Tính năng Phát hiện mối đe dọa mở rộng của Amazon GuardDuty hiện đã hỗ trợ Amazon EC2 và Amazon ECS
AWS công bố nhiều cải tiến hơn nữa cho tính năng Phát hiện mối đe dọa mở rộng của Amazon GuardDuty với nhiều tính năng mới giúp phát hiện các cuộc tấn công nhiều giai đoạn nhắm vào các phiên bản Amazon Elastic Compute Cloud (Amazon EC2) và các cụm Amazon Elastic Container Service (Amazon ECS) chạy trên AWS Fargate hoặc Amazon EC2. Tính năng Phát hiện mối đe dọa mở rộng của GuardDuty sử dụng các thuật toán trí tuệ nhân tạo và máy học được đào tạo trên quy mô lớn của AWS để tự động xác định tương quan các tín hiệu bảo mật và phát hiện mối đe dọa nghiêm trọng. Tính năng này phân tích nhiều tín hiệu bảo mật cùng lúc trên khắp hoạt động mạng, xử lý hành vi của thời gian hoạt động, việc thực thi phần mềm độc hại và hoạt động của API AWS trong khoảng thời gian dài nhằm phát hiện các mô hình tấn công tinh vi, dễ bị bỏ qua.
Với sự ra mắt này, GuardDuty giới thiệu hai nội dung phát hiện mới ở mức nghiêm trọng: AttackSequence:EC2/CompromisedInstanceGroup và AttackSequence:ECS/CompromisedCluster. Các nội dung phát hiện này cung cấp thông tin trình tự tấn công, cho phép giảm thời gian tiêu tốn vào khâu phân tích ban đầu và tăng thời gian ứng phó với mối đe dọa nghiêm trọng, giảm thiểu tác động kinh doanh. Ví dụ: GuardDuty có thể xác định các quy trình bất thường mà tiếp nối là các nỗ lực liên tục, hoạt động khai thác tiền điện tử và tạo shell ngược, trình bày các sự kiện liên quan này dưới dạng một nội dung phát hiện ở mức nghiêm trọng. Mỗi nội dung phát hiện đều chứa bản tóm tắt chi tiết về sự cố, mốc thời gian xảy ra sự kiện, thông tin ánh xạ đến các chiến thuật và kỹ thuật trong khung MITRE ATT&CK®, kèm theo đề xuất khắc phục.
Tuy tính năng Phát hiện mối đe dọa mở rộng của GuardDuty được tự động bật cho khách hàng của GuardDuty mà không mất thêm chi phí, mức độ toàn diện trong việc phát hiện của tính năng này phụ thuộc vào các gói bảo vệ GuardDuty đã kích hoạt. Để cải thiện phạm vi phát hiện trình tự tấn công và phân tích mối đe dọa của phiên bản Amazon EC2, hãy bật Giám sát thời gian hoạt động cho EC2. Để cho phép phát hiện các cụm ECS bị xâm phạm, hãy bật Giám sát thời gian hoạt động cho Fargate hoặc EC2 tùy thuộc vào loại cơ sở hạ tầng của bạn.
Để bắt đầu sử dụng, hãy bật các gói bảo vệ GuardDuty thông qua Bảng điều khiển hoặc API. Khách hàng mới của GuardDuty có thể bắt đầu sử dụng bản dùng thử miễn phí 30 ngày còn những khách hàng hiện tại chưa sử dụng Theo dõi thời gian hoạt động cũng có thể dùng thử miễn phí tính năng này trong 30 ngày. Để biết thêm thông tin, hãy truy cập bài đăng trên blog và trang sản phẩm Amazon Guard Duty.