Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
GuardDuty Erweiterte Bedrohungserkennung
GuardDuty Extended Threat Detection erkennt automatisch mehrstufige Angriffe, die sich über Datenquellen, mehrere AWS Ressourcentypen und einen Zeitraum erstrecken, innerhalb eines AWS-Konto. Mit dieser Funktion GuardDuty konzentriert es sich auf die Abfolge mehrerer Ereignisse, die es beobachtet, indem es verschiedene Arten von Datenquellen überwacht. Extended Threat Detection korreliert diese Ereignisse, um Szenarien zu identifizieren, die sich als potenzielle Bedrohung für Ihre AWS Umgebung darstellen, und generiert dann eine Ermittlung der Angriffssequenz.
Themen
Beispiele für Bedrohungsszenarien mit Angriffssequenz
Extended Threat Detection deckt Bedrohungsszenarien ab, die mit dem Missbrauch von AWS Anmeldeinformationen, Datenkompromittierungsversuchen in Amazon S3 S3-Buckets und der Kompromittierung von Containern und Kubernetes-Ressourcen in Amazon EKS-Clustern einhergehen. Ein einziger Befund kann eine gesamte Angriffssequenz umfassen. In der folgenden Liste werden beispielsweise die Szenarien beschrieben, bei denen Folgendes erkannt werden GuardDuty könnte:
- Beispiel 1 — Datenkompromittierung von AWS Anmeldedaten und Amazon S3 S3-Bucket-Daten
-
-
Ein Bedrohungsakteur, der sich unbefugten Zugriff auf einen Rechen-Workload verschafft.
-
Der Akteur führt dann eine Reihe von Aktionen durch, z. B. die Eskalation von Rechten und die Herstellung von Persistenz.
-
Schließlich exfiltriert der Akteur Daten aus einer Amazon S3 S3-Ressource.
-
- Beispiel 2 — Amazon EKS-Cluster-Kompromiss
-
-
Ein Bedrohungsakteur versucht, eine Container-Anwendung innerhalb eines Amazon EKS-Clusters auszunutzen.
-
Der Akteur verwendet diesen kompromittierten Container, um Token für privilegierte Dienstkonten zu erhalten.
-
Der Akteur nutzt dann diese erhöhten Rechte, um über Pod-Identitäten auf sensible Kubernetes-Geheimnisse oder AWS -Ressourcen zuzugreifen.
-
GuardDuty Betrachtet aufgrund der Art der damit verbundenen Bedrohungsszenarien alle Szenarien als kritisch. Arten der Suche nach Angriffssequenzen
Das folgende Video zeigt, wie Sie Extended Threat Detection verwenden können.
Funktionsweise
Wenn Sie Amazon GuardDuty in Ihrem Konto in einem bestimmten Bereich aktivieren AWS-Region, ist Extended Threat Detection standardmäßig ebenfalls aktiviert. Mit der Nutzung von Extended Threat Detection sind keine zusätzlichen Kosten verbunden. Standardmäßig werden alle Grundlegende Datenquellen Ereignisse miteinander korreliert. Wenn Sie jedoch mehr GuardDuty Schutzpläne wie S3 Protection, EKS Protection und Runtime Monitoring aktivieren, werden dadurch zusätzliche Arten der Erkennung von Angriffssequenzen eröffnet, da die Bandbreite der Ereignisquellen erweitert wird. Dies kann möglicherweise zu einer umfassenderen Bedrohungsanalyse und zur besseren Erkennung von Angriffssequenzen beitragen. Weitere Informationen finden Sie unter Aktivierung von Schutzplänen zur Maximierung der Bedrohungserkennung.
GuardDuty korreliert mehrere Ereignisse, einschließlich API-Aktivitäten und GuardDuty -Ergebnisse. Diese Ereignisse werden als Signale bezeichnet. Manchmal kann es in Ihrer Umgebung Ereignisse geben, die sich für sich genommen nicht als eindeutige potenzielle Bedrohung darstellen. GuardDuty bezeichnet sie als schwache Signale. GuardDuty Identifiziert mit Extended Threat Detection, wenn eine Abfolge mehrerer Aktionen auf eine potenziell verdächtige Aktivität zurückzuführen ist, und generiert eine Erkennung der Angriffssequenz in Ihrem Konto. Diese vielfältigen Aktionen können schwache Signale und bereits festgestellte GuardDuty Ergebnisse in Ihrem Konto beinhalten.
Anmerkung
Bei der Zuordnung von Ereignissen zu Angriffssequenzen berücksichtigt Extended Threat Detection archivierte Ergebnisse nicht, auch solche, die aufgrund von Unterdrückungsregeln automatisch archiviert werden. Dieses Verhalten stellt sicher, dass nur aktive, relevante Signale zur Erkennung der Angriffssequenz beitragen. Um sicherzustellen, dass Sie davon nicht betroffen sind, überprüfen Sie die bestehenden Unterdrückungsregeln in Ihrem Konto. Weitere Informationen finden Sie unter Verwenden von Unterdrückungsregeln mit Extended Threat Detection.
GuardDuty dient außerdem der Identifizierung potenzieller laufender oder kürzlich aufgetretener Angriffe (innerhalb eines fortlaufenden Zeitfensters von 24 Stunden) in Ihrem Konto. Ein Angriff könnte beispielsweise damit beginnen, dass sich ein Akteur unbeabsichtigt Zugriff auf eine Rechenlast verschafft. Der Akteur würde dann eine Reihe von Schritten ausführen, darunter die Aufzählung, die Eskalation von Rechten und die Exfiltration von Anmeldeinformationen. AWS Diese Anmeldeinformationen könnten möglicherweise für weitere Sicherheitslücken oder für den böswilligen Zugriff auf Daten verwendet werden.
Aktivierung von Schutzplänen zur Maximierung der Bedrohungserkennung
Für jedes GuardDuty Konto in einer Region wird die Funktion Extended Threat Detection automatisch aktiviert. Standardmäßig berücksichtigt diese Funktion die verschiedenen Ereignisse in allen BereichenGrundlegende Datenquellen. Um von dieser Funktion zu profitieren, müssen Sie nicht alle anwendungsspezifischen GuardDuty Schutzpläne aktivieren. Mit einer grundlegenden Bedrohungserkennung GuardDuty kann beispielsweise eine potenzielle Angriffssequenz ausgehend von der Aktivität zur Erkennung von IAM-Rechten auf Amazon S3 APIs identifiziert und nachfolgende Änderungen der S3-Steuerungsebene erkannt werden, z. B. Änderungen, die die Bucket-Ressourcenrichtlinie toleranter machen.
Extended Threat Detection ist so konzipiert, dass es, wenn Sie mehr Schutzpläne aktivieren, dazu beiträgt, vielfältigere Signale aus mehreren Datenquellen zu GuardDuty korrelieren. Dadurch kann die Bandbreite der Sicherheitssignale für eine umfassende Bedrohungsanalyse und die Erfassung von Angriffssequenzen potenziell erweitert werden. Um Erkenntnisse zu identifizieren, die möglicherweise eine der mehreren Phasen einer Angriffssequenz sein könnten, GuardDuty empfiehlt es sich, spezifische Schutzpläne zu aktivieren — S3-Schutz, EKS-Schutz und Runtime Monitoring (mit EKS-Add-on).
Themen
Erkennung von Angriffssequenzen in Amazon EKS-Clustern
GuardDuty Korrelierte mehrere Sicherheitssignale zwischen EKS-Auditprotokollen, dem Laufzeitverhalten von Prozessen und AWS API-Aktivitäten, um ausgeklügelte Angriffsmuster zu erkennen. Um von Extended Threat Detection for EKS zu profitieren, müssen Sie mindestens eine dieser Funktionen aktivieren — EKS-Schutz oder Runtime Monitoring (mit EKS-Add-on). EKS Protection überwacht die Aktivitäten auf der Kontrollebene anhand von Auditprotokollen, während Runtime Monitoring das Verhalten innerhalb von Containern beobachtet.
Für eine maximale Abdeckung und eine umfassende Bedrohungserkennung GuardDuty empfiehlt es sich, beide Schutzpläne zu aktivieren. Zusammen bieten sie einen vollständigen Überblick über Ihre EKS-Cluster und ermöglichen so GuardDuty die Erkennung komplexer Angriffsmuster. Es kann beispielsweise eine anomale Bereitstellung eines privilegierten Containers (erkannt mit EKS Protection) identifizieren, gefolgt von Persistenzversuchen, Krypto-Mining und Reverse-Shell-Erstellung innerhalb dieses Containers (erkannt mit Runtime Monitoring). GuardDuty stellt diese zusammenhängenden Ereignisse als einen einzigen Befund mit kritischem Schweregrad dar, genannt. AttackSequence:EKS/CompromisedCluster Wenn Sie beide Schutzpläne aktivieren, deckt die Ermittlung der Angriffssequenz die folgenden Bedrohungsszenarien ab:
-
Kompromittierung von Containern, auf denen anfällige Webanwendungen laufen
-
Unberechtigter Zugriff durch falsch konfigurierte Anmeldeinformationen
-
Versuche, Rechte zu erweitern
-
Verdächtige API-Anfragen
-
Versuche, böswillig auf Daten zuzugreifen
Die folgende Liste enthält Einzelheiten darüber, wann diese speziellen Schutzpläne einzeln aktiviert werden:
- EKS-Schutz
-
Durch die Aktivierung von EKS GuardDuty Protection können Angriffssequenzen erkannt werden, die Aktivitäten der Amazon EKS-Cluster-Steuerebene betreffen. Auf diese Weise können GuardDuty EKS-Auditprotokolle und AWS API-Aktivitäten korreliert werden. GuardDuty Kann beispielsweise eine Angriffssequenz erkennen, bei der ein Akteur versucht, unbefugt auf Cluster-Geheimnisse zuzugreifen, die RBAC-Berechtigungen (RBAC) von Kubernetes ändert und privilegierte Pods erstellt. Weitere Informationen zur Aktivierung dieses Schutzplans finden Sie unter. EKS-Schutz
- Laufzeitüberwachung für Amazon EKS
-
Die Aktivierung von Runtime Monitoring für Amazon EKS-Cluster bietet die GuardDuty Möglichkeit, die Erkennung von EKS-Angriffssequenzen mit Transparenz auf Container-Ebene zu verbessern. Auf diese Weise GuardDuty können potenzielle bösartige Prozesse, verdächtiges Laufzeitverhalten und die mögliche Ausführung von Malware erkannt werden. GuardDuty Kann beispielsweise eine Angriffssequenz erkennen, bei der ein Container anfängt, verdächtiges Verhalten an den Tag zu legen, z. B. Krypto-Mining-Prozesse oder das Herstellen von Verbindungen zu bekannten bösartigen Endpunkten. Weitere Informationen zur Aktivierung dieses Schutzplans finden Sie unter. Laufzeit-Überwachung
Wenn Sie EKS-Schutz oder Runtime Monitoring nicht aktivieren, können keine individuellen Arten der Suche nach EKS-Schutz oder generiert GuardDuty werdenRuntime Monitoring findet Typen. GuardDuty Wird daher nicht in der Lage sein, mehrstufige Angriffssequenzen zu erkennen, die zugehörige Ergebnisse beinhalten.
Erkennung von Angriffssequenzen in Amazon S3 S3-Buckets
Durch die Aktivierung von S3 Protection GuardDuty können Angriffssequenzen erkannt werden, bei denen versucht wird, Daten in Ihren Amazon S3 S3-Buckets zu kompromittieren. Ohne S3-Schutz GuardDuty kann erkannt werden, wenn Ihre S3-Bucket-Ressourcenrichtlinie zu freizügig wird. Wenn Sie S3 Protection aktivieren, ist es in der Lage GuardDuty , potenzielle Datenexfiltrationsaktivitäten zu erkennen, die auftreten können, nachdem Ihr S3-Bucket zu freizügig geworden ist.
Wenn S3 Protection nicht aktiviert ist, können keine GuardDuty individuellen Daten generiert werden. Suchtypen für den S3-Schutz Daher GuardDuty wird es nicht möglich sein, mehrstufige Angriffssequenzen zu erkennen, die zugehörige Ergebnisse beinhalten. Weitere Informationen zur Aktivierung dieses Schutzplans finden Sie unterS3-Schutz.
Erweiterte Erkennung von Bedrohungen in der GuardDuty Konsole
Standardmäßig wird auf der Seite „Erweiterte Bedrohungserkennung“ in der GuardDuty Konsole der Status „Aktiviert“ angezeigt. Bei der grundlegenden Bedrohungserkennung steht der Status dafür, dass eine potenzielle Angriffssequenz erkannt werden GuardDuty kann, die IAM-Rechteerkennungsaktivitäten auf Amazon S3 APIs und die Erkennung nachfolgender Änderungen der S3-Steuerebene umfasst.
Gehen Sie wie folgt vor, um die Seite Extended Threat Detection in der Konsole aufzurufen: GuardDuty
-
Sie können die GuardDuty Konsole unter öffnen https://console.aws.amazon.com/guardduty/
. -
Wählen Sie im linken Navigationsbereich Extended Threat Detection aus.
Diese Seite enthält Einzelheiten zu den Bedrohungsszenarien, die von Extended Threat Detection abgedeckt werden.
-
Sehen Sie sich auf der Seite Extended Threat Detection den Abschnitt Verwandte Schutzpläne an. Wenn Sie spezielle Schutzpläne aktivieren möchten, um den Schutz vor Bedrohungserkennung in Ihrem Konto zu erhöhen, wählen Sie die Option Konfigurieren für diesen Schutzplan aus.
Die Ergebnisse der Angriffssequenz verstehen und verwalten
Die Ergebnisse der Angriffssequenz sind genau wie andere GuardDuty Ergebnisse in Ihrem Konto. Sie können sie auf der Seite mit den Ergebnissen in der GuardDuty Konsole einsehen. Informationen zum Anzeigen von Ergebnissen finden Sie unterSeite mit den Ergebnissen in der GuardDuty Konsole.
Ähnlich wie bei anderen GuardDuty Ergebnissen werden auch die Ergebnisse der Angriffssequenz automatisch an Amazon gesendet EventBridge. Basierend auf Ihren Einstellungen werden die Ergebnisse der Angriffssequenz auch an ein Veröffentlichungsziel (Amazon S3 S3-Bucket) exportiert. Informationen zum Festlegen eines neuen Veröffentlichungsziels oder zum Aktualisieren eines vorhandenen finden Sie unterGenerierte Ergebnisse nach Amazon S3 exportieren.
Weitere Ressourcen
Lesen Sie die folgenden Abschnitte, um mehr über Angriffssequenzen zu erfahren:
-
Nachdem Sie sich mit der erweiterten Bedrohungserkennung und den Angriffssequenzen vertraut gemacht haben, können Sie anhand der unter beschriebenen Schritte Beispiele für die Suche nach Angriffssequenzen generierenBeispielergebnisse.
Erfahren Sie mehr über Arten der Suche nach Angriffssequenzen.
-
Überprüfen Sie die Ergebnisse und untersuchen Sie die Einzelheiten der Ergebnisse im Zusammenhang mitEinzelheiten zur Suche nach der Angriffssequenz.
-
Priorisieren und beheben Sie die Arten der Erkennung von Angriffssequenzen, indem Sie die Schritte für die zugehörigen betroffenen Ressourcen unter befolgen. Behebung von Erkenntnissen
