Amazon GuardDuty Extended Threat Detection が Amazon EC2 と Amazon ECS のサポートを開始
AWS は、AWS Fargate または Amazon EC2 で実行されている Amazon Elastic Compute Cloud (Amazon EC2) インスタンスと Amazon Elastic Container Service (Amazon ECS) クラスターを標的とする多段階攻撃を検出する新機能により、Amazon GuardDuty Extended Threat Detection をさらに強化したことを発表しました。GuardDuty Extended Threat Detection では、AWS 規模でトレーニングされた人工知能と機械学習のアルゴリズムを使用し、セキュリティシグナルを自動的に相互に関連付けて重大な脅威を検出します。ネットワークアクティビティ、プロセス実行時の動作、マルウェアの実行、AWS APIアクティビティにわたる複数のセキュリティシグナルを長期間にわたって分析し、他の方法では気付かれないような高度な攻撃パターンを検出します。
今回の発表により、GuardDuty は、AttackSequence:EC2/CompromisedInstanceGroup と AttackSequence:ECS/CompromisedCluster という2つの新しい重大度調査を導入しました。これらの調査結果は攻撃シーケンス情報を提供し、初期分析にかかる時間を短縮し、重大な脅威への対応により多くの時間を費やすことができるため、ビジネスへの影響を最小限に抑えることができます。たとえば、GuardDuty では、永続化を試みた疑わしいプロセス、暗号マイニングアクティビティ、リバースシェルの作成などを識別し、これらの関連イベントを 1 つの重大度検出結果として表示できます。各検出結果には、詳細な概要、詳細なイベントタイムライン、MITRE ATT&CK® の戦術と手法へのマッピング、修復のレコメンデーションが含まれています。
GuardDuty Extended Threat Detection は、GuardDuty のお客様には追加費用なしで自動的に有効になりますが、その検出の包括性は、有効にしている GuardDuty 保護プランによって異なります。Amazon EC2 インスタンスの攻撃シーケンスカバレッジと脅威分析を改善するには、EC2 の Runtime Monitoring を有効にします。侵害された ECS クラスターの検出を有効にするには、インフラストラクチャのタイプに応じて Fargate または EC2 のRuntime Monitoring を有効にします。
使用を開始するには、コンソールまたは API で GuardDuty 保護プランを有効にします。GuardDuty の新規のお客様は 30 日間の無料トライアルから始めることができ、Runtime Monitoring をまだ使用していない既存のお客様も 30 日間無料でお試しいただけます。追加情報については、ブログ投稿と Amazon Guard Duty 製品ページをご覧ください。