. Si vous n'utilisez pas encore GuardDuty, la protection S3 sera activée par défaut lorsque vous activerez le service. Si vous utilisez GuardDuty et que vous n'avez pas encore activé la protection S3, vous pouvez activer cette fonctionnalité à l'échelle de l'organisation, et ce, en un seul clic dans la console GuardDuty ou via l'API.
Cette dernière amélioration met à niveau les détections de menaces par anomalie basées sur le plan de données CloudTrail S3 existantes de GuardDuty afin d'améliorer la précision et de fournir des données contextuelles pour faciliter l'enquête sur les incidents et la réponse à ceux-ci. Les données contextuelles produites dans ces nouvelles détections de menaces sont consultables dans la console GuardDuty et le fichier de résultats JSON envoyé par Amazon EventBridge. Grâce à ces données contextuelles, vous pouvez répondre plus rapidement à certaines questions telles que « quelle anomalie l'activité présentait-elle ? » À partir de quels emplacements le compartiment S3 est-il généralement accessible ? Et quel est le nombre standard d'appels d'API que l'utilisateur effectue pour récupérer des objets à partir du compartiment S3 auquel il accède ? Cette fonctionnalité est désormais disponible dans toutes les régions prises en charge par Amazon GuardDuty, à l'exception des régions AWS Asie-Pacifique (Osaka), AWS Asie-Pacifique (Jakarta), AWS GovCloud (US, côte est), AWS GovCloud (US, côte ouest), AWS Chine (Beijing) et AWS Chine (Ningxia), qui seront ajoutées ultérieurement. Les cinq nouvelles détections de menaces ajoutées sont :
- Discovery:S3/AnomalousBehavior
- Impact:S3/AnomalousBehavior.Write
- Impact:S3/AnomalousBehavior.Delete
- Exfiltration:S3/AnomalousBehavior
- Impact:S3/AnomalousBehavior.Permission
Disponible dans le monde entier, Amazon GuardDuty surveille en permanence les comportements malveillants ou non autorisés, afin de protéger vos ressources AWS, y compris vos comptes AWS, vos clés d'accès, les instances EC2, les clusters EKS et les données stockées dans S3. Optimisé par la détection des menaces, le machine learning et les techniques de détection des anomalies, GuardDuty évolue en permanence pour vous aider à protéger votre environnement AWS.
Vous pouvez commencer votre essai gratuit de 30 jours d'Amazon GuardDuty d’un simple clic dans la console de gestion AWS. Consultez la page des régions AWS pour connaître toutes les régions dans lesquelles GuardDuty est disponible. Afin de recevoir les mises à jour programmatiques sur les nouvelles fonctions de GuardDuty et les nouvelles détections de menaces, abonnez-vous à la rubrique Amazon GuardDuty SNS.