Amazon GuardDuty เพิ่มฟังก์ชันตรวจจับภัยคุกคามการแก้ไขไฟล์ที่มีความละเอียดอ่อน
ขณะนี้ Amazon GuardDuty Runtime Monitoring มีฟังก์ชันตรวจจับภัยคุกคามใหม่ 3 แบบ ที่จะแจ้งเตือนทีมรักษาความปลอดภัยเมื่อมีการแก้ไขไฟล์สำคัญบนอินสแตนซ์ Amazon EC2 และเวิร์กโหลดคอนเทนเนอร์ที่ทำงานบน Amazon EKS หรือ Amazon ECS การค้นพบเหล่านี้ช่วยระบุถึงกิจกรรมของผู้โจมตีหลังจากการเจาะระบบ โดยการตรวจสอบไฟล์ระบบที่สำคัญ รวมถึงไฟล์การกำหนดค่า การตั้งค่าการตรวจสอบสิทธิ์ และข้อมูลบันทึกของระบบ ความสามารถนี้ได้ออกแบบมาสำหรับทีมรักษาความปลอดภัย ผู้เชี่ยวชาญด้าน DevSecops และสถาปนิกด้านความปลอดภัยบนคลาวด์ที่ต้องการมองเห็นภัยคุกคามอย่างครอบคลุมทั่วทั้งสภาพแวดล้อมการประมวลผล AWS ของตน
การตรวจจับใหม่ ได้แก่ Persistence:Runtime/SensitiveFileModified, PrivilegeEscalation:Runtime/SensitiveFileModified และ DefenseEvasion:Runtime/SensitiveFileModified ช่วยระบุความพยายามในการรักษาการเข้าถึงอย่างต่อเนื่อง ยกระดับสิทธิ์ และหลีกเลี่ยงการตรวจจับหลังจากระบบถูกบุกรุกในเบื้องต้น ด้วยการตรวจสอบการทำงานของไฟล์ 5 อย่างโดยเฉพาะ (การเปิดเพื่อเขียน การเปลี่ยนชื่อ Symlink การลิงก์ และการลบลิงก์) โดยตรง การค้นพบเหล่านี้สามารถตรวจจับภัยคุกคามได้ แม้ว่าผู้โจมตีจะใช้วิธีการปกปิดที่หลีกเลี่ยงการตรวจสอบผ่านบรรทัดคำสั่งแบบดั้งเดิมก็ตาม การวิเคราะห์โดยใช้ความสัมพันธ์ช่วยแยกแยะพฤติกรรมที่เป็นอันตรายออกจากการดำเนินการด้านการบริหารจัดการที่ถูกต้องตามกฎหมาย ช่วยลดการแจ้งเตือนที่ผิดพลาด พร้อมทั้งให้ข้อมูลเชิงลึกที่นำไปปฏิบัติได้จริงด้วยการแมปกลยุทธ์และคำแนะนำในการแก้ไขปัญหาจาก MITRE ATT&CK®
ข้อมูลการค้นพบการแก้ไขไฟล์ที่มีความละเอียดอ่อนเหล่านี้ พร้อมให้บริการแก่ลูกค้าทุกท่านที่เปิดใช้งาน GuardDuty Runtime Monitoring สำหรับเวิร์กโหลด Amazon EC2, Amazon EKS หรือ Amazon ECS ของตนแล้ว ผู้ใช้ใหม่สามารถทดลองใช้งานฟรีได้ 30 วัน หากต้องการเรียนรู้เพิ่มเติม โปรดดูการค้นพบของ Amazon GuardDuty หากต้องการรับการอัปเดตโปรแกรมแบบอัตโนมัติเกี่ยวกับฟีเจอร์ใหม่และการตรวจจับภัยคุกคามของ Amazon GuardDuty โปรดสมัครรับข้อมูลได้ผ่านหัวข้อ Amazon GuardDuty SNS