Tính năng Phát hiện mối đe dọa mở rộng của Amazon GuardDuty hiện hỗ trợ Amazon EKS
Hôm nay, AWS công bố những sự cải tiến hơn nữa cho tính năng Phát hiện mối đe dọa mở rộng của Amazon GuardDuty. Tính năng này giờ đây có thể phát hiện cả các cuộc tấn công nhiều giai đoạn, nhắm vào các cụm Dịch vụ Kubernetes linh hoạt Amazon (EKS) trong môi trường AWS của bạn. GuardDuty xác định tương quan nhiều tín hiệu bảo mật trên các bản ghi kiểm tra Amazon EKS, hành vi của các quy trình trong thời gian hoạt động, việc thực thi phần mềm độc hại và hoạt động của API AWS để phát hiện các mẫn hình tấn công tinh vi, dễ bị bỏ qua. Các nội dung phát hiện chuỗi tấn công mới này bao quát nhiều tài nguyên và nguồn dữ liệu trong một khoảng thời gian dài, giúp bạn giảm thời gian thực hiện phân tích cấp một và tăng thời gian ứng phó với các mối đe dọa nghiêm trọng, từ đó giảm thiểu mức độ tác động đến doanh nghiệp.
Phát hiện mối đe dọa mở rộng của GuardDuty sử dụng các thuật toán trí tuệ nhân tạo và máy học được đào tạo trên quy mô lớn của AWS để tự động xác định tương quan các tín hiệu bảo mật và phát hiện mối đe dọa nghiêm trọng. Lấy ví dụ, tính năng này có thể xác định một hoạt động triển khai bất thường một bộ chứa đặc quyền rồi đến các nỗ lực liên tục tiếp sau, hoạt động khai thác tiền điện tử và tạo shell ngược, thể hiện các sự kiện liên quan này dưới dạng một nội dung phát hiện ở mức độ nghiêm trọng. Sau đó, bạn có thể thực hiện hành động dựa trên nội dung phát hiện ở mức độ nghiêm trọng về trình tự tấn công mới. Mỗi nội dung phát hiện chứa thông tin tóm tắt về sự cố, các mốc thời gian xảy ra sự kiện chi tiết, thông tin ánh xạ đến các chiến thuật và kỹ thuật của MITRE ATT&CK®, cùng các đề xuất khắc phục.
Tính năng này được kích hoạt tự động và miễn phí cho tất cả khách hàng của GuardDuty ở tất cả các Khu vực có GuardDuty. Để phát hiện chuỗi tấn công liên quan đến cụm Amazon EKS, bạn phải bật Bảo vệ GuardDuty EKS, và GuardDuty khuyên bạn cũng nên bật Giám sát thời gian hoạt động GuardDuty cho EKS để có phạm vi bảo mật toàn diện hơn. Bạn hãy thực hiện hành động dựa trên nội dung phát hiện ngay trong bảng điều khiển GuardDuty hoặc qua các phần tích hợp với Trung tâm bảo mật AWS và Amazon EventBridge.
Để bắt đầu, hãy truy cập trang sản phẩm Amazon GuardDuty hoặc dùng thử GuardDuty miễn phí trong 30 ngày ở Bậc miễn phí của AWS.