Amazon GuardDuty Extended Threat Detection, Amazon EC2와 Amazon ECS 지원
AWS는 AWS Fargate 또는 Amazon EC2에서 실행되는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스와 Amazon Elastic Container Service(Amazon ECS) 클러스터를 대상으로 하는 다단계 공격을 탐지하는 새로운 기능을 추가하여 Amazon GuardDuty Extended Threat Detection을 개선한다고 발표했습니다. GuardDuty Extended Threat Detection은 AWS 규모로 훈련된 인공 지능 및 기계 학습 알고리즘을 사용해 보안 신호의 상관관계를 자동으로 분석하고 중대 위협을 탐지합니다. 네트워크 활동, 프로세스 런타임 동작, 멀웨어 실행, AWS API 활동 전반의 여러 보안 신호를 장기간 분석하여 놓칠 수 있는 정교한 공격패턴을 탐지합니다.
이번 출시를 통해 GuardDuty가 찾은 두 가지 새로운 중요 심각도 조사 결과는 다음과 같습니다. AttackSequence:EC2/CompromisedInstanceGroup 및 AttackSequence:ECS/CompromisedCluster. 이 결과는 공격 시퀀스 정보를 제공하여 초기 분석에 소요되는 시간을 줄이고 중요한 위협에 대응하는 데 더 많은 시간을 할애하여 비즈니스에 미치는 영향을 최소화할 수 있습니다. 예를 들어 GuardDuty는 지속성 시도, 암호화폐 채굴 활동, 역방향 쉘 생성으로 이어지는 의심스러운 프로세스를 식별하여 관련된 이벤트들을 하나의 중요한 심각도 탐지 결과로 나타냅니다. 각 탐지 결과에는 자세한 요약, 이벤트 타임라인, MITRE ATT&CK® 전술 및 기법과의 매핑, 및 조치 권장 사항이 포함됩니다.
GuardDuty 고객은 추가 비용 없이 GuardDuty Extended Threat Detection이 자동으로 활성화되지만, 탐지 포괄성은 활성화된 GuardDuty 보호 플랜에 따라 달라집니다. Amazon EC2 인스턴스의 공격 시퀀스 적용 범위와 위협 분석을 개선하려면 EC2에 대한 런타임 모니터링을 활성화하세요. 손상된 ECS 클러스터를 탐지하려면 인프라 유형에 따라 Fargate 또는 EC2에 대한 런타임 모니터링을 활성화하세요.
시작하려면 콘솔 또는 API를 통해 GuardDuty 보호 플랜을 활성화하세요. 신규 GuardDuty 고객은 30일 무료 평가판으로 시작할 수 있으며, 런타임 모니터링을 사용하지 않은 기존 고객도 30일 동안 무료로 사용해 볼 수 있습니다. 자세한 내용은 블로그 게시물 및 Amazon Guard Duty 제품 페이지를 참조하세요.