Amazon GuardDuty aggiunge il rilevamento delle minacce di modifica dei file sensibili
Amazon GuardDuty Runtime Monitoring ora include tre nuovi rilevamenti di minacce che avvisano i team di sicurezza quando i file sensibili vengono modificati su istanze Amazon EC2 e carichi di lavoro di container in esecuzione su Amazon EKS o Amazon ECS. Questi rilevamenti aiutano a identificare le attività degli aggressori successive a una compromissione, monitorando i file di sistema critici, inclusi i file di configurazione, le impostazioni di autenticazione e i log di sistema. Questa funzionalità è progettata per i team di sicurezza, i professionisti DevSecOps e gli architetti della sicurezza del cloud che necessitano di una visibilità completa delle minacce nei loro ambienti di elaborazione AWS.
I nuovi rilevamenti—Persistence:Runtime/SensitiveFileModified, PrivilegeEscalation:Runtime/SensitiveFileModified e DefenseEvasion:Runtime/SensitiveFileModified—aiutano a identificare i tentativi di mantenere l'accesso persistente, aumentare i privilegi ed eludere il rilevamento dopo una compromissione iniziale del sistema. Monitorando direttamente cinque operazioni specifiche sui file (open-for-write, rename, symlink, link e unlink), questi rilevamenti possono individuare le minacce anche quando gli aggressori utilizzano tecniche offuscate che aggirano il tradizionale monitoraggio da riga di comando. L'analisi basata sulla correlazione distingue i comportamenti dannosi dalle operazioni amministrative legittime, contribuendo a ridurre i falsi positivi e fornendo al contempo informazioni operative con la mappatura delle tattiche MITRE ATT&CK® e i consigli per la risoluzione.
I rilevamenti relativi alle modifiche dei file sensibili sono ora disponibili per tutti i clienti che hanno abilitato GuardDuty Runtime Monitoring per i propri carichi di lavoro Amazon EC2, Amazon EKS o Amazon ECS. È disponibile una prova gratuita di 30 giorni per i nuovi utenti. Per ulteriori informazioni, visita la sezione dedicata ai rilevamenti di Amazon GuardDuty. Per ricevere aggiornamenti programmatici sulle nuove funzionalità e sui rilevamenti delle minacce di Amazon GuardDuty sottoscrivi l'argomento SNS Amazon GuardDuty.