Amazon GuardDuty 脅威検知の拡張が Amazon EKS のサポートを開始
本日、AWS は Amazon GuardDuty の脅威検知の拡張を発表しました。この機能には、AWS 環境の Amazon Elastic Kubernetes Service (EKS) クラスターをターゲットとするマルチステージ攻撃への対応が含まれるようになりました。GuardDuty は、Amazon EKS 監査ログ、プロセスの実行時の動作、マルウェアの実行、AWS API アクティビティにわたる複数のセキュリティシグナルを相互に関連付け、他の方法では気づかれないような高度な攻撃パターンを検出します。 新しい攻撃シーケンスの検出結果では、複数のリソースとデータソースが長期間にわたって網羅されています。これにより、第 1 レベルの分析に費やす時間を短縮し、重大な脅威への対応により多くの時間を費やすことにより、ビジネスへの影響を最小限に抑えることができます。
GuardDuty の拡張脅威検出では、AWS 規模でトレーニングされた人工知能と機械学習のアルゴリズムを使用し、セキュリティシグナルを自動的に相互に関連付けて重大な脅威を検出します。たとえば、この機能は、特権コンテナの異常なデプロイ、その後の永続化の試み、暗号マイニング、リバースシェルの作成を検出し、それらを単一の重大度「クリティカル」の検出結果として表示することができます。その後、重大度「クリティカル」の新しい攻撃シーケンス検出結果タイプに基づいて対応を取ることができます。各検出結果には、インシデントの概要、詳細なイベントタイムライン、MITRE ATT&CK® の戦術と手法へのマッピング、および修復の推奨事項が含まれています。
この機能は、GuardDuty を利用できるすべてのリージョンで、GuardDuty のすべてのお客様向けに追加費用なしで自動的に有効になります。Amazon EKS クラスターが関与する攻撃シーケンスを検出するには、GuardDuty EKS Protection を有効にする必要があります。GuardDuty では、より包括的なセキュリティカバレッジを実現するために、EKS 用 GuardDuty ランタイムモニタリングも有効にすることを推奨しています。GuardDuty コンソールから直接、または AWS Security Hub や Amazon EventBridge との統合を通じて、検出結果に対するアクションを実行します。
利用を開始するには、Amazon GuardDuty 製品ページにアクセスするか、AWS 無料利用枠で GuardDuty を 30 日間無料でお試しください。