Расширенное обнаружение угроз Amazon GuardDuty теперь поддерживает Amazon EC2 и Amazon ECS
AWS объявляет о дополнительном улучшении расширенного обнаружения угроз Amazon GuardDuty за счет новых возможностей обнаружения многоступенчатых атак, направленных на инстансы Amazon Elastic Compute Cloud (Amazon EC2) и кластеры Amazon Elastic Container Service (Amazon ECS), работающие на базе AWS Fargate или Amazon EC2. Функция расширенного обнаружения угроз GuardDuty использует алгоритмы искусственного интеллекта (ИИ) и машинного обучения, обучаемые в масштабе AWS, чтобы автоматически сопоставлять сигналы безопасности и обнаруживать критические угрозы. Он анализирует множество сигналов безопасности, связанных с действиями в сети, средой выполнения процессов, запуском вредоносных программ и API-интерфейсами AWS, в течение длительных периодов времени, чтобы выявлять сложные шаблоны атак, которые в ином случае могли бы остаться незамеченными.
В текущем выпуске GuardDuty представлены два новых вида результатов с критической степенью серьезности: AttackSequence:EC2/CompromisedInstanceGroup и AttackSequence:ECS/CompromisedCluster. Полученные данные такого рода содержат информацию об этапах атаки, позволяя вам не тратить время на начальный анализ, а посвятить его реагированию на критические угрозы, чтобы уменьшить последствия для бизнеса. К примеру, GuardDuty может выявлять подозрительные процессы, за которыми следуют настойчивые попытки выполнения определенных действий, майнинг криптовалют и создание обратной оболочки, представляя эти взаимосвязанные события в виде общих полученных данных с критическим уровнем серьезности. Полученные данные всегда включают подробную сводку по инциденту, график событий, сопоставление с тактиками и методами MITRE ATT&CK®, а также рекомендации по устранению.
Хотя расширенное обнаружение угроз GuardDuty активируется для клиентов GuardDuty автоматически без дополнительной платы, полнота обнаружения угроз зависит от применяемых планов защиты GuardDuty. Для более полного охвата последовательностей атак и анализа угроз на инстансах Amazon EC2 включите Мониторинг времени выполнения для EC2. Чтобы сделать возможным обнаружение скомпрометированных кластеров ECS, включите Мониторинг времени выполнения для Fargate или EC2 в зависимости от типа инфраструктуры.
Чтобы начать работу, активируйте планы защиты GuardDuty через консоль или API-интерфейс. Новые клиенты GuardDuty могут начать с 30-дневной бесплатной пробной версии, а текущие клиенты, которые еще не использовали Мониторинг времени выполнения, тоже могут попробовать его бесплатно в течение 30 дней. Дополнительную информацию см. в этой статье блога и на странице продукта Amazon GuardDuty.