Esempi di scenari di minaccia relativi alla sequenza di attacco Come funziona Extended Threat Detection Attivazione di piani di protezione per massimizzare il rilevamento delle minacce Rilevamento esteso delle minacce nella GuardDuty console Comprensione e gestione dei risultati della sequenza di attacco Risorse aggiuntive

GuardDuty Rilevamento esteso delle minacce

GuardDuty Extended Threat Detection rileva automaticamente gli attacchi in più fasi che riguardano fonti di dati, più tipi di AWS risorse e tempi, all'interno di un unico. Account AWS Grazie a questa funzionalità, GuardDuty si concentra sulla sequenza di più eventi che osserva monitorando diversi tipi di fonti di dati. Extended Threat Detection mette in correlazione questi eventi per identificare gli scenari che si presentano come una potenziale minaccia per l' AWS ambiente e quindi genera una ricerca della sequenza di attacco.

Argomenti

Esempi di scenari di minaccia relativi alla sequenza di attacco
Come funziona
Attivazione di piani di protezione per massimizzare il rilevamento delle minacce
Rilevamento esteso delle minacce nella GuardDuty console
Comprensione e gestione dei risultati della sequenza di attacco
Risorse aggiuntive

Esempi di scenari di minaccia relativi alla sequenza di attacco

Extended Threat Detection copre scenari di minaccia che comportano compromissioni legate all'uso improprio AWS delle credenziali, tentativi di compromissione dei dati nei bucket Amazon S3 e compromissione di container e risorse Kubernetes nei cluster Amazon EKS. Una singola scoperta può comprendere un'intera sequenza di attacco. Ad esempio, l'elenco seguente descrive gli scenari che GuardDuty potrebbero rilevare:

Esempio 1: compromissione AWS delle credenziali e dei dati del bucket Amazon S3

Un autore di minacce che ottiene l'accesso non autorizzato a un carico di lavoro di elaborazione.
L'attore esegue quindi una serie di azioni come aumentare i privilegi e stabilire la persistenza.
Infine, l'attore che esfiltra dati da una risorsa Amazon S3.

Esempio 2: compromissione del cluster Amazon EKS

Un autore di minacce tenta di sfruttare un'applicazione container all'interno di un cluster Amazon EKS.
L'attore utilizza quel contenitore compromesso per ottenere token di account di servizio privilegiati.
L'attore sfrutta quindi questi privilegi elevati per accedere a segreti o risorse Kubernetes sensibili tramite le identità dei pod. AWS

A causa della natura degli scenari di minaccia associati, considera tutti elementi critici. GuardDuty tipi di ricerca delle sequenze di attacco

Il video seguente fornisce una dimostrazione di come utilizzare Extended Threat Detection.

Come funziona

Quando abiliti Amazon GuardDuty nel tuo account in uno specifico Regione AWS, anche Extended Threat Detection è abilitato per impostazione predefinita. Non sono previsti costi aggiuntivi associati all'utilizzo di Extended Threat Detection. Per impostazione predefinita, mette in correlazione tutti Origini dati fondamentali gli eventi. Tuttavia, abilitando più piani di GuardDuty protezione, come S3 Protection, EKS Protection e Runtime Monitoring, si apriranno ulteriori tipi di rilevamenti delle sequenze di attacco ampliando la gamma di fonti di eventi. Ciò contribuirà potenzialmente a un'analisi delle minacce più completa e a un migliore rilevamento delle sequenze di attacco. Per ulteriori informazioni, consulta Attivazione di piani di protezione per massimizzare il rilevamento delle minacce.

GuardDuty mette in correlazione più eventi, tra cui le attività e GuardDuty i risultati delle API. Questi eventi sono chiamati segnali. A volte, possono verificarsi eventi nell'ambiente che, di per sé, non si presentano come una potenziale minaccia evidente. GuardDuty li definisce segnali deboli. Con Extended Threat Detection, GuardDuty identifica quando una sequenza di più azioni si allinea a un'attività potenzialmente sospetta e genera una sequenza di attacco rilevata nel tuo account. Queste azioni multiple possono includere segnali deboli e GuardDuty risultati già identificati nel tuo account.

Nota

Quando mette in correlazione gli eventi per le sequenze di attacco, Extended Threat Detection non prende in considerazione i risultati archiviati, compresi quelli che vengono archiviati automaticamente a causa di. Regole di eliminazione Questo comportamento garantisce che solo i segnali attivi e pertinenti contribuiscano al rilevamento della sequenza di attacco. Per assicurarti che ciò non influisca su di te, consulta le regole di soppressione esistenti nel tuo account. Per ulteriori informazioni, consulta Utilizzo delle regole di soppressione con Extended Threat Detection.

GuardDuty è inoltre progettato per identificare potenziali comportamenti di attacco in corso o recenti (entro una finestra temporale di 24 ore) nel tuo account. Ad esempio, un attacco potrebbe iniziare quando un attore accede involontariamente a un carico di lavoro di elaborazione. L'attore eseguirebbe quindi una serie di passaggi, tra cui l'enumerazione, l'aumento dei privilegi e l'esfiltrazione delle credenziali. AWS Queste credenziali potrebbero essere potenzialmente utilizzate per ulteriori compromissioni o accessi malintenzionati ai dati.

Per qualsiasi GuardDuty account in una regione, la funzionalità Extended Threat Detection viene abilitata automaticamente. Per impostazione predefinita, questa funzionalità prende in considerazione tutti gli eventi multipliOrigini dati fondamentali. Per trarre vantaggio da questa funzionalità, non è necessario abilitare tutti i piani di GuardDuty protezione incentrati sui casi d'uso. Ad esempio, con il rilevamento delle minacce di base, è GuardDuty possibile identificare una potenziale sequenza di attacco a partire dall'attività di individuazione dei privilegi IAM su Amazon APIs S3 e rilevare le successive alterazioni del piano di controllo S3, come le modifiche che rendono la policy delle risorse del bucket più permissiva.

Extended Threat Detection è progettato in modo tale che, se abiliti più piani di protezione, aiuti a GuardDuty correlare segnali più diversi su più fonti di dati. Ciò migliorerà potenzialmente l'ampiezza dei segnali di sicurezza per un'analisi completa delle minacce e la copertura delle sequenze di attacco. Per identificare i risultati che potrebbero potenzialmente costituire una delle varie fasi di una sequenza di attacco, GuardDuty consiglia di abilitare piani di protezione specifici: S3 Protection, EKS Protection e Runtime Monitoring (con il componente aggiuntivo EKS).

Argomenti

Rilevamento delle sequenze di attacco nei cluster Amazon EKS
Rilevamento delle sequenze di attacco nei bucket Amazon S3

Rilevamento delle sequenze di attacco nei cluster Amazon EKS

GuardDuty ha correlato più segnali di sicurezza tra i log di controllo EKS, il comportamento di runtime dei processi e l'attività delle AWS API per rilevare modelli di attacco sofisticati. Per trarre vantaggio da Extended Threat Detection for EKS, è necessario abilitare almeno una di queste funzionalità: EKS Protection o Runtime Monitoring (con componente aggiuntivo EKS). EKS Protection monitora le attività del piano di controllo tramite registri di controllo, mentre Runtime Monitoring osserva i comportamenti all'interno dei container.

Per la massima copertura e un rilevamento completo delle minacce, GuardDuty consiglia di abilitare entrambi i piani di protezione. Insieme, creano una visione completa dei cluster EKS, che consente di GuardDuty rilevare modelli di attacco complessi. Ad esempio, può identificare un'implementazione anomala di un contenitore privilegiato (rilevata con EKS Protection), seguita da tentativi di persistenza, crypto-mining e creazione di shell inverse all'interno di quel contenitore (rilevata con Runtime Monitoring). GuardDuty rappresenta questi eventi correlati come un'unica rilevazione di gravità critica, denominata. AttackSequence:EKS/CompromisedCluster Quando si abilitano entrambi i piani di protezione, la ricerca della sequenza di attacco copre i seguenti scenari di minaccia:

Compromissione dei container che eseguono applicazioni web vulnerabili
Accesso non autorizzato tramite credenziali configurate in modo errato
Tentativi di aumentare i privilegi
Richieste API sospette
Tentativi di accesso intenzionale ai dati

L'elenco seguente fornisce dettagli su quando questi piani di protezione dedicati sono abilitati singolarmente:

Protezione EKS: L'abilitazione di EKS Protection offre GuardDuty la possibilità di rilevare sequenze di attacco che coinvolgono le attività del piano di controllo del cluster Amazon EKS. Ciò consente di GuardDuty correlare i log di controllo EKS e l'attività delle AWS API. Ad esempio, GuardDuty può rilevare una sequenza di attacco in cui un attore tenta di accedere non autorizzato ai segreti del cluster, modifica le autorizzazioni di controllo degli accessi basato sui ruoli (RBAC) di Kubernetes e crea pod privilegiati. Per ulteriori informazioni Protezione EKS sull'attivazione di questo piano di protezione, consulta.
Monitoraggio del runtime per Amazon EKS: L'abilitazione del Runtime Monitoring per i cluster Amazon EKS offre GuardDuty la possibilità di migliorare il rilevamento della sequenza di attacco EKS con visibilità a livello di contenitore. Questo aiuta a GuardDuty rilevare potenziali processi dannosi, comportamenti di runtime sospetti e la potenziale esecuzione di malware. Ad esempio, GuardDuty è in grado di rilevare una sequenza di attacco in cui un contenitore inizia a mostrare comportamenti sospetti, come processi di cryptomining o stabilire connessioni a endpoint dannosi noti. Per ulteriori informazioni sull'attivazione di questo piano di protezione, consulta. Monitoraggio del runtime

Se non abiliti EKS Protection o Runtime Monitoring, non GuardDuty sarà possibile generare singoli Tipi di risultati di protezione EKS oTipi di risultati del monitoraggio del runtime. Pertanto, non GuardDuty sarà in grado di rilevare sequenze di attacchi in più fasi che coinvolgono risultati associati.

Rilevamento delle sequenze di attacco nei bucket Amazon S3

L'attivazione di S3 Protection offre GuardDuty la possibilità di rilevare sequenze di attacco che comportano tentativi di compromissione dei dati nei bucket Amazon S3. Senza S3 Protection, GuardDuty puoi rilevare quando la politica sulle risorse del bucket S3 diventa eccessivamente permissiva. Quando abiliti S3 Protection, GuardDuty acquisisce la capacità di rilevare potenziali attività di esfiltrazione dei dati che potrebbero verificarsi dopo che il bucket S3 diventa eccessivamente permissivo.

Se S3 Protection non è abilitato, non sarà in grado di generare dati individuali. GuardDuty Tipi di risultati di protezione S3 Pertanto, non GuardDuty sarà in grado di rilevare sequenze di attacchi in più fasi che coinvolgono risultati associati. Per ulteriori informazioni sull'attivazione di questo piano di protezione, vedere. Protezione S3

Rilevamento esteso delle minacce nella GuardDuty console

Per impostazione predefinita, la pagina Extended Threat Detection nella GuardDuty console mostra lo stato come Abilitato. Con il rilevamento delle minacce di base, lo stato indica chi è in GuardDuty grado di rilevare una potenziale sequenza di attacco che coinvolge l'attività di individuazione dei privilegi IAM su Amazon APIs S3 e il rilevamento delle successive alterazioni del piano di controllo S3.

Utilizza i seguenti passaggi per accedere alla pagina Extended Threat Detection nella console: GuardDuty

È possibile aprire la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.
Nel riquadro di navigazione a sinistra, scegli Extended Threat Detection.

Questa pagina fornisce dettagli sugli scenari di minaccia coperti da Extended Threat Detection.
Nella pagina Extended Threat Detection, visualizza la sezione Piani di protezione correlati. Se desideri abilitare piani di protezione dedicati per migliorare la copertura di rilevamento delle minacce nel tuo account, seleziona l'opzione Configura per quel piano di protezione.

Comprensione e gestione dei risultati della sequenza di attacco

I risultati della sequenza di attacco sono identici agli altri GuardDuty risultati del tuo account. Puoi visualizzarli nella pagina Findings della GuardDuty console. Per informazioni sulla visualizzazione dei risultati, vederePagina dei risultati nella GuardDuty console.

Analogamente ad altri GuardDuty risultati, anche i risultati della sequenza di attacco vengono inviati automaticamente ad Amazon EventBridge. In base alle impostazioni, i risultati della sequenza di attacco vengono esportati anche in una destinazione di pubblicazione (bucket Amazon S3). Per impostare una nuova destinazione di pubblicazione o aggiornarne una esistente, consulta. Esportazione dei risultati generati in Amazon S3

Risorse aggiuntive

Visualizza le seguenti sezioni per comprendere meglio le sequenze di attacco:

Dopo aver appreso l'Extended Threat Detection e le sequenze di attacco, puoi generare esempi di tipi di ricerca delle sequenze di attacco seguendo i passaggi riportati di seguito. Risultati di esempio
Ulteriori informazioni su tipi di ricerca delle sequenze di attacco.
Esamina i risultati ed esplora i dettagli associati Dettagli del reperimento della sequenza di attacco a.
Assegna priorità e risolvi i tipi di ricerca delle sequenze di attacco seguendo i passaggi relativi alle risorse interessate associate in. Correzioni degli esiti

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Origini dati fondamentali

Protezione EKS