Amazon GuardDuty Extended Threat Detection est désormais compatible avec Amazon EKS
AWS annonce aujourd'hui de nouvelles améliorations apportées à Amazon GuardDuty Extended Threat Detection. Cette fonctionnalité inclut désormais la couverture des attaques en plusieurs étapes ciblant les clusters Amazon Elastic Kubernetes Service (EKS) dans votre environnement AWS. GuardDuty met en corrélation plusieurs signaux de sécurité entre les journaux d'audit Amazon EKS, le comportement d'exécution des processus, l'exécution de programmes malveillants et l'activité de l'API AWS afin de détecter des modèles d'attaque sophistiqués qui pourraient autrement passer inaperçus. Ces nouveaux résultats de séquences d'attaques couvrent de multiples ressources et sources de données sur une longue période, ce qui vous permet de consacrer moins de temps à l'analyse de premier niveau et plus de temps à la réponse aux menaces graves critiques et ainsi de minimiser l'impact sur l'entreprise.
GuardDuty Extended Threat Detection utilise des algorithmes d'intelligence artificielle et de machine learning entraînés à l'échelle d'AWS, et met automatiquement en corrélation les signaux de sécurité afin de détecter les menaces critiques. Par exemple, il peut identifier un déploiement anormal d'un conteneur privilégié suivi de tentatives de persistance, de minage de cryptomonnaies et de création d'un shell inversé, représentant ces événements connexes sous la forme d'une seule constatation de gravité critique. Vous pouvez ensuite prendre des mesures en fonction d'une nouvelle séquence d'attaque identifiant le type de gravité critique. Chaque résultat comprend un résumé des incidents, une chronologie détaillée des événements, une correspondance avec les tactiques et techniques de MITRE ATT&CK® et des recommandations de remédiation.
Cette fonctionnalité est automatiquement activée pour tous les clients de GuardDuty sans frais supplémentaires dans toutes les régions où GuardDuty est disponible. Pour détecter les séquences d'attaques impliquant des clusters Amazon EKS, vous devez activer GuardDuty EKS Protection, et GuardDuty recommande d'activer également GuardDuty Runtime Monitoring pour EKS afin d'obtenir une couverture de sécurité plus complète. Prenez vos mesures en fonction des résultats directement depuis la console GuardDuty ou via les intégrations à AWS Security Hub et Amazon EventBridge.
Pour commencer, rendez-vous sur la page produit Amazon GuardDuty ou essayez GuardDuty gratuitement pendant 30 jours dans le cadre de l’offre gratuite d’AWS.