Publicado: Jul 6, 2022
O Amazon GuardDuty incorporou novas técnicas de machine learning que são altamente eficazes na detecção de acesso anômalo a dados armazenados em buckets do Amazon Simple Storage Service (Amazon S3). Esse novo recurso modela continuamente as invocações da API do plano de dados do S3 (por exemplo, GET, PUT e DELETE) em uma conta, incorporando previsões probabilísticas para alertar com mais precisão sobre o acesso de usuários altamente suspeitos a dados armazenados em buckets do S3, como solicitações provenientes de uma localização geográfica incomum, ou volumes excepcionalmente altos de chamadas de API consistentes com tentativas de exfiltrar dados. A nova abordagem de machine learning pode identificar com mais precisão atividades maliciosas associadas a táticas de ataque conhecidas, incluindo descoberta de dados, adulteração e exfiltração. As novas detecções de ameaças estão disponíveis para todos os clientes atuais do Amazon GuardDuty que têm a proteção do S3 para GuardDuty sem qualquer ação necessária e sem custos adicionais. Se você ainda não estiver usando o GuardDuty, a proteção do S3 estará ativada por padrão quando você habilitar o serviço. Se você estiver usando o GuardDuty, e ainda não tiver ativado a proteção do S3, poderá habilitar esse recurso em toda a organização com um clique no console do GuardDuty ou por meio da API.
Esse aperfeiçoamento mais recente faz upgrade das detecções de ameaças e anomalias existentes do GuardDuty, que são baseadas no plano de dados do S3 do CloudTrail, para melhorar a precisão e fornecer dados contextuais para auxiliar na investigação e resposta a incidentes. Os dados contextuais fornecidos nessas novas detecções de ameaças podem ser visualizados no console do GuardDuty e no arquivo JSON de localização enviado por meio do Amazon EventBridge. Com esses dados contextuais, você pode responder mais rapidamente a perguntas como: o que havia de anormal na atividade? De quais locais o bucket do S3 geralmente é acessado? E qual é o número normal de chamadas de API que o usuário faz para recuperar objetos do bucket do S3 acessado? Esse recurso agora está disponível nas regiões com suporte do Amazon GuardDuty, com exceção das regiões AWS Ásia-Pacífico (Osaka), AWS Ásia-Pacífico (Jacarta), AWS GovCloud (Leste dos EUA), AWS GovCloud (Oeste dos EUA), AWS China (Pequim) e AWS China (Ningxia), que serão adicionadas posteriormente. As cinco novas detecções de ameaças adicionadas são:
- Discovery:S3/AnomalousBehavior
- Impact:S3/AnomalousBehavior.Write
- Impact:S3/AnomalousBehavior.Delete
- Exfiltration:S3/AnomalousBehavior
- Impact:S3/AnomalousBehavior.Permission
Disponível globalmente, o Amazon GuardDuty monitora continuamente comportamentos maliciosos ou não autorizados para ajudar a proteger seus recursos da AWS, incluindo suas contas da AWS, chaves de acesso, instâncias do EC2, clusters do EKS e dados armazenados no S3. Desenvolvido com inteligência de ameaças, machine learning e técnicas de detecção de anomalias para detectar ameaças, o GuardDuty está evoluindo continuamente para ajudar você a proteger seu ambiente AWS.
É possível começar sua avaliação gratuita de 30 dias do Amazon GuardDuty com um único clique no Console de Gerenciamento da AWS. Acesse a página Regiões da AWS para ver todas as regiões nas quais o GuardDuty está disponível. Para receber atualizações programáticas sobre novos recursos e detecções de ameaças do GuardDuty, assine o tópico do SNS sobre o Amazon GuardDuty.