Exemplos de cenários de ameaças com sequência de ataque Como funciona a Detecção de Ameaças Avançada Habilitação de planos de proteção para maximizar a detecção de ameaças Detecção de Ameaças Avançada no console do GuardDuty Noções básicas e gerenciamento de descobertas de sequências de ataques Recursos adicionais

Detecção de Ameaças Avançada do GuardDuty

A Detecção de Ameaças Avançada detecta automaticamente ataques em vários estágios que abrangem fontes de dados, vários tipos de recursos (e tempo) da AWS dentro de uma Conta da AWS. Com esse recurso, o GuardDuty se concentra na sequência de vários eventos que ele observa monitorando diferentes tipos de fontes de dados. A Detecção de Ameaças Avançada correlaciona esses eventos para identificar cenários que se apresentam como uma ameaça potencial ao seu ambiente da AWS e, em seguida, gera uma descoberta de sequência de ataque.

Tópicos

Exemplos de cenários de ameaças com sequência de ataque
Como funciona
Habilitação de planos de proteção para maximizar a detecção de ameaças
Detecção de Ameaças Avançada no console do GuardDuty
Noções básicas e gerenciamento de descobertas de sequências de ataques
Recursos adicionais

Exemplos de cenários de ameaças com sequência de ataque

A Detecção de Ameaças Avançada abrange cenários de ameaças que envolvem comprometimentos relacionados ao uso indevido de credenciais da AWS, tentativas de comprometimento de dados em buckets do Amazon S3 e comprometimento de recursos de contêineres e Kubernetes nos clusters do Amazon EKS. Uma única descoberta pode abranger uma sequência de ataque inteira. Por exemplo, a lista a seguir descreve os cenários que o GuardDuty pode detectar:

Exemplo 1 – credenciais da AWS e comprometimento de dados do bucket do Amazon S3

Um agente de ameaça obtendo acesso não autorizado a uma workload computacional.
O ator então executa uma série de ações, como escalonamento de privilégios e estabelecimento de persistência.
Finalmente, o ator exfiltra dados de um recurso do Amazon S3.

Exemplo 2 – comprometimento do cluster do Amazon EKS

Um agente de ameaça tenta explorar uma aplicação de contêiner dentro de um cluster do Amazon EKS.
O ator usa esse contêiner comprometido para obter tokens de conta de serviço privilegiada.
O ator então aproveita esses privilégios elevados para acessar segredos confidenciais do Kubernetes ou recursos da AWS por meio de identidades de pods.

Devido à natureza dos cenários de ameaças associados, o GuardDuty considera todos os Tipos de descoberta de sequência de ataque como Críticos.

O vídeo a seguir mostra como você pode usar a Detecção de Ameaças Avançada.

Como funciona

Quando você habilita o Amazon GuardDuty na sua conta em uma Região da AWS específica, a Detecção de Ameaças Avançada também é habilitada por padrão. Não há custo adicional associado ao uso da Detecção de Ameaças Avançada. Por padrão, ela correlaciona eventos em todas as Fontes de dados fundamentais. No entanto, quando você habilita mais planos de proteção do GuardDuty, como Proteção do S3, Proteção do EKS e Monitoramento de Runtime, isso abrirá mais tipos de detecções de sequência de ataque, ampliando a variedade de fontes de eventos. Isso potencialmente ajudará com uma análise de ameaças mais abrangente e com uma melhor detecção das sequências de ataque. Para obter mais informações, consulte Habilitação de planos de proteção para maximizar a detecção de ameaças.

O GuardDuty correlaciona vários eventos, incluindo atividades de API e descobertas do GuardDuty. Esses eventos são chamados de Sinais. Às vezes, pode haver eventos em seu ambiente que, por si só, não se apresentam como uma clara ameaça potencial. O GuardDuty os chama de sinais fracos. Com a Detecção de Ameaças Avançada, o GuardDuty identifica quando uma sequência de várias ações se alinha a uma atividade potencialmente suspeita e gera uma descoberta de sequência de ataque na sua conta. Essas várias ações podem incluir sinais fracos e descobertas já identificadas do GuardDuty na sua conta.

nota

Ao correlacionar eventos para sequências de ataque, a Detecção de Ameaças Avançada não considera as descobertas arquivadas, incluindo aquelas descobertas que são automaticamente arquivadas devido a Regras de supressão. Esse comportamento garante que somente sinais ativos e relevantes contribuam para a detecção da sequência de ataque. Para garantir que você não seja afetado por isso, revise as regras de supressão existentes na sua conta. Para obter mais informações, consulte Usando regras de supressão com a Detecção de Ameaças Avançada.

O GuardDuty também foi projetado para identificar possíveis comportamentos de ataque em andamento ou recentes (dentro de um período contínuo de 24 horas) na sua conta. Por exemplo, um ataque pode começar quando um ator obtém acesso não intencional a uma workload computacional. O ator então executaria uma série de etapas, incluindo enumeração, escalonamento de privilégios e exfiltração de credenciais da AWS. Essas credenciais poderiam ser usadas para comprometimento adicional ou acesso malicioso aos dados.

Para qualquer conta do GuardDuty em uma região, o recurso de Detecção de Ameaças Avançada é habilitado automaticamente. Por padrão, esse recurso leva em consideração os vários eventos em todas as Fontes de dados fundamentais. Para se beneficiar desse recurso, você não precisa habilitar todos os planos de proteção do GuardDuty focados em casos de uso. Por exemplo, com a detecção de ameaças básica, o GuardDuty pode identificar uma possível sequência de ataque a partir da atividade de descoberta de privilégios do IAM nas APIs do Amazon S3 e detectar alterações subsequentes no ambiente de gerenciamento do S3, como alterações que tornam a política de recursos do bucket mais permissiva.

A Detecção de Ameaças Avançada foi projetada de forma que, se você habilitar mais planos de proteção, ela ajuda o GuardDuty a correlacionar sinais mais diversos em várias fontes de dados. Isso potencialmente aumentará a amplitude dos sinais de segurança para uma análise abrangente de ameaças e cobertura das sequências de ataque. Para identificar descobertas que poderiam ser um dos vários estágios em uma sequência de ataque, o GuardDuty recomenda habilitar planos de proteção específicos – Proteção do S3, Proteção do EKS e Monitoramento de Runtime (com o complemento do EKS).

Tópicos

Detecção de sequências de ataque em clusters do Amazon EKS
Detecção de sequências de ataque nos buckets do Amazon S3

Detecção de sequências de ataque em clusters do Amazon EKS

O GuardDuty correlacionou vários sinais de segurança nos logs de auditoria do EKS, no comportamento de runtime dos processos e na atividade da API da AWS para detectar padrões de ataque sofisticados. Para se beneficiar da Detecção de Ameaças Avançada para EKS, você deve habilitar pelo menos um desses recursos – Proteção do EKS ou Monitoramento de Runtime (com o complemento do EKS). A Proteção do EKS monitora as atividades do ambiente de gerenciamento por meio de logs de auditoria, enquanto o Monitoramento de Runtime observa os comportamentos nos contêineres.

Para uma cobertura máxima e uma detecção abrangente de ameaças, o GuardDuty recomenda habilitar os dois planos de proteção. Juntos, eles criam uma visão completa dos seus clusters do EKS, permitindo que o GuardDuty detecte padrões de ataque complexos. Por exemplo, ele pode identificar uma implantação anômala de um contêiner privilegiado (detectada com a Proteção do EKS), seguida por tentativas de persistência, mineração de criptomoedas e criação reversa de shell dentro desse contêiner (detectada com o Monitoramento de Runtime). O GuardDuty representa esses eventos relacionados como uma única descoberta de gravidade crítica chamada AttackSequence:EKS/CompromisedCluster. Quando você habilita os dois planos de proteção, a descoberta de sequência de ataque abrange os seguintes cenários de ameaça:

Comprometimento de contêineres que executam aplicações web vulneráveis
Acesso não autorizado por meio de credenciais mal configuradas
Tentativas de aumentar os privilégios
Solicitações de API suspeitas
Tentativas de acessar dados de forma maliciosa

A lista a seguir fornece detalhes de quando esses planos de proteção dedicados são habilitados individualmente:

Proteção do EKS: A habilitação da Proteção do EKS dá ao GuardDuty a capacidade de detectar sequências de ataque envolvendo atividades do ambiente de gerenciamento de cluster do Amazon EKS. Isso permite que o GuardDuty correlacione os logs de auditoria do EKS e a atividade da API da AWS. Por exemplo, o GuardDuty pode detectar uma sequência de ataque em que um ator tenta acessar sem autorização os segredos do cluster, modifica as permissões de controle de acesso baseado em funções (RBAC) do Kubernetes e cria pods privilegiados. Para obter informações sobre como habilitar esse plano de proteção, consulte Proteção do EKS.
Monitoramento de runtime para Amazon EKS: A habilitação do Monitoramento de Runtime para clusters do Amazon EKS dá ao GuardDuty a capacidade de aprimorar a detecção da sequência de ataque do EKS com visibilidade em nível de contêiner. Isso ajuda o GuardDuty a detectar possíveis processos maliciosos, comportamentos suspeitos de runtime e possíveis execuções de malware. Por exemplo, o GuardDuty pode detectar uma sequência de ataque em que um contêiner começa a exibir comportamento suspeito, como processos de criptomineração ou estabelecimento de conexões com endpoints maliciosos conhecidos. Para obter informações sobre como habilitar esse plano de proteção, consulte Monitoramento de runtime.

Se você não habilitar a Proteção do EKS ou o Monitoramento de Runtime, o GuardDuty não poderá gerar Tipos de descoberta da Proteção do EKS ou Tipos de descoberta do Monitoramento de runtime individuais. Portanto, o GuardDuty não será capaz de detectar sequências de ataque em vários estágios que envolvam descobertas associadas.

Detecção de sequências de ataque nos buckets do Amazon S3

A habilitação da Proteção do S3 dá ao GuardDuty a capacidade de detectar sequências de ataque envolvendo tentativas de comprometimento de dados em seus buckets do Amazon S3. Sem a Proteção do S3, o GuardDuty pode detectar quando sua política de recursos de bucket do S3 se torna excessivamente permissiva. Quando você habilita a Proteção do S3, o GuardDuty ganha a capacidade de detectar possíveis atividades de exfiltração de dados que podem ocorrer depois que seu bucket do S3 se torna excessivamente permissivo.

Se a Proteção do S3 não estiver habilitada, o GuardDuty não poderá gerar Tipos de descoberta da Proteção do S3 individuais. Portanto, o GuardDuty não será capaz de detectar sequências de ataque em vários estágios que envolvam descobertas associadas. Para obter informações sobre como habilitar esse plano de proteção, consulte Proteção do S3.

Detecção de Ameaças Avançada no console do GuardDuty

Por padrão, a página da Detecção de Ameaças Avançada no console do GuardDuty exibe o Status como Habilitado. Com a detecção básica de ameaças, o status representa que o GuardDuty pode detectar uma possível sequência de ataque envolvendo atividades de descoberta de privilégios do IAM nas APIs do Amazon S3 e detectar alterações subsequentes no ambiente de gerenciamento do S3.

Use as etapas a seguir para acessar a página da Detecção de Ameaças Avançada no console do GuardDuty:

Você pode abrir o console do GuardDuty em https://console.aws.amazon.com/guardduty.
No painel de navegação à esquerda, escolha Detecção de Ameaças Avançada.

Essa página fornece detalhes sobre os cenários de ameaças abordados pela Detecção de Ameaças Avançada.
Na página Detecção de Ameaças Avançada, veja a seção Planos de proteção relacionados. Se você quiser habilitar planos de proteção dedicados para aprimorar a cobertura de detecção de ameaças na sua conta, selecione a opção Configurar para esse plano de proteção.

Noções básicas e gerenciamento de descobertas de sequências de ataques

As descobertas de sequência de ataque são iguais a outras descobertas do GuardDuty na sua conta. Você pode visualizá-las na página Descobertas no console do GuardDuty. Para obter mais informações sobre como visualizar descobertas, consulte Página de descobertas no console do GuardDuty.

Semelhante a outras descobertas do GuardDuty, as descobertas de sequência de ataque também são enviadas automaticamente ao Amazon EventBridge. Com base nas suas configurações, as descobertas de sequência de ataque também são exportadas para um destino de publicação (bucket do Amazon S3). Para definir um novo destino de publicação ou atualizar um existente, consulte Exportar as descobertas geradas para bucket do Amazon S3.

Recursos adicionais

Veja as seções a seguir para obter uma maior compreensão sobre as sequências de ataque:

Depois de aprender sobre a Detecção de Ameaças Avançada e as sequências de ataque, você pode gerar exemplos de tipos de descoberta de sequências de ataque seguindo as etapas em Descobertas de exemplo.
Saiba mais sobre o Tipos de descoberta de sequência de ataque.
Analise as descobertas e explore os detalhes da descoberta associados a Detalhes da descoberta da sequência de ataques.
Priorize e resolva os tipos de descoberta de sequências de ataque seguindo as etapas dos recursos afetados associados em Correção de descobertas.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Fontes de dados fundamentais

Proteção do EKS