Улучшено обнаружение угроз с помощью новых настраиваемых списков сущностей Amazon GuardDuty
Сегодня Amazon Web Services (AWS) анонсирует общую доступность функции настраиваемого обнаружения угроз с использованием списков сущностей в Amazon GuardDuty. Эта новая функция расширяет возможности обнаружения угроз в GuardDuty. Вместо настраиваемого списка IP-адресов, который поддерживался изначально, можно интегрировать в сервис собственную аналитику угроз на основе домена. Теперь можно обнаруживать угрозы в GuardDuty с использованием собственного настраиваемого списка угроз, содержащего вредоносные домены или IP-адреса. В рамках этого обновления в GuardDuty добавлен новый тип полученных данных Impact:EC2/MaliciousDomainRequest.custom, который срабатывает при обнаружении активности, связанной с доменом в настраиваемом списке угроз. Кроме того, списки сущностей можно использовать для подавления оповещений из надежных источников. Это позволяет точнее управлять стратегией обнаружения угроз.
Списки сущностей обеспечивают повышенную гибкость по сравнению с прежними списками IP-адресов. Эти новые списки могут включать IP-адреса, домены или и то, и другое, что позволяет интегрировать более комплексную аналитику угроз. В отличие от устаревшего формата списков IP-адресов, списки сущностей упрощают управление разрешениями и не влияют на ограничения размеров политик IAM в нескольких регионах AWS. Благодаря этому становится проще внедрить настраиваемое обнаружение угроз по всей среде AWS и управлять им.
Настраиваемый список сущностей GuardDuty доступен во всех регионах AWS, где предлагается GuardDuty, за исключением регионов Китая и GovCloud (США).