GuardDuty Deteksi Ancaman Diperpanjang - Amazon GuardDuty
Contoh skenario ancaman urutan seranganCara kerja Extended Threat DetectionMengaktifkan rencana perlindungan untuk memaksimalkan deteksi ancamanDeteksi Ancaman Diperpanjang di GuardDuty konsolMemahami dan mengelola temuan urutan seranganSumber daya tambahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

GuardDuty Deteksi Ancaman Diperpanjang

GuardDuty Extended Threat Detection secara otomatis mendeteksi serangan multi-tahap yang menjangkau sumber data, berbagai jenis AWS sumber daya, dan waktu, dalam file. Akun AWS Dengan kemampuan ini, GuardDuty berfokus pada urutan beberapa peristiwa yang diamati dengan memantau berbagai jenis sumber data. Extended Threat Detection menghubungkan peristiwa-peristiwa ini untuk mengidentifikasi skenario yang menampilkan diri sebagai ancaman potensial terhadap AWS lingkungan Anda, dan kemudian menghasilkan temuan urutan serangan.

Contoh skenario ancaman urutan serangan

Extended Threat Detection mencakup skenario ancaman yang melibatkan kompromi terkait penyalahgunaan AWS kredensil, upaya kompromi data di bucket Amazon S3, dan kompromi sumber daya container dan Kubernetes di klaster Amazon EKS. Sebuah temuan tunggal dapat mencakup seluruh urutan serangan. Misalnya, daftar berikut menjelaskan skenario yang GuardDuty mungkin mendeteksi:

Contoh 1 - AWS kredensi dan kompromi data bucket Amazon S3

  • Aktor ancaman mendapatkan akses tidak sah ke beban kerja komputasi.

  • Aktor kemudian melakukan serangkaian tindakan seperti eskalasi hak istimewa dan membangun ketekunan.

  • Akhirnya, aktor mengeksfiltrasi data dari sumber daya Amazon S3.

Contoh 2 - Kompromi klaster Amazon EKS

  • Seorang aktor ancaman mencoba mengeksploitasi aplikasi kontainer dalam cluster Amazon EKS.

  • Aktor menggunakan wadah yang disusupi itu untuk mendapatkan token akun layanan istimewa.

  • Aktor kemudian memanfaatkan hak istimewa yang ditinggikan ini untuk mengakses rahasia atau AWS sumber daya Kubernetes yang sensitif melalui identitas pod.

Karena sifat skenario ancaman terkait, GuardDuty anggap semua Jenis pencarian urutan serangan sebagai Kritis.

Video berikut memberikan demonstrasi bagaimana Anda dapat menggunakan Extended Threat Detection.

Cara kerjanya

Saat Anda mengaktifkan Amazon GuardDuty di akun Anda secara spesifik Wilayah AWS, Deteksi Ancaman Diperpanjang juga diaktifkan secara default. Tidak ada biaya tambahan yang terkait dengan penggunaan Extended Threat Detection. Secara default, ini menghubungkan peristiwa di semua. Sumber data dasar Namun, ketika Anda mengaktifkan lebih banyak rencana GuardDuty perlindungan, seperti Perlindungan S3, Perlindungan EKS, dan Pemantauan Runtime, ini akan membuka jenis deteksi urutan serangan tambahan dengan memperluas jangkauan sumber peristiwa. Ini berpotensi membantu dengan analisis ancaman yang lebih komprehensif dan deteksi urutan serangan yang lebih baik. Untuk informasi selengkapnya, lihat Mengaktifkan rencana perlindungan untuk memaksimalkan deteksi ancaman.

GuardDuty mengkorelasikan beberapa peristiwa, termasuk aktivitas dan GuardDuty temuan API. Peristiwa ini disebut Sinyal. Terkadang, mungkin ada peristiwa di lingkungan Anda yang, dengan sendirinya, tidak menampilkan diri sebagai ancaman potensial yang jelas. GuardDuty menyebutnya sebagai sinyal lemah. Dengan Extended Threat Detection, GuardDuty mengidentifikasi kapan urutan beberapa tindakan sejajar dengan aktivitas yang berpotensi mencurigakan, dan menghasilkan temuan urutan serangan di akun Anda. Berbagai tindakan ini dapat mencakup sinyal lemah dan GuardDuty temuan yang sudah diidentifikasi di akun Anda.

catatan

Saat menghubungkan peristiwa untuk urutan serangan, Extended Threat Detection tidak mempertimbangkan temuan yang diarsipkan, termasuk temuan yang diarsipkan secara otomatis karena. Aturan penekanan Perilaku ini memastikan bahwa hanya sinyal aktif dan relevan yang berkontribusi pada deteksi urutan serangan. Untuk memastikan bahwa Anda tidak terpengaruh oleh hal ini, tinjau aturan penekanan yang ada di akun Anda. Untuk informasi selengkapnya, lihat Menggunakan aturan penekanan dengan Extended Threat Detection.

GuardDuty juga dirancang untuk mengidentifikasi potensi perilaku serangan yang sedang berlangsung atau baru-baru ini (dalam jangka waktu bergulir 24 jam) di akun Anda. Misalnya, serangan bisa dimulai oleh aktor yang mendapatkan akses yang tidak diinginkan ke beban kerja komputasi. Aktor kemudian akan melakukan serangkaian langkah, termasuk enumerasi, eskalasi hak istimewa, dan eksfiltrasi kredensil. AWS Kredensil ini berpotensi digunakan untuk kompromi lebih lanjut atau akses berbahaya ke data.

Untuk GuardDuty akun apa pun di Wilayah, kemampuan Deteksi Ancaman Diperpanjang diaktifkan secara otomatis. Secara default, kemampuan ini mempertimbangkan beberapa peristiwa di semuaSumber data dasar. Untuk memanfaatkan kemampuan ini, Anda tidak perlu mengaktifkan semua rencana GuardDuty perlindungan yang berfokus pada kasus penggunaan. Misalnya, dengan deteksi ancaman dasar, GuardDuty dapat mengidentifikasi urutan serangan potensial mulai dari aktivitas penemuan hak istimewa IAM di Amazon S3 APIs, dan mendeteksi perubahan bidang kontrol S3 berikutnya, seperti perubahan yang membuat kebijakan sumber daya bucket lebih permisif.

Extended Threat Detection dirancang sedemikian rupa sehingga jika Anda mengaktifkan lebih banyak rencana perlindungan, ini membantu GuardDuty menghubungkan sinyal yang lebih beragam di berbagai sumber data. Ini berpotensi meningkatkan luasnya sinyal keamanan untuk analisis ancaman komprehensif dan cakupan urutan serangan. Untuk mengidentifikasi temuan yang berpotensi menjadi salah satu dari beberapa tahap dalam urutan serangan, GuardDuty rekomendasikan untuk mengaktifkan rencana perlindungan khusus - Perlindungan S3, Perlindungan EKS, dan Pemantauan Runtime (dengan add-on EKS).

Mendeteksi urutan serangan di cluster Amazon EKS

GuardDuty mengkorelasikan beberapa sinyal keamanan di seluruh log audit EKS, perilaku proses runtime, dan aktivitas AWS API untuk mendeteksi pola serangan yang canggih. Untuk mendapatkan manfaat dari Extended Threat Detection untuk EKS, Anda harus mengaktifkan setidaknya satu dari fitur ini — Perlindungan EKS atau Runtime Monitoring (dengan add-on EKS). EKS Protection memantau aktivitas pesawat kontrol melalui log audit, sementara Runtime Monitoring mengamati perilaku di dalam kontainer.

Untuk cakupan maksimum dan deteksi ancaman komprehensif, GuardDuty rekomendasikan untuk mengaktifkan kedua rencana perlindungan. Bersama-sama, mereka membuat tampilan lengkap dari kluster EKS Anda, memungkinkan GuardDuty untuk mendeteksi pola serangan yang kompleks. Misalnya, ia dapat mengidentifikasi penerapan anomali dari wadah istimewa (terdeteksi dengan Perlindungan EKS), diikuti oleh upaya persistensi, penambangan kripto, dan pembuatan shell terbalik dalam wadah itu (terdeteksi dengan Runtime Monitoring). GuardDuty mewakili peristiwa-peristiwa terkait ini sebagai temuan tunggal yang sangat kritis, yang disebut. AttackSequence:EKS/CompromisedCluster Saat Anda mengaktifkan kedua rencana perlindungan, temuan urutan serangan mencakup skenario ancaman berikut:

  • Kompromi kontainer yang menjalankan aplikasi web yang rentan

  • Akses tidak sah melalui kredensil yang salah dikonfigurasi

  • Upaya untuk meningkatkan hak istimewa

  • Permintaan API yang mencurigakan

  • Upaya mengakses data dengan jahat

Daftar berikut memberikan detail kapan paket perlindungan khusus ini diaktifkan secara individual:

Perlindungan EKS

Mengaktifkan Perlindungan EKS memberikan GuardDuty kemampuan untuk mendeteksi urutan serangan yang melibatkan aktivitas pesawat kontrol cluster Amazon EKS. Hal ini memungkinkan GuardDuty untuk mengkorelasikan log audit EKS dan aktivitas AWS API. Misalnya, GuardDuty dapat mendeteksi urutan serangan di mana aktor mencoba akses tidak sah ke rahasia klaster, memodifikasi izin kontrol akses berbasis peran (RBAC) Kubernetes, dan membuat pod istimewa. Untuk informasi selengkapnya tentang mengaktifkan rencana perlindungan ini, lihatPerlindungan EKS.

Pemantauan Runtime untuk Amazon EKS

Mengaktifkan Runtime Monitoring untuk kluster Amazon EKS memberikan GuardDuty kemampuan untuk meningkatkan deteksi urutan serangan EKS dengan visibilitas tingkat kontainer. Ini membantu GuardDuty mendeteksi potensi proses berbahaya, perilaku runtime yang mencurigakan, dan potensi eksekusi malware. Misalnya, GuardDuty dapat mendeteksi urutan serangan di mana wadah mulai menunjukkan perilaku mencurigakan, seperti proses cryptomining atau membangun koneksi ke titik akhir berbahaya yang diketahui. Untuk informasi selengkapnya tentang mengaktifkan rencana perlindungan ini, lihatPemantauan Runtime.

Jika Anda tidak mengaktifkan Perlindungan EKS atau Runtime Monitoring, tidak GuardDuty akan dapat menghasilkan individu Jenis penemuan Perlindungan EKS atauJenis penemuan Runtime Monitoring. Oleh karena itu, tidak GuardDuty akan dapat mendeteksi urutan serangan multi-tahap yang melibatkan temuan terkait.

Mendeteksi urutan serangan di bucket Amazon S3

Mengaktifkan Perlindungan S3 memberikan GuardDuty kemampuan untuk mendeteksi urutan serangan yang melibatkan upaya kompromi data di bucket Amazon S3 Anda. Tanpa Perlindungan S3, GuardDuty dapat mendeteksi kapan kebijakan sumber daya bucket S3 Anda menjadi terlalu permisif. Saat Anda mengaktifkan Perlindungan S3, GuardDuty dapatkan kemampuan untuk mendeteksi aktivitas eksfiltrasi data potensial yang mungkin terjadi setelah bucket S3 Anda menjadi terlalu permisif.

Jika Perlindungan S3 tidak diaktifkan, tidak GuardDuty akan dapat menghasilkan individuJenis temuan Perlindungan S3. Oleh karena itu, tidak GuardDuty akan dapat mendeteksi urutan serangan multi-tahap yang melibatkan temuan terkait. Untuk informasi selengkapnya tentang mengaktifkan rencana perlindungan ini, lihatPerlindungan S3.

Deteksi Ancaman Diperpanjang di GuardDuty konsol

Secara default, halaman Extended Threat Detection di GuardDuty konsol menampilkan Status sebagai Diaktifkan. Dengan deteksi ancaman dasar, status mewakili yang GuardDuty dapat mendeteksi urutan serangan potensial yang melibatkan aktivitas penemuan hak istimewa IAM di Amazon S3 APIs dan mendeteksi perubahan bidang kontrol S3 berikutnya.

Gunakan langkah-langkah berikut untuk mengakses halaman Extended Threat Detection di GuardDuty konsol:

  1. Anda dapat membuka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

  2. Di panel navigasi kiri, pilih Extended Threat Detection.

    Halaman ini memberikan detail tentang skenario ancaman yang dicakup oleh Extended Threat Detection.

  3. Pada halaman Extended Threat Detection, lihat bagian Rencana perlindungan terkait. Jika Anda ingin mengaktifkan paket perlindungan khusus untuk meningkatkan cakupan deteksi ancaman di akun Anda, pilih opsi Konfigurasi untuk paket perlindungan tersebut.

Memahami dan mengelola temuan urutan serangan

Temuan urutan serangan sama seperti GuardDuty temuan lain di akun Anda. Anda dapat melihatnya di halaman Temuan di GuardDuty konsol. Untuk informasi tentang melihat temuan, lihatHalaman temuan di GuardDuty konsol.

Mirip dengan GuardDuty temuan lain, temuan urutan serangan juga secara otomatis dikirim ke Amazon EventBridge. Berdasarkan pengaturan Anda, temuan urutan serangan juga diekspor ke tujuan penerbitan (bucket Amazon S3). Untuk menetapkan tujuan penerbitan baru atau memperbarui yang sudah ada, lihatMengekspor temuan yang dihasilkan ke Amazon S3.

Sumber daya tambahan

Lihat bagian berikut untuk mendapatkan pemahaman lebih lanjut tentang urutan serangan:

  • Setelah mempelajari tentang Extended Threat Detection dan urutan serangan, Anda dapat menghasilkan contoh jenis pencarian urutan serangan dengan mengikuti langkah-langkahnya. Sampel temuan

  • Pelajari tentang Jenis pencarian urutan serangan.

  • Tinjau temuan dan jelajahi detail temuan yang terkait denganDetail pencarian urutan serangan.

  • Prioritaskan dan atasi jenis pencarian urutan serangan dengan mengikuti langkah-langkah untuk sumber daya yang terkena dampak terkait di. Mengatasi temuan