发布于: Mar 12, 2021
Amazon GuardDuty 引入了全新的机器学习技术,经过验证能够非常有效地从 AWS 账户内异常但良性的操作行为中识别出潜在的恶意用户活动。这项新功能会持续对账户内的 API 调用行为建立模型,并结合概率预测,从而更准确地隔离和警告高度可疑的用户行为。这种新方法已证明可以识别出与已知的攻击策略相关的恶意活动,包括发现、初始访问、持久访问、权限提升、防御规避、凭证访问、影响和数据泄漏。这种全新的威胁检测功能适用于所有现有的 Amazon GuardDuty 客户,无需采取任何额外操作,也无需额外费用。
该最新增强功能升级了 GuardDuty 现有基于 AWS CloudTrail 的异常威胁检测,以提高准确性、扩大 AWS 服务覆盖范围,并提供上下文数据来帮助响应警报。与单独的异常检测相比,该增强功能将可疑用户行为的警报量减少了 50% 以上,同时还将 GuardDuty 提供的 AWS 服务覆盖率提高了两倍。这些全新的威胁检测功能中生成的上下文数据可以在 GuardDuty 控制台中查看,并通过 Amazon EventBridge 推送出查找 JSON 文件。利用这些上下文数据,您可以快速回答以下问题,例如:哪些 AWS 服务可能受到影响,以及与此可疑行为相关联的攻击策略有哪些? 该活动有哪些异常? 以及该个人用户以及在同一 AWS 账户中操作的所有其他用户的预期行为是什么? 该功能现已在所有 Amazon GuardDuty 支持的区域推出(不包括 AWS GovCloud 和中国区域,这些区域将在稍后添加)。新增的八大威胁检测功能包括:
- Discovery:IAMUser/AnomalousBehavior
- InitialAccess:IAMUser/AnomalousBehavior
- Persistence:IAMUser/AnomalousBehavior
- PrivilegeEscalation:IAMUser/AnomalousBehavior
- DefenseEvasion:IAMUser/AnomalousBehavior
- CredentialAccess:IAMUser/AnomalousBehavior
- Impact:IAMUser/Anomalous
- BehaviorExfiltration:IAMUser/AnomalousBehavior
Amazon GuardDuty 已在全球推出,可持续监控恶意或未经授权的行为,以帮助保护您的 AWS 资源,包括您的 AWS 账户、访问密钥和 EC2 实例。只需在 AWS 管理控制台中单击一下鼠标,即可免费试用 Amazon GuardDuty 30 天。如需了解更多信息,请参阅 Amazon GuardDuty 检测结果,要接收有关 Amazon GuardDuty 新增功能和威胁检测的程序化更新,请订阅 Amazon GuardDuty SNS 主题。