張貼日期: Apr 10, 2023
Amazon GuardDuty 新增三個威脅偵測,協助偵測可疑的 DNS 流量。這些流量可能是惡意行為者在執行某些活動 (如洩露資料,或使用命令和控制伺服器與惡意軟體通訊) 時企圖躲避偵測。
新增的調查結果類型如下:
- DefenseEvasion:EC2/UnusualDNSResolver
- DefenseEvasion:EC2/UnusualDoHActivity
- DefenseEvasion:EC2/UnusualDoTActivity
Amazon GuardDuty 會監控來自 EC2 執行個體的 DNS 流量,這些執行個體使用 Amazon DNS 解析程式來偵測可能的惡意活動。但是,惡意行為者可能會使用外部 DNS 供應商,或使用透過 HTTPS 傳送 DNS 流量 (DoH) 或透過 TLS 傳送 DNS 流量 (DoT) 等技術,試圖遮罩他們的活動。新增的 GuardDuty 威脅偵測有助於偵測此類活動。GuardDuty 會學習 AWS 環境的預期 DNS 流量模式,僅在有可疑活動以及有潛在惡意活動跡象時發出提醒。
所有現有和新的 Amazon GuardDuty 客戶均可免費使用新增的威脅偵測,並且無需操作即可啟動。調查結果類型 DefenseEvasion:EC2/UnusualDNSResolver 將在全部 Amazon GuardDuty 支援區域提供,而 DefenseEvasion:EC2/Unusual DoHActivity 和 DefenseEvasion:EC2/UnusualDoTActivity 在除 AWS 亞太區域 (大阪)、AWS 亞太區域 (雅加達)、AWS 亞太區域 (首爾)、中國 (北京,由 Sinnet 營運) 以及中國 (寧夏,由 NWCD 營運) 區域以外的全部 Amazon GuardDuty 支援區域提供,未來將增加對這些區域的支援。
不同產業和地理區域的客戶採用 Amazon GuardDuty 來保護他們的 AWS 環境,包括 2,000 個最大的 AWS 客戶當中的 90% 以上。GuardDuty 可持續監控惡意或未經授權的行為,協助保護您的 AWS 資源。只要在 AWS 管理主控台按一下滑鼠,便可開始 Amazon GuardDuty 30 天免費試用。若要接收有關新 GuardDuty 功能和威脅偵測的實用更新,請訂閱 Amazon GuardDuty SNS 主題。