Publié le: Apr 10, 2023
Amazon GuardDuty ajoute trois nouvelles fonctions de détection des menaces pour aider à détecter le trafic DNS suspect indiquant des tentatives potentielles d'acteurs malveillants d'échapper à la détection lors d'activités telles que l'exfiltration de données ou l'utilisation de serveurs de commande et de contrôle pour communiquer avec des logiciels malveillants.
Les types de résultats récemment ajoutés sont les suivants :
- DefenseEvasion:EC2/UnusualDNSResolver
- DefenseEvasion:EC2/UnusualDoHActivity
- DefenseEvasion:EC2/UnusualDoTActivity
Amazon GuardDuty surveille le trafic DNS provenant d'instances EC2 qui utilisent les résolveurs Amazon DNS afin de détecter les activités potentielles d'acteurs malveillants. Toutefois, les acteurs malveillants peuvent tenter de masquer leur activité en utilisant des fournisseurs DNS externes ou en utilisant des techniques telles que l'envoi de trafic DNS via HTTPS (DoH) ou via TLS (DoT). Les détections de menaces GuardDuty récemment ajoutées permettent de détecter ce type d'activité. GuardDuty apprend les modèles de trafic DNS attendus pour l'environnement AWS afin d'émettre des alertes uniquement lorsque l'activité est suspecte et indique une activité malveillante potentielle.
Les nouvelles détections de menaces sont disponibles pour tous les clients Amazon GuardDuty existants et nouveaux, sans frais supplémentaires et aucune action n'est requise pour les activer. Le type de recherche DefenseEvasion:EC2/UnusualDNSResolver est disponible dans toutes les régions prises en charge par Amazon GuardDuty, et les détections de menaces DefenseEvasion:EC2/Unusual DoHActivity et DefenseEvasion:EC2/UnusualDoTActivity sont disponibles dans toutes les régions prises en charge par Amazon GuardDuty, à l'exception des régions AWS Asie-Pacifique (Osaka), Asie-Pacifique (Jakarta), Asie-Pacifique (Séoul), Chine (Beijing, gérée par Sinnet) et Chine (Ningxia, gérée par NWCD), qui seront ajoutées ultérieurement.
Des clients de tous les secteurs et de toutes les zones géographiques utilisent Amazon GuardDuty pour protéger leurs environnements AWS, y compris plus de 90 % des 2 000 principaux clients d'AWS. GuardDuty surveille en permanence les comportements malveillants ou non autorisés afin de protéger vos ressources AWS. Vous pouvez commencer votre essai gratuit de 30 jours d'Amazon GuardDuty d’un simple clic dans la console de gestion AWS. Afin de recevoir les mises à jour programmatiques sur les nouvelles fonctions de GuardDuty et les nouvelles détections de menaces, abonnez-vous à la rubrique Amazon GuardDuty SNS.