Amazon GuardDuty 延伸式威脅偵測現已支援 Amazon EC2 與 Amazon ECS
AWS 宣佈進一步增強 Amazon GuardDuty 延伸式威脅偵測功能,新增功能可偵測針對在 AWS Fargate 或 Amazon EC2 上執行的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體與 Amazon Elastic Container Service (Amazon ECS) 叢集的多階段攻擊。GuardDuty 延伸式威脅偵測使用依 AWS 規模訓練的人工智慧和機器學習演算法,自動建立安全信號的關聯,並偵測重大威脅。它會分析跨網路活動、程序執行時期行為、惡意軟體執行與 AWS API 活動等多項安全訊號,並持續很長一段時間,以偵測可能忽略的複雜攻擊模式。
隨著此版本推出,GuardDuty 引入了兩個新的重大嚴重性調查結果:AttackSequence:EC2/CompromisedInstanceGroup 與 AttackSequence:ECS/CompromisedCluster。這些調查結果提供攻擊序列資訊,使您能花更少時間進行初步分析,並將更多時間投入於回應重大威脅,從而最大限度地減少對業務的影響。例如,GuardDuty 能識別可疑程序,隨後進行持久化嘗試、加密貨幣採礦活動和反向 Shell 建立,並將這些相關事件呈現為單一的重大嚴重性調查結果。每個調查結果都包含詳細摘要、事件時間表、與 MITRE ATT&CK® 技術與程序的對應,以及修正建議。
雖然 GuardDuty 延伸式威脅偵測會自動為 GuardDuty 客戶啟用且不需額外費用,但其偵測完整性取決於您啟用的 GuardDuty 防護方案。若要改善 Amazon EC2 執行個體的攻擊序列涵蓋範圍與威脅分析,請啟用 EC2 的執行時期監控。若要啟用受入侵 ECS 叢集的偵測,請根據您的基礎結構類型啟用 Fargate 或 EC2 的執行時期監控。
若要開始使用,請透過主控台或 API 啟用 GuardDuty 防護方案。新的 GuardDuty 客戶可從 30 天免費試用 開始,而尚未使用執行時期監控的既有客戶也可免費試用 30 天。如需更多資訊,請參閱部落格文章與 Amazon GuardDuty 產品頁面。