Publicado: Oct 16, 2019
O Amazon GuardDuty adiciona três novas detecções de ameaças. Duas das detecções estão relacionadas ao Amazon S3 e a terceira ao possível vazamento de metadados de instâncias do EC2 por meio da revinculação do DNS.
A primeira detecção relacionada ao S3, Policy:IAMUser/S3BlockPublicAccessDisabled, informa que o acesso público a blocos do S3 foi desabilitado em um bucket do S3 de sua conta da AWS (ou de contas agrupadas em uma configuração de várias contas). O acesso público a blocos do S3 é usado para filtrar as políticas ou ACLs aplicadas a um bucket para evitar a exposição acidental de dados. Essa detecção pode ser um indicador de uma configuração indevida ou atividade maliciosa. Uma descoberta gerada a partir dessa detecção de ameaça não significa que o bucket ou os objetos são compartilhados publicamente. No entanto, você deve auditar as políticas e ACLs aplicadas ao bucket para confirmar se permissões adequadas estão implementadas. A segunda detecção relacionada ao S3, Stealth:IAMUser/S3ServerAccessLoggingDisabled, informa a desabilitação do registro em log de acessos ao servidor do Amazon S3 de um bucket em que esse registro em log estava previamente habilitado. A desabilitação do registro em log de acesso a um servidor do Amazon S3 pode indicar uma configuração indevida ou atividade maliciosa e deve ser investigado. A severidade dessas descobertas é baixa.
A terceira nova detecção de ameaças, UnauthorizedAccess:EC2/MetaDataDNSRebind, informa que uma instância do EC2 no ambiente da AWS está consultando um domínio que é resolvido para o endereço IP dos metadados do EC2. Uma consulta DNS desse tipo pode indicar uma tentativa de realizar uma revinculação de DNS para obter metadados de uma instância do EC2, incluindo as credenciais do IAM associadas à instância. A revinculação de DNS explora vulnerabilidades em um aplicativo executado na instância do EC2 ou em um navegador web executado na instância do EC2 e usado por usuários humanos para acessar o URL. A severidade dessa descoberta é alta.
Essas novas descobertas já estão disponíveis em todas as regiões em que o Amazon GuardDuty é oferecido. Não é preciso executar nenhuma ação para começar a usar esses novos tipos de descoberta.
Disponível globalmente, o Amazon GuardDuty monitora continuamente comportamentos mal-intencionados ou não autorizados para ajudar a proteger recursos da AWS, incluindo contas da AWS e chaves de acesso. O GuardDuty ajuda a identificar atividades incomuns ou não autorizadas, como implantações de mineração de criptomoedas ou de infraestrutura em uma região que nunca foi usada. Com o uso de inteligência de ameaças e Machine Learning, o GuardDuty evolui continuamente para ajudar a proteger o seu ambiente na AWS.
Você pode habilitar a avaliação gratuita de 30 dias do Amazon GuardDuty com um único clique no Console de Gerenciamento da AWS. Consulte a página Regiões da AWS para ver todas as regiões em que o GuardDuty está disponível. Para saber mais, consulte Descobertas do Amazon GuardDuty. Para iniciar sua avaliação gratuita de 30 dias, consulte a página sobre a avaliação gratuita do Amazon GuardDuty.