Amazon GuardDuty, 민감한 파일 수정 위협 탐지 기능 추가
Amazon GuardDuty Runtime Monitoring에 3가지 새로운 위협 탐지 기능이 포함됩니다. 이제 Amazon EKS 또는 Amazon ECS에서 실행 중인 Amazon EC2 인스턴스와 컨테이너 워크로드에서 민감한 파일이 수정되면 보안 팀에 알림이 전송됩니다. 이 조사 결과는 구성 파일, 인증 설정, 시스템 로그를 비롯한 중요 시스템 파일을 모니터링함으로써 보안 침해 후의 공격자 활동을 식별하는 데 도움이 됩니다. 이 기능은 AWS 컴퓨팅 환경 전반에 걸쳐 포괄적인 위협 가시성이 필요한 보안 팀, DevSecOps 전문가, 클라우드 보안 설계자를 위해 개발되었습니다.
새로운 탐지 기능인 Persistence:Runtime/SensitiveFileModified, PrivilegeEscalation:Runtime/SensitiveFileModified, DefenseEvasion:Runtime/SensitiveFileModified는 초기 시스템 손상 후 영구 액세스 유지, 권한 에스컬레이션, 탐지 회피 시도를 찾아내는 데 도움이 됩니다. 5가지 특정 파일 작업(쓰기 위해 열기, 이름 변경, 심링크, 링크, 링크 해제)을 직접 모니터링함으로써, 이 조사 결과는 위협을 탐지할 수 있습니다. 공격자가 기존 명령줄 모니터링을 우회하는 난독화 기법을 사용하는 경우에도 마찬가지입니다. 이 상관 관계 기반 분석은 악의적인 행동을 합법적인 관리 작업과 구별하여 오탐을 줄이는 동시에 MITRE ATT&CK® 전술 매핑과 문제 해결 권장 사항을 통해 실행 가능한 인텔리전스를 제공합니다.
이제 Amazon EC2, Amazon EKS 또는 Amazon ECS 워크로드에 GuardDuty Runtime Monitoring을 활성화한 모든 고객은 이러한 민감한 파일 수정 조사 결과를 사용할 수 있습니다. 신규 사용자는 30일 무료 평가판을 사용할 수 있습니다. 자세히 알아보려면 Amazon GuardDuty 조사 결과를 참조하세요. 새로운 Amazon GuardDuty 기능 및 위협 탐지에 대한 프로그래밍 방식 업데이트를 수신하려면 Amazon GuardDuty SNS 주제를 구독하십시오.