Amazon GuardDuty menambahkan deteksi ancaman modifikasi file sensitif
Amazon GuardDuty Runtime Monitoring kini menyertakan tiga deteksi ancaman baru yang memberi peringatan kepada tim keamanan ketika file sensitif dimodifikasi pada instans Amazon EC2 dan beban kerja kontainer yang berjalan di Amazon EKS atau Amazon ECS. Temuan ini membantu mengidentifikasi aktivitas penyerang pasca-kompromi dengan memantau file sistem penting, termasuk file konfigurasi, pengaturan otentikasi, dan log sistem. Kemampuan ini dirancang untuk tim keamanan, profesional DevSecOps, dan arsitek keamanan cloud yang membutuhkan visibilitas ancaman komprehensif di seluruh lingkungan komputasi AWS mereka.
Deteksi baru—Persistence:Runtime/SensitiveFileModified, PrivilegeEscalation:Runtime/SensitiveFileModified, dan DefenseEvasion:Runtime/SensitiveFileModified—membantu mengidentifikasi upaya untuk mempertahankan akses terus-menerus, meningkatkan hak akses, dan menghindari deteksi setelah kompromi sistem awal. Dengan memantau langsung lima operasi file spesifik (buka-untuk-tulis, ganti nama, symlink, tautkan, dan hapus tautan), temuan ini dapat mendeteksi ancaman bahkan ketika penyerang menggunakan teknik yang disamarkan yang melewati pemantauan baris perintah tradisional. Analisis berbasis korelasi membedakan perilaku berbahaya dari operasi administratif yang sah, membantu mengurangi kesalahan positif sekaligus memberikan informasi yang dapat ditindaklanjuti dengan pemetaan taktik MITRE ATT&CK® dan rekomendasi perbaikan.
Temuan modifikasi file sensitif ini sekarang tersedia untuk semua pelanggan yang telah mengaktifkan GuardDuty Runtime Monitoring untuk beban kerja Amazon EC2, Amazon EKS, atau Amazon ECS mereka. Uji coba gratis selama 30 hari tersedia untuk pengguna baru. Untuk mempelajari lebih lanjut, lihat Temuan Amazon GuardDuty. Untuk menerima pembaruan terprogram tentang fitur-fitur baru Amazon GuardDuty dan deteksi ancaman, silakan berlangganan topik Amazon GuardDuty SNS.