Расширенное обнаружение угроз Amazon GuardDuty теперь поддерживает Amazon EKS
Сегодня AWS объявляет о дальнейшем усовершенствовании функции расширенного обнаружения угроз сервиса Amazon GuardDuty. Теперь под нее подпадают многоэтапные атаки на кластеры эластичного сервиса Amazon Kubernetes (Amazon EKS) в среде AWS. Amazon GuardDuty сопоставляет множество оповещений об угрозах, появляющихся в журналах аудита Amazon EKS, в ходе процессов, при выполнении вредоносных программ и функционировании API AWS, для выявления сложных шаблонов атак, которые в ином случае могли бы остаться незамеченными. Полученные данные о новой последовательности атаки охватывают несколько ресурсов и источников данных в течение длительного периода времени, что позволяет тратить меньше времени на анализ первого уровня, уделять больше времени реагированию на критические угрозы и таким образом минимизировать влияние на бизнес.
Функция расширенного обнаружения угроз GuardDuty использует искусственный интеллект и алгоритмы машинного обучения, подготовленные в масштабах AWS, чтобы автоматически сопоставлять сигналы безопасности для обнаружения критических угроз. Например, она может выявить аномальное развертывание привилегированного контейнера, за которым последовали настойчивые попытки сохранения доступа, майнинг криптовалют и создание обратной оболочки, и представить эти связанные события как единую угрозу критического уровня. Это позволяет определить тип угрозы и принять меры на основе новой последовательности атаки. Каждый раз полученные данные включают краткое описание инцидента, подробный график событий, сопоставление с тактиками и методами MITRE ATT&CK®, а также рекомендации по устранению последствий.
Новые возможности автоматически активируются для всех клиентов Amazon GuardDuty без дополнительной оплаты во всех регионах доступности Amazon GuardDuty. Для обнаружения последовательностей атак, затрагивающих кластеры Amazon EKS, необходимо включить защиту GuardDuty для EKS. Кроме того, для более полного обеспечения безопасности Amazon GuardDuty рекомендует также активировать мониторинг времени выполнения GuardDuty для EKS. Принять меры на основе полученных данных можно непосредственно из консоли Amazon GuardDuty или через ее интеграции с центром безопасности AWS и сервисом Amazon EventBridge.
Чтобы начать пользоваться продуктом, посетите страницу продукта Amazon GuardDuty или испытайте GuardDuty бесплатно в течение 30 дней на уровне бесплатного пользования AWS.