Detecção de Ameaças Avançada do Amazon GuardDuty já abrange Amazon EC2 e Amazon ECS
A AWS anuncia mais melhorias na Detecção de Ameaças Avançada do Amazon GuardDuty. Os novos recursos detectam ataques em várias etapas contra instâncias do Amazon Elastic Compute Cloud (Amazon EC2) e clusters do Amazon Elastic Container Service (Amazon ECS) executados no AWS Fargate ou no Amazon EC2. A Detecção de Ameaças Avançada do GuardDuty usa algoritmos de inteligência artificial e machine learning treinados na escala da AWS para correlacionar automaticamente os sinais de segurança e detectar ameaças críticas. Ele analisa vários sinais de segurança em toda a atividade da rede, o comportamento de runtimes de processos, a execução de malware e a atividade da API da AWS por longos períodos para detectar padrões de ataque sofisticados que, de outra forma, poderiam passar despercebidos.
Com esse lançamento, o GuardDuty apresenta duas novas descobertas de gravidade crítica: AttackSequence:EC2/CompromisedInstanceGroup e AttackSequence:ECS/CompromisedCluster. Essas descobertas oferecem informações sobre a sequência de ataque, permitindo que você dedique menos tempo à análise inicial e mais tempo respondendo às ameaças críticas, minimizando o impacto nos negócios. Por exemplo, o GuardDuty pode identificar processos suspeitos seguidos por tentativas de persistência, atividades de mineração de criptomoedas e criação de shell reverso, representando esses eventos relacionados como uma única descoberta de gravidade crítica. Cada descoberta inclui um resumo do incidente, um cronograma detalhado dos eventos, um mapeamento para as táticas e técnicas do MITRE ATT&CK® e recomendações de remediação.
A Detecção de Ameaças Avançada do GuardDuty é habilitada automaticamente para clientes do GuardDuty. No entanto, a abrangência de detecção depende dos planos de proteção do GuardDuty habilitados. Para melhorar a cobertura da sequência de ataque e a análise de ameaças em instâncias do Amazon EC2, ative o Monitoramento de Runtime para EC2. Para permitir a detecção de clusters ECS comprometidos, ative o Monitoramento de Runtime para Fargate ou EC2, dependendo do tipo de infraestrutura.
Para começar a usar, ative os planos de proteção do GuardDuty no console ou usando a API. Os novos clientes do GuardDuty podem começar a usar com um teste gratuito de 30 dias. Clientes existentes que ainda não usaram o Monitoramento de Runtime também podem experimentá-lo gratuitamente por 30 dias. Para obter informações adicionais, acesse a publicação do blog e a página de produto do Amazon Guard Duty.