Amazon GuardDuty 延伸威脅偵測現已支援 Amazon EKS
AWS 今天宣布了對 Amazon GuardDuty 延伸威脅偵測的進一步強化。此功能的涵蓋範圍現已擴及以您 AWS 環境中的 Amazon Elastic Kubernetes Service (EKS) 叢集為目標的多階段攻擊。GuardDuty 會為 Amazon EKS 稽核日誌、程序的執行階段行為、惡意軟體執行和 AWS API 活動間的多個安全信號產生關聯,以偵測偵測可能遭到忽略的複雜攻擊模式。 這些新的攻擊序列調查結果涵蓋較長時間跨度內的多個資源和資料來源,從而縮短了第一層分析所需的時間,讓您有更多時間來回應重大嚴重性的威脅,而盡可能降低業務影響。
GuardDuty 延伸威脅偵測使用依 AWS 規模訓練的人工智慧和機器學習演算法,自動建立安全信號的關聯,以偵測重大威脅。例如,它可以識別是否有人異常部署了有特殊權限的容器,且隨後進行了持續性嘗試、加密採礦並建立了反向 Shell,然後,它會將這些相關事件顯示為單一的重大嚴重性調查結果。然後,您可以根據重大嚴重性的新型攻擊序列調查結果來採取行動。每個調查結果都包含事故摘要、詳細的事件時間表、MITRE ATT&CK® 戰術和技術的對應,以及修復建議。
所有可使用 GuardDuty 的區域都會自動為所有 GuardDuty 客戶啟用這項功能,且無需額外費用。若要偵測涉及 Amazon EKS 叢集的攻擊序列,您必須啟用 GuardDuty EKS Protection,且 GuardDuty 建議您同時為 EKS 啟用 GuardDuty 執行階段監控,以獲得更全面的安全涵蓋範圍。直接透過 GuardDuty 主控台或與 AWS Security Hub 和 Amazon EventBridge 的整合來處理調查結果。
若要開始使用,請瀏覽 Amazon GuardDuty 產品頁面,或透過 AWS 免費方案來免費試用 GuardDuty 30 天。