Publicado: Apr 10, 2023
O Amazon GuardDuty adiciona três novas detecções de ameaças para ajudar a detectar tráfego de DNS suspeito, indicativo de possíveis tentativas de agentes mal-intencionados de evitar a detecção realizando atividades como exfiltrar dados ou usar servidores de comando e controle para se comunicar com malware.
Os tipos de descoberta recém-adicionados são:
- DefenseEvasion:EC2/UnusualDNSResolver
- DefenseEvasion:EC2/UnusualDoHActivity
- DefenseEvasion:EC2/UnusualDoTActivity
O Amazon GuardDuty monitora o tráfego de DNS de instâncias do EC2 que usam os resolvedores de DNS da Amazon para detectar possíveis atividades de agentes mal-intencionados. No entanto, esses agentes podem tentar mascarar suas atividades usando provedores de DNS externos ou usando técnicas como o envio de tráfego DNS por HTTPS (DoH) ou por TLS (DoT). As detecções de ameaças recém-adicionadas do GuardDuty ajudam a detectar esse tipo de atividade. O GuardDuty aprende os padrões de tráfego de DNS esperados no ambiente da AWS para alertar somente quando a atividade é suspeita e indica uma possível atividade mal-intencionada.
As novas detecções de ameaças estão disponíveis sem custos adicionais para todos os clientes novos e existentes do Amazon GuardDuty e não exigem nenhuma ação para serem ativadas. O tipo de descoberta DefenseEvasion:EC2/UnusualDNSResolver está disponível em todas as regiões que oferecem o Amazon GuardDuty. As detecções de ameaças DefenseEvasion:EC2/Unusual DoHActivity e DefenseEvasion:EC2/UnusualDoTActivity estão disponíveis em todas as regiões que oferecem o Amazon GuardDuty, exceto nas regiões AWS Ásia-Pacífico (Osaka), AWS Ásia-Pacífico (Jacarta), AWS Ásia-Pacífico (Seul), China (Pequim, operada pela Sinnet) e China (Ningxia, operada pela NWCD), que serão adicionadas posteriormente.
Clientes de todos os setores e regiões usam o Amazon GuardDuty para proteger ambientes da AWS, incluindo mais de 90% dos 2.000 maiores clientes da AWS. O GuardDuty monitora continuamente comportamentos mal-intencionados ou não autorizados para ajudar a proteger recursos da AWS. Você pode começar uma avaliação gratuita de 30 dias do Amazon GuardDuty com um único clique no Console de Gerenciamento da AWS. Para receber atualizações programáticas sobre novos recursos e detecções de ameaças do GuardDuty, assine o tópico do SNS sobre o Amazon GuardDuty.