Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
GuardDuty Détection étendue des menaces
GuardDuty La détection étendue des menaces détecte automatiquement les attaques en plusieurs étapes qui couvrent les sources de données, plusieurs types de AWS ressources et le temps, au sein d'un Compte AWS. Grâce à cette fonctionnalité, il GuardDuty se concentre sur la séquence de plusieurs événements qu'il observe en surveillant différents types de sources de données. La détection étendue des menaces met en corrélation ces événements pour identifier les scénarios qui se présentent comme une menace potentielle pour votre AWS environnement, puis génère une recherche de séquence d'attaque.
Rubriques
Exemples de scénarios de menace liés à une séquence d'attaque
La détection étendue des menaces couvre les scénarios de menace impliquant des compromissions liées à une utilisation abusive des AWS informations d'identification, à des tentatives de compromission de données dans des compartiments Amazon S3 et à la compromission de conteneurs et de ressources Kubernetes dans des clusters Amazon EKS. Une seule découverte peut englober une séquence d'attaque complète. Par exemple, la liste suivante décrit les scénarios GuardDuty susceptibles de détecter :
- Exemple 1 : compromission AWS des informations d'identification et des données du compartiment Amazon S3
-
-
Un acteur menaçant obtenant un accès non autorisé à une charge de travail informatique.
-
L'acteur exécute ensuite une série d'actions telles que l'augmentation des privilèges et l'établissement de la persistance.
-
Enfin, l'acteur exfiltrant les données d'une ressource Amazon S3.
-
- Exemple 2 : compromission du cluster Amazon EKS
-
-
Un auteur de menaces tente d'exploiter une application conteneur au sein d'un cluster Amazon EKS.
-
L'acteur utilise ce conteneur compromis pour obtenir des jetons de compte de service privilégiés.
-
L'acteur utilise ensuite ces privilèges élevés pour accéder aux secrets ou aux AWS ressources sensibles de Kubernetes via les identités des pods.
-
En raison de la nature des scénarios de menace associés, GuardDuty considère qu'ils sont tous Types de recherche de séquences d'attaques critiques.
La vidéo suivante montre comment utiliser la détection étendue des menaces.
Comment ça marche
Lorsque vous activez Amazon GuardDuty dans votre compte dans un domaine spécifique Région AWS, la détection étendue des menaces est également activée par défaut. Aucun coût supplémentaire n'est associé à l'utilisation de la détection étendue des menaces. Par défaut, il met en corrélation tous les Source de données de base événements. Toutefois, lorsque vous activez d'autres plans de GuardDuty protection, tels que S3 Protection, EKS Protection et Runtime Monitoring, cela ouvre de nouveaux types de détections de séquences d'attaques en élargissant la gamme des sources d'événements. Cela pourrait contribuer à une analyse plus complète des menaces et à une meilleure détection des séquences d'attaque. Pour de plus amples informations, veuillez consulter Mise en place de plans de protection pour optimiser la détection des menaces.
GuardDuty met en corrélation plusieurs événements, notamment les activités et les GuardDuty résultats de l'API. Ces événements sont appelés signaux. Il peut arriver que certains événements se produisent dans votre environnement qui, en eux-mêmes, ne constituent pas une menace potentielle claire. GuardDuty les qualifie de signaux faibles. Grâce à la détection étendue des menaces, elle GuardDuty identifie les cas dans lesquels une séquence de plusieurs actions correspond à une activité potentiellement suspecte et génère une séquence d'attaque détectée dans votre compte. Ces multiples actions peuvent inclure des signaux faibles et des GuardDuty résultats déjà identifiés dans votre compte.
Note
Lors de la corrélation d'événements pour des séquences d'attaques, Extended Threat Detection ne prend pas en compte les résultats archivés, y compris ceux qui sont automatiquement archivés en raison deRègles de suppression. Ce comportement garantit que seuls les signaux actifs et pertinents contribuent à la détection de la séquence d'attaque. Pour vous assurer que cela ne vous concerne pas, passez en revue les règles de suppression existantes dans votre compte. Pour de plus amples informations, veuillez consulter Utilisation de règles de suppression avec Extended Threat Detection.
GuardDuty est également conçu pour identifier les comportements d'attaque potentiels en cours ou récents (dans un délai continu de 24 heures) sur votre compte. Par exemple, une attaque peut être déclenchée par l'accès involontaire d'un acteur à une charge de travail informatique. L'acteur exécuterait ensuite une série d'étapes, notamment l'énumération, l'augmentation des privilèges et l'exfiltration des informations d' AWS identification. Ces informations d'identification peuvent potentiellement être utilisées pour compromettre davantage les données ou pour y accéder de manière malveillante.
Mise en place de plans de protection pour optimiser la détection des menaces
Pour tous les GuardDuty comptes d'une région, la fonctionnalité de détection étendue des menaces est automatiquement activée. Par défaut, cette fonctionnalité prend en compte les multiples événements dans l'ensembleSource de données de base. Pour bénéficier de cette fonctionnalité, il n'est pas nécessaire d'activer tous les plans de GuardDuty protection axés sur les cas d'utilisation. Par exemple, grâce à la détection des menaces de base, GuardDuty vous pouvez identifier une séquence d'attaque potentielle commençant par une activité de découverte de privilèges IAM sur Amazon S3 APIs, et détecter les modifications ultérieures du plan de contrôle S3, telles que les modifications qui rendent la politique de ressources des compartiments plus permissive.
La détection étendue des menaces est conçue de telle sorte que, si vous activez davantage de plans de protection, elle permet de GuardDuty corréler des signaux plus divers provenant de plusieurs sources de données. Cela permettra potentiellement d'améliorer l'étendue des signaux de sécurité pour une analyse complète des menaces et une couverture des séquences d'attaques. Pour identifier les résultats susceptibles de constituer l'une des multiples étapes d'une séquence d'attaque, il est GuardDuty recommandé d'activer des plans de protection spécifiques : protection S3, protection EKS et surveillance du temps d'exécution (avec le module complémentaire EKS).
Rubriques
Détection des séquences d'attaque dans les clusters Amazon EKS
GuardDuty a corrélé plusieurs signaux de sécurité entre les journaux d'audit EKS, le comportement d'exécution des processus et l'activité des AWS API afin de détecter des modèles d'attaque sophistiqués. Pour bénéficier de la détection étendue des menaces pour EKS, vous devez activer au moins l'une de ces fonctionnalités : la protection EKS ou la surveillance du temps d'exécution (avec le module complémentaire EKS). EKS Protection surveille les activités du plan de contrôle par le biais de journaux d'audit, tandis que Runtime Monitoring observe les comportements au sein des conteneurs.
Pour une couverture maximale et une détection complète des menaces, il est GuardDuty recommandé d'activer les deux plans de protection. Ensemble, ils créent une vue complète de vos clusters EKS, ce qui permet GuardDuty de détecter des modèles d'attaque complexes. Par exemple, il peut identifier un déploiement anormal d'un conteneur privilégié (détecté avec EKS Protection), suivi de tentatives de persistance, de cryptominage et de création de shell inversé au sein de ce conteneur (détecté avec Runtime Monitoring). GuardDuty représente ces événements connexes sous la forme d'un seul résultat de gravité critique, appelé. AttackSequence:EKS/CompromisedCluster Lorsque vous activez les deux plans de protection, la détection de la séquence d'attaque couvre les scénarios de menace suivants :
-
Compromission des conteneurs exécutant des applications Web vulnérables
-
Accès non autorisé via des informations d'identification mal configurées
-
Tentatives d'augmentation des privilèges
-
Demandes d'API suspectes
-
Tentatives d'accès aux données de manière malveillante
La liste suivante fournit des informations détaillées sur les cas dans lesquels ces plans de protection dédiés sont activés individuellement :
- Protection EKS
-
L'activation de la protection EKS permet GuardDuty de détecter les séquences d'attaques impliquant les activités du plan de contrôle du cluster Amazon EKS. Cela permet de corréler GuardDuty les journaux d'audit EKS et AWS l'activité de l'API. Par exemple, GuardDuty peut détecter une séquence d'attaque dans laquelle un acteur tente d'accéder sans autorisation aux secrets du cluster, modifie les autorisations de contrôle d'accès basé sur les rôles (RBAC) de Kubernetes et crée des pods privilégiés. Pour plus d'informations sur l'activation de ce plan de protection, consultezProtection EKS.
- Surveillance du temps d'exécution pour Amazon EKS
-
L'activation de la surveillance du temps d'exécution pour les clusters Amazon EKS permet GuardDuty d'améliorer la détection des séquences d'attaques EKS grâce à une visibilité au niveau du conteneur. Cela permet de GuardDuty détecter les processus malveillants potentiels, les comportements d'exécution suspects et l'exécution potentielle de logiciels malveillants. Par exemple, GuardDuty peut détecter une séquence d'attaque dans laquelle un conteneur commence à présenter un comportement suspect, tel que des processus de cryptomining ou l'établissement de connexions avec des points de terminaison malveillants connus. Pour plus d'informations sur l'activation de ce plan de protection, consultezSurveillance d'exécution.
Si vous n'activez pas la protection EKS ou la surveillance du temps d'exécution, GuardDuty vous ne pourrez pas générer de Types de recherche de protection EKS ouTypes de recherche liés à la surveillance du temps. Par conséquent, GuardDuty il ne sera pas en mesure de détecter les séquences d'attaque en plusieurs étapes impliquant des résultats associés.
Détection des séquences d'attaque dans les compartiments Amazon S3
L'activation de S3 Protection permet GuardDuty de détecter les séquences d'attaques impliquant des tentatives de compromission de données dans vos compartiments Amazon S3. Sans S3 Protection, GuardDuty vous pouvez détecter les cas où votre politique de ressources de compartiment S3 devient trop permissive. Lorsque vous activez S3 Protection, vous pouvez GuardDuty détecter les activités d'exfiltration de données potentielles susceptibles de se produire une fois que votre compartiment S3 est devenu trop permissif.
Si la protection S3 n'est pas activée, GuardDuty il ne sera pas possible de générer un individuTypes de détection de S3 Protection. Par conséquent, GuardDuty il ne sera pas en mesure de détecter les séquences d'attaque en plusieurs étapes impliquant des résultats associés. Pour plus d'informations sur l'activation de ce plan de protection, consultezProtection S3.
Détection étendue des menaces dans GuardDuty la console
Par défaut, la page Extended Threat Detection de la GuardDuty console affiche le statut Activé. Avec la détection des menaces de base, le statut indique qu'il est GuardDuty possible de détecter une séquence d'attaque potentielle impliquant une activité de découverte de privilèges IAM sur Amazon S3 APIs et la détection de modifications ultérieures du plan de contrôle S3.
Procédez comme suit pour accéder à la page Extended Threat Detection dans GuardDuty la console :
-
Vous pouvez ouvrir GuardDuty la console à l'adresse https://console.aws.amazon.com/guardduty/
. -
Dans le volet de navigation de gauche, choisissez Extended Threat Detection.
Cette page fournit des informations détaillées sur les scénarios de menace couverts par Extended Threat Detection.
-
Sur la page Détection étendue des menaces, consultez la section Plans de protection associés. Si vous souhaitez activer des plans de protection dédiés afin d'améliorer la couverture de détection des menaces dans votre compte, sélectionnez l'option Configurer pour ce plan de protection.
Comprendre et gérer les résultats des séquences d'attaque
Les résultats de la séquence d'attaque sont identiques GuardDuty aux autres résultats de votre compte. Vous pouvez les consulter sur la page Résultats de la GuardDuty console. Pour plus d'informations sur l'affichage des résultats, consultezPage de résultats dans GuardDuty la console.
Comme pour les autres GuardDuty résultats, les résultats des séquences d'attaque sont également envoyés automatiquement à Amazon EventBridge. Selon vos paramètres, les résultats des séquences d'attaque sont également exportés vers une destination de publication (compartiment Amazon S3). Pour définir une nouvelle destination de publication ou mettre à jour une destination existante, consultezExportation des résultats générés vers Amazon S3.
Ressources supplémentaires
Consultez les sections suivantes pour mieux comprendre les séquences d'attaque :
-
Après avoir appris la détection étendue des menaces et les séquences d'attaque, vous pouvez générer des exemples de types de recherche de séquences d'attaques en suivant les étapes décrites dansExemples de résultats.
En savoir plus sur Types de recherche de séquences d'attaques.
-
Passez en revue les résultats et explorez les détails de recherche associés àDétails de recherche de la séquence d'attaque.
-
Priorisez et traitez les types de détection de séquences d'attaques en suivant les étapes correspondant aux ressources affectées associées dansCorrection des résultats.
