張貼日期: Oct 16, 2019
Amazon GuardDuty 首次採用 3 個新威脅偵測,其中兩個與 Amazon S3 相關,第三個則與透過 DNS 重新繫結外洩 EC2 執行個體中繼資料的潛在風險有關。
第一個 S3 相關偵測:Policy:IAMUser/S3BlockPublicAccessDisabled 會通知您 AWS 帳戶 (若在多帳戶組態中設定的話,則會是多個帳戶) 中的 S3 儲存貯體已停用 S3 區塊的公共存取功能。S3 區塊公共存取功能用於篩選套用至儲存貯體的原則或 ACL,以避免不慎外洩資料。這個偵測可能指出組態不正確或有惡意活動,所產生的結果不表示儲存貯體或物件是公開共用的,但您應該稽核套用至儲存貯體的原則和 ACL,以確定已採取恰當的權限措施。第二個 S3 相關偵測:Stealth:IAMUser/S3ServerAccessLoggingDisabled 會通知您已發生變更,需要先停用先前為儲存貯體啟用的 Amazon S3 伺服器存取日誌。停用 Amazon S3 伺服器存取日誌後,這個偵測可能指出組態不正確或有惡意活動,應進行調查。這兩種偵測的發現結果嚴重性都較低。
第三個新威脅偵測 UnauthorizedAccess:EC2/MetaDataDNSRebind 會通知您,AWS 環境中的 EC2 執行個體正在查詢解析為 EC2 中繼資料 IP 位址的網域。這類 DNS 查詢可能指出為了從 EC2 執行個體 (包括與該執行個體關聯的 IAM 登入資料) 取得中繼資料所做的 DNS 重新繫結嘗試。DNS 重新繫結會利用各種漏洞,像是在 EC2 執行個體上運作的應用程式,又或者利用在 EC2 執行個體上運作的 Web 瀏覽器存取 URL 的使用者。這種偵測的發現結果嚴重性較高。
這些新的問題清單現在可於提供 Amazon GuardDuty 的所有區域使用。您無須採取任何動作即可開始使用這些新的問題清單類型。
全球可用的 Amazon GuardDuty 可持續監控惡意或未經授權的行為,協助保護您的 AWS 資源,包括 AWS 帳戶和存取金鑰。GuardDuty 可識別異常或未經授權的活動,例如在從未使用的區域進行加密貨幣採礦或基礎設施部署。GuardDuty 採用威脅情報和機器學習技術,持續不斷地發展,以協助您保護 AWS 環境。
只要在 AWS 管理主控台按一下滑鼠,便可啟用 Amazon GuardDuty 30 天免費試用。請參閱 AWS 區域頁面,了解可使用 GuardDuty 的所有區域。若要進一步了解,請參閱 Amazon GuardDuty 問題清單,若要開始您的 30 天免費試用,請參閱 Amazon GuardDuty 免費試用。