Publicado: Mar 12, 2021
O Amazon GuardDuty incorporou novas técnicas de machine learning que se mostraram altamente eficientes em distinguir entre a atividade do usuário potencialmente mal-intencionada e o comportamento operacional anômalo, mas benigno nas contas da AWS. Essa nova funcionalidade modela invocações à API continuamente em uma conta, incorporando previsões probabilísticas para isolar com mais precisão e alertar sobre comportamento de usuário altamente suspeito. Essa nova abordagem comprovou ser capaz de identificar atividade mal-intencionada associada a táticas de ataque conhecidas, incluindo descoberta, acesso inicial, persistência, escalação de privilégios, evasão de defesas, acesso a credenciais, impacto e exfiltração de dados. As novas detecções de ameaças estão disponíveis para todos os clientes atuais do Amazon GuardDuty sem qualquer ação necessária e sem custos adicionais.
Esse aperfeiçoamento mais recente faz upgrade das detecções de ameaças e anomalias existentes do GuardDuty, que são baseadas no AWS CloudTrail, para melhorar a precisão, ampliar a cobertura do produto da AWS e fornecer dados contextuais para auxiliar na resposta a alertas. Esse aperfeiçoamento reduz o volume de alertas sobre comportamento suspeito do usuário em mais de 50%, em comparação só com a detecção de anomalias, enquanto também triplica a cobertura do produto da AWS que o GuardDuty fornece. Os dados contextuais fornecidos nessas novas detecções de ameaças podem ser visualizados no console do GuardDuty e no arquivo JSON de localização enviado por meio do Amazon EventBridge. Com esses dados contextuais, é possível responder rapidamente a perguntas como: quais produtos da AWS podem ser afetados e que táticas de ataque estão associadas a esse comportamento suspeito? O que havia de anômalo em relação à atividade? E qual era o comportamento esperado do usuário individual, e também de todos os outros usuários que operam na mesma conta da AWS? Essa funcionalidade já está disponível em todas as regiões compatíveis com Amazon GuardDuty, com exceção das regiões AWS GovCloud e China, que serão adicionadas posteriormente. As oito novas detecções de ameaças adicionadas são:
- Discovery:IAMUser/AnomalousBehavior
- InitialAccess:IAMUser/AnomalousBehavior
- Persistence:IAMUser/AnomalousBehavior
- PrivilegeEscalation:IAMUser/AnomalousBehavior
- DefenseEvasion:IAMUser/AnomalousBehavior
- CredentialAccess:IAMUser/AnomalousBehavior
- Impact:IAMUser/Anomalous
- BehaviorExfiltration:IAMUser/AnomalousBehavior
Disponível globalmente, o Amazon GuardDuty monitora continuamente comportamentos mal-intencionados ou não autorizados para ajudar a proteger seus recursos da AWS, inclusive contas da AWS, chaves de acesso e instâncias do EC2. Você pode habilitar a avaliação gratuita de 30 dias do Amazon GuardDuty com um único clique no Console de Gerenciamento da AWS. Para saber mais, consulte Amazon GuardDuty Findings e para receber atualizações programáticas sobre novos recursos e detecções de ameaças do Amazon GuardDuty, assine o tópico do SNS para o Amazon GuardDuty.