Amazon GuardDuty bổ sung các phát hiện mối đe dọa sửa đổi tệp nhạy cảm
Giám sát thời gian chạy Amazon GuardDuty hiện bao gồm ba phát hiện mối đe dọa mới để cảnh báo các đội ngũ bảo mật khi các tệp nhạy cảm được sửa đổi trên các phiên bản Amazon EC2 và khối lượng công việc bộ chứa chạy trên Amazon EKS hoặc Amazon ECS. Những nội dung phát hiện này giúp xác định các hoạt động của kẻ tấn công sau khi xâm nhập bằng cách giám sát các tệp hệ thống trọng yếu, bao gồm tệp cấu hình, cài đặt xác thực và bản ghi hệ thống. Khả năng này được thiết kế cho các đội ngũ bảo mật, chuyên gia DevSecOps và kiến trúc sư bảo mật đám mây vốn cần quan sát toàn diện mối đe dọa trên toàn bộ môi trường điện toán AWS của họ.
Các phát hiện mới – Persistence:Runtime/SensitiveFileModified, PrivilegeEscalation:Runtime/SensitiveFileModified và DefenseEvasion:Runtime/SensitiveFileModified – giúp xác định các nỗ lực duy trì quyền truy cập liên tục, leo thang đặc quyền và tránh phát hiện sau khi hệ thống bị xâm phạm ban đầu. Bằng cách giám sát trực tiếp năm hoạt động đặc thù trên tệp (mở để ghi, đổi tên, liên kết tượng trưng, liên kết và hủy liên kết), những nội dung phát hiện này có thể phát hiện các mối đe dọa ngay cả khi kẻ tấn công sử dụng các kỹ thuật làm mờ vượt qua giám sát dòng lệnh truyền thống. Phân tích dựa trên mối tương quan phân biệt hành vi độc hại với các hoạt động quản trị hợp pháp, giúp giảm các kết quả dương tính giả, đồng thời cung cấp thông tin tình báo khả dụng với ánh xạ chiến thuật MITRE ATT&CK® và các khuyến nghị khắc phục.
Những nội dung phát hiện sửa đổi tệp nhạy cảm này hiện có sẵn cho tất cả khách hàng đã bật Giám sát thời gian chạy GuardDuty cho khối lượng công việc Amazon EC2, Amazon EKS hoặc Amazon ECS của họ. Bản dùng thử miễn phí 30 ngày có sẵn cho người dùng mới. Để tìm hiểu thêm, hãy xem Nội dung phát hiện của Amazon GuardDuty. Để nhận thông tin cập nhật theo chương trình về các tính năng mới của Amazon GuardDuty và khả năng phát hiện mối đe dọa, vui lòng đăng ký chủ đề SNS về Amazon GuardDuty.