Extended Threat Detection di Amazon GuardDuty ora supporta Amazon EC2 e Amazon EKS
AWS introduce ulteriori miglioramenti a Extended Threat Detection di Amazon GuardDuty con nuove funzionalità per rilevare attacchi in più fasi diretti alle istanze Amazon Elastic Compute Cloud (Amazon EC2) e ai cluster Amazon Elastic Container Service (Amazon ECS) in esecuzione su AWS Fargate o Amazon EC2. Extended Threat Detection di GuardDuty sfrutta l'intelligenza artificiale e gli algoritmi di machine learning addestrati su scala AWS per correlare automaticamente i segnali di sicurezza e individuare le minacce critiche. Analizza più segnali di sicurezza relativi ad attività di rete, comportamento del runtime dei processi, esecuzione di malware e attività delle API AWS per periodi prolungati, per rilevare pattern di attacco sofisticati che altrimenti potrebbero passare inosservati.
Questo lancio introduce in GuardDuty due nuovi esiti di livello critico: AttackSequence:EC2/CompromisedInstanceGroup e AttackSequence:ECS/CompromisedCluster. Questi esiti forniscono informazioni sulla sequenza di attacco, consentendo di ridurre il tempo dedicato all'analisi iniziale e concentrarsi sulla risposta alle minacce critiche, minimizzando l'impatto sull'azienda. Ad esempio, GuardDuty può identificare processi sospetti seguiti da tentativi di persistenza, attività di crypto mining e creazione di una reverse shell, presentando questi eventi correlati come un unico esito di gravità critica. Ogni esito include un riepilogo dettagliato, una cronologia degli eventi, la mappatura con le tattiche e le tecniche MITRE ATT&CK® e suggerimenti per la risoluzione.
Sebbene Extended Threat Detection di GuardDuty sia abilitato automaticamente per i clienti GuardDuty senza costi aggiuntivi, l'ampiezza del rilevamento dipende dai piani di protezione GuardDuty attivati. Per migliorare la copertura delle sequenze di attacco e l'analisi delle minacce per le istanze Amazon EC2, abilita il Monitoraggio del runtime per EC2. Per abilitare il rilevamento dei cluster ECS compromessi, abilita Monitoraggio del runtime per Fargate o EC2 in base al tipo di infrastruttura in uso.
Per iniziare, abilita i piani di protezione GuardDuty tramite la console o l'API. I nuovi clienti GuardDuty possono usufruire di una prova gratuita di 30 giorni, mentre i clienti esistenti che non hanno mai utilizzato il Monitoraggio del runtime possono provarlo gratuitamente per 30 giorni. Per ulteriori informazioni, consulta il post del blog e la pagina del prodotto di Amazon GuardDuty.