Amazon GuardDuty 新增敏感檔案修改威脅偵測

張貼日期: 2026年7月1日

Amazon GuardDuty 執行時期監控現在包含三項新的威脅偵測,當 Amazon EC2 執行個體以及在 Amazon EKS 或 Amazon ECS 上執行的容器工作負載中的敏感檔案遭到修改時,會向安全團隊發出警示。這些調查結果透過監控關鍵系統檔案,包括組態檔、身分驗證設定和系統日誌,協助識別系統遭入侵後攻擊者的活動。這項功能專為需要在其 AWS 運算環境中全面掌握威脅可見度的安全團隊、DevSecOps 專業人員及雲端安全架構師而設計。

這些新偵測 — Persistence:Runtime/SensitiveFileModified、PrivilegeEscalation:Runtime/SensitiveFileModified 和 DefenseEvasion:Runtime/SensitiveFileModified — 有助於識別在系統初次遭入侵後,維持持續存取、提升權限及規避偵測的企圖。這些調查結果可透過直接監控五種特定檔案操作 (open-for-write、rename、symlink、link 和 unlink),即使攻擊者使用可繞過傳統命令列監控的混淆技術,也能偵測威脅。這種以關聯性為基礎的分析可區分惡意行為與合法的管理作業,有助於減少誤判,同時透過 MITRE ATT&CK® 戰術映射和修復建議提供可採取行動的洞察。

這些敏感檔案修改調查結果現已提供給所有已為其 Amazon EC2、Amazon EKS 或 Amazon ECS 工作負載啟用 GuardDuty 執行時期監控的客戶。新用戶可以使用 30 天免費試用。若要了解詳情,請參閱 Amazon GuardDuty 調查結果。若要接收有關新 Amazon GuardDuty 功能和威脅偵測的實用更新,請訂閱 Amazon GuardDuty SNS 主題