В Amazon GuardDuty добавлено обнаружение угроз, связанных с модификацией конфиденциальных файлов

Проведено: 1 июля 2026 г.

Мониторинг среды выполнения Amazon GuardDuty теперь включает три новых средства обнаружения угроз, которые предупреждают группы безопасности об изменении конфиденциальных файлов в инстансах Amazon EC2 и рабочих нагрузках контейнеров, работающих в Amazon EKS или Amazon ECS. Эти полученные данные помогают выявлять действия злоумышленников после взлома путем мониторинга критически важных системных файлов, включая файлы конфигурации, параметры аутентификации и системные журналы. Эта возможность предназначена для групп безопасности, специалистов DevSecOps и архитекторов облачной безопасности, которым требуется комплексная информация об угрозах в своих вычислительных средах AWS.

Новые методы обнаружения – Persistence:Runtime/SensitiveFileModified, PrivilegeEscalation:Runtime/SensitiveFileModified и DefenseEvasion:Runtime/SensitiveFileModified – помогают выявлять попытки сохранить постоянный доступ, повысить привилегии и избежать обнаружения после первоначального взлома системы. Благодаря непосредственному мониторингу пяти конкретных операций с файлами (открытие файлов для записи, переименование, создание символических ссылок, создание ссылки и удаление ссылки) эти результаты позволяют выявлять угрозы даже в тех случаях, когда злоумышленники используют скрытые методы, обходящие традиционный мониторинг с помощью командной строки. Анализ, основанный на корреляции, отличает вредоносное поведение от законных административных операций, помогает снизить количество ложных срабатываний и предоставляет действенные аналитические данные с помощью рекомендаций MITRE ATT&CK® по выявлению тактик и устранению ошибок.

Эти конфиденциальные полученные данные об изменении файлов теперь доступны всем клиентам, которые включили мониторинг среды выполнения GuardDuty для своих рабочих нагрузок Amazon EC2, Amazon EKS или Amazon ECS. Новым пользователям доступна 30-дневная бесплатная пробная версия. Дополнительные сведения см. в разделе Полученные данные Amazon GuardDuty. Чтобы получать информацию о программных обновлениях новых функций Amazon GuardDuty и обнаружении угроз, подпишитесь на раздел Amazon GuardDuty SNS.