게시된 날짜: Apr 10, 2023
Amazon GuardDuty는 데이터 반출 또는 명령 및 제어 서버를 사용하여 멀웨어와 통신하는 등의 활동을 수행할 때 탐지를 회피하려는 악의적인 공격자의 잠재적 시도를 나타내는 의심스러운 DNS 트래픽을 탐지하는 데 도움이 되는 3가지의 새로운 위협 탐지 기능을 추가했습니다.
새로 추가된 탐지 유형은 다음과 같습니다.
- DefenseEvasion:EC2/UnusualDNSResolver
- DefenseEvasion:EC2/UnusualDoHActivity
- DefenseEvasion:EC2/UnusualDoTActivity
Amazon GuardDuty는 Amazon DNS 확인자를 사용하여 잠재적이고 악의적인 공격자의 활동을 탐지하는 EC2 인스턴스의 DNS 트래픽을 모니터링합니다. 그러나 악의적인 공격자는 외부 DNS 공급자를 사용하거나 HTTPS(DoH) 또는 TLS (DoT)를 통한 DNS 트래픽 전송과 같은 기술을 사용하여 자신의 활동을 마스킹하려고 시도할 수 있습니다. 새로 추가된 GuardDuty 위협 탐지 기능은 이런 유형의 활동을 탐지하는 데 도움이 됩니다. GuardDuty는 AWS 환경의 예상되는 DNS 트래픽 패턴을 학습하여 활동이 의심스럽고 잠재적인 악성 활동을 나타내는 경우에만 알립니다.
모든 기존 및 신규 Amazon GuardDuty 고객은 새로운 위협 탐지 기능을 추가 비용 없이 사용할 수 있으며 활성화하기 위한 조치가 따로 필요하지 않습니다. 탐지 유형 DefenseEvasion:EC2/UnusualDNSResolver의 경우 모든 Amazon GuardDuty가 지원되는 리전에서 사용할 수 있으며 DefenseEvasion:EC2/Unusual DoHActivity 및 DefenseEvasion:EC2/UnusualDoTActivity 위협 탐지 기능의 경우 AWS 아시아 태평양(오사카), AWS 아시아 태평양(자카르타), AWS 아시아 태평양(서울), 중국(베이징, Sinnet에서 운영) 및 중국(닝샤, NWCD에서 운영) 리전을 제외한 모든 Amazon GuardDuty가 지원되는 리전에서 사용할 수 있습니다. 해당 리전은 향후에 추가될 예정입니다.
AWS의 2,000대 고객 중 90% 이상을 포함하여 다양한 업종과 지역의 고객이 Amazon GuardDuty를 사용하여 AWS 환경을 보호합니다. GuardDuty는 악의적이거나 승인되지 않은 행동을 지속적으로 모니터링하여 AWS 리소스를 보호하는 데 도움이 됩니다. AWS Management Console에서 클릭 한 번으로 Amazon GuardDuty의 30일 무료 평가판을 시작할 수 있습니다. 프로그래밍 방식으로 새로운 GuardDuty 기능 및 위협 탐지에 대한 업데이트를 수신하려면 Amazon GuardDuty SNS 주제를 구독하세요.