La détection étendue des menaces Amazon GuardDuty prend désormais en charge Amazon EC2 et Amazon ECS
AWS annonce de nouvelles améliorations apportées à la détection étendue des menaces Amazon GuardDuty avec de nouvelles fonctionnalités permettant de détecter les attaques en plusieurs étapes ciblant les instances Amazon Elastic Compute Cloud (Amazon EC2) et les clusters Amazon Elastic Container Service (Amazon ECS) exécutés sur AWS Fargate ou Amazon EC2. La détection étendue des menaces GuardDuty utilise des algorithmes d'intelligence artificielle et de machine learning entraînés à l'échelle d'AWS afin de mettre automatiquement en corrélation les signaux de sécurité et de détecter les menaces critiques. Il analyse plusieurs signaux de sécurité liés à l'activité du réseau, au comportement d'exécution des processus, à l'exécution de logiciels malveillants et à l'activité de l'API AWS sur de longues périodes afin de détecter des modèles d'attaque sophistiqués, qui pourraient autrement passer inaperçus.
Avec ce lancement, GuardDuty présente deux nouvelles constatations de gravité critique : AttackSequence:EC2/CommisedInstanceGroup et AttackSequence:ECS/CommisedCluster. Ces résultats fournissent des informations sur la séquence des attaques, ce qui vous permet de consacrer moins de temps à l'analyse initiale et plus de temps à répondre aux menaces critiques, minimisant ainsi l'impact commercial. Par exemple, GuardDuty peut identifier les processus suspects suivis de tentatives de persistance, d'activités de minage de cryptomonnaies et de création d'un shell inversé, en représentant ces événements connexes sous la forme d'une seule constatation de gravité critique. Chaque résultat comprend un résumé détaillé, une chronologie des événements, une correspondance avec les tactiques et techniques de MITRE ATT&CK® et des recommandations de remédiation.
Bien que la détection étendue des menaces GuardDuty soit automatiquement activée pour les clients de GuardDuty sans frais supplémentaires, l'exhaustivité de sa détection dépend des plans de protection GuardDuty que vous avez activés. Pour améliorer la couverture des séquences d'attaques et l'analyse des menaces des instances Amazon EC2, activez la sentinelle pour EC2. Pour permettre la détection des clusters ECS compromis, activez la sentinelle pour Fargate ou EC2 en fonction de votre type d'infrastructure.
Pour commencer, activez les plans de protection GuardDuty via la console ou l'API. Les nouveaux clients de GuardDuty peuvent commencer par un essai gratuit de 30 jours, et les clients existants qui n'ont jamais utilisé la sentinelle peuvent également l'essayer gratuitement pendant 30 jours. Pour en savoir plus, consultez l'article de blog et la page produit Amazon Guard Duty.