Exemplos de cenários de ameaças com sequência de ataque Como funciona a detecção estendida de ameaças Habilitando planos de proteção para maximizar a detecção de ameaças Detecção estendida de ameaças no GuardDuty console Entendendo e gerenciando as descobertas da sequência de ataque Recursos adicionais

GuardDuty Detecção estendida de ameaças

GuardDuty O Extended Threat Detection detecta automaticamente ataques em vários estágios que abrangem fontes de dados, vários tipos de AWS recursos e tempo, dentro de um. Conta da AWS Com esse recurso, GuardDuty concentra-se na sequência de vários eventos que ele observa monitorando diferentes tipos de fontes de dados. O Extended Threat Detection correlaciona esses eventos para identificar cenários que se apresentam como uma ameaça potencial ao seu AWS ambiente e, em seguida, gera uma descoberta da sequência de ataque.

Tópicos

Exemplos de cenários de ameaças com sequência de ataque
Como funciona
Habilitando planos de proteção para maximizar a detecção de ameaças
Detecção estendida de ameaças no GuardDuty console
Entendendo e gerenciando as descobertas da sequência de ataque
Recursos adicionais

Exemplos de cenários de ameaças com sequência de ataque

O Extended Threat Detection abrange cenários de ameaças que envolvem comprometimento relacionado ao uso indevido de AWS credenciais, tentativas de comprometimento de dados em buckets do Amazon S3 e comprometimento de recursos de contêineres e Kubernetes nos clusters do Amazon EKS. Uma única descoberta pode abranger uma sequência de ataque inteira. Por exemplo, a lista a seguir descreve os cenários que GuardDuty podem detectar:

Exemplo 1: AWS credenciais e comprometimento de dados do bucket do Amazon S3

Um agente de ameaça obtendo acesso não autorizado a uma carga de trabalho computacional.
O ator então executa uma série de ações, como escalonamento de privilégios e estabelecimento de persistência.
Finalmente, o ator exfiltra dados de um recurso do Amazon S3.

Exemplo 2 - Comprometimento do cluster Amazon EKS

Um agente de ameaça tenta explorar um aplicativo de contêiner dentro de um cluster do Amazon EKS.
O ator usa esse contêiner comprometido para obter tokens de conta de serviço privilegiada.
O ator então aproveita esses privilégios elevados para acessar segredos ou AWS recursos confidenciais do Kubernetes por meio de identidades de pod.

Devido à natureza dos cenários de ameaças associados, GuardDuty considera tudo Tipos de localização de sequências de ataque como crítico.

O vídeo a seguir mostra como você pode usar a Detecção Estendida de Ameaças.

Como funciona

Quando você ativa a Amazon GuardDuty em sua conta em uma área específica Região da AWS, a Detecção Estendida de Ameaças também é ativada por padrão. Não há custo adicional associado ao uso da Detecção Estendida de Ameaças. Por padrão, ele correlaciona eventos em todos. Fontes de dados fundamentais No entanto, quando você ativa mais planos de GuardDuty proteção, como S3 Protection, EKS Protection e Runtime Monitoring, isso abrirá tipos adicionais de detecções de sequência de ataque, ampliando a variedade de fontes de eventos. Isso potencialmente ajudará com uma análise de ameaças mais abrangente e com uma melhor detecção das sequências de ataque. Para obter mais informações, consulte Habilitando planos de proteção para maximizar a detecção de ameaças.

GuardDuty correlaciona vários eventos, incluindo atividades e GuardDuty descobertas da API. Esses eventos são chamados de Sinais. Às vezes, pode haver eventos em seu ambiente que, por si só, não se apresentam como uma clara ameaça potencial. GuardDuty os chama de sinais fracos. Com o Extended Threat Detection, GuardDuty identifica quando uma sequência de várias ações se alinha a uma atividade potencialmente suspeita e gera uma sequência de ataque encontrada em sua conta. Essas várias ações podem incluir sinais fracos e GuardDuty descobertas já identificadas em sua conta.

nota

Ao correlacionar eventos para sequências de ataque, o Extended Threat Detection não considera as descobertas arquivadas, incluindo aquelas descobertas que são automaticamente arquivadas por causa de. Regras de supressão Esse comportamento garante que somente sinais ativos e relevantes contribuam para a detecção da sequência de ataque. Para garantir que você não seja afetado por isso, revise as regras de supressão existentes em sua conta. Para obter mais informações, consulte Usando regras de supressão com Detecção Estendida de Ameaças.

GuardDuty também foi projetado para identificar possíveis comportamentos de ataque em andamento ou recentes (dentro de uma janela contínua de 24 horas) em sua conta. Por exemplo, um ataque pode começar quando um ator obtém acesso não intencional a uma carga de trabalho computacional. O ator então executaria uma série de etapas, incluindo enumeração, escalonamento de privilégios e exfiltração de credenciais. AWS Essas credenciais poderiam ser usadas para comprometimento adicional ou acesso malicioso aos dados.

Para qualquer GuardDuty conta em uma região, o recurso de Detecção Estendida de Ameaças é ativado automaticamente. Por padrão, esse recurso leva em consideração os vários eventos em todosFontes de dados fundamentais. Para se beneficiar desse recurso, você não precisa habilitar todos os planos de GuardDuty proteção focados no caso de uso. Por exemplo, com a detecção básica de ameaças, é GuardDuty possível identificar uma sequência de ataque potencial a partir da atividade de descoberta de privilégios do IAM no Amazon APIs S3 e detectar alterações subsequentes no plano de controle do S3, como alterações que tornam a política de recursos do bucket mais permissiva.

O Extended Threat Detection foi projetado de forma que, se você habilitar mais planos de proteção, ajude a GuardDuty correlacionar sinais mais diversos em várias fontes de dados. Isso potencialmente aumentará a amplitude dos sinais de segurança para uma análise abrangente de ameaças e cobertura das sequências de ataque. Para identificar descobertas que poderiam ser um dos vários estágios em uma sequência de ataque, GuardDuty recomenda habilitar planos de proteção específicos — S3 Protection, EKS Protection e Runtime Monitoring (com o complemento EKS).

Tópicos

Detecção de sequências de ataque em clusters do Amazon EKS
Detecção de sequências de ataque em buckets do Amazon S3

Detecção de sequências de ataque em clusters do Amazon EKS

GuardDuty correlacionou vários sinais de segurança nos registros de auditoria do EKS, no comportamento dos processos em tempo de execução e na atividade AWS da API para detectar padrões de ataque sofisticados. Para se beneficiar da Detecção Estendida de Ameaças para EKS, você deve ativar pelo menos um desses recursos — Proteção EKS ou Monitoramento de Tempo de Execução (com o complemento EKS). O EKS Protection monitora as atividades do plano de controle por meio de registros de auditoria, enquanto o Runtime Monitoring observa os comportamentos dentro dos contêineres.

Para uma cobertura máxima e uma detecção abrangente de ameaças, GuardDuty recomenda ativar os dois planos de proteção. Juntos, eles criam uma visão completa dos seus clusters EKS, GuardDuty permitindo detectar padrões de ataque complexos. Por exemplo, ele pode identificar uma implantação anômala de um contêiner privilegiado (detectada com o EKS Protection), seguida por tentativas de persistência, mineração de criptomoedas e criação reversa de shell dentro desse contêiner (detectada com o Runtime Monitoring). GuardDuty representa esses eventos relacionados como um único achado de gravidade crítica, chamado. AttackSequence:EKS/CompromisedCluster Quando você ativa os dois planos de proteção, a descoberta da sequência de ataque abrange os seguintes cenários de ameaça:

Compromisso de contêineres que executam aplicativos web vulneráveis
Acesso não autorizado por meio de credenciais mal configuradas
Tentativas de aumentar os privilégios
Solicitações de API suspeitas
Tentativas de acessar dados de forma maliciosa

A lista a seguir fornece detalhes de quando esses planos de proteção dedicados são ativados individualmente:

Proteção do EKS: A ativação do EKS Protection permite GuardDuty detectar sequências de ataque envolvendo atividades do plano de controle de cluster do Amazon EKS. Isso permite GuardDuty correlacionar os registros de auditoria do EKS e a atividade AWS da API. Por exemplo, GuardDuty pode detectar uma sequência de ataque em que um ator tenta acessar não autorizadamente os segredos do cluster, modifica as permissões de controle de acesso baseado em funções (RBAC) do Kubernetes e cria pods privilegiados. Para obter mais informações sobre como habilitar esse plano de proteção, consulteProteção do EKS.
Monitoramento de tempo de execução para Amazon EKS: A ativação do Runtime Monitoring para clusters do Amazon EKS permite GuardDuty aprimorar a detecção da sequência de ataque do EKS com visibilidade em nível de contêiner. Isso ajuda a GuardDuty detectar possíveis processos maliciosos, comportamentos suspeitos em tempo de execução e possíveis execuções de malware. Por exemplo, GuardDuty pode detectar uma sequência de ataque em que um contêiner começa a exibir um comportamento suspeito, como processos de criptomineração ou estabelecimento de conexões com endpoints maliciosos conhecidos. Para obter mais informações sobre como habilitar esse plano de proteção, consulteMonitoramento de runtime.

Se você não habilitar a Proteção EKS ou o Monitoramento de Tempo de Execução, não GuardDuty será possível gerar dados individuais Tipos de descoberta da Proteção do EKS ouTipos de descoberta do Monitoramento de runtime. Portanto, não GuardDuty será capaz de detectar sequências de ataque em vários estágios que envolvam descobertas associadas.

Detecção de sequências de ataque em buckets do Amazon S3

A ativação do S3 Protection permite GuardDuty detectar sequências de ataque envolvendo tentativas de comprometimento de dados em seus buckets do Amazon S3. Sem o S3 Protection, GuardDuty pode detectar quando sua política de recursos de bucket do S3 se torna excessivamente permissiva. Quando você ativa o S3 Protection, GuardDuty obtém a capacidade de detectar possíveis atividades de exfiltração de dados que podem ocorrer depois que seu bucket do S3 se torna excessivamente permissivo.

Se o S3 Protection não estiver ativado, não GuardDuty será possível gerar indivíduosTipos de descoberta da Proteção do S3. Portanto, não GuardDuty será capaz de detectar sequências de ataque em vários estágios que envolvam descobertas associadas. Para obter mais informações sobre como habilitar esse plano de proteção, consulteProteção do S3.

Detecção estendida de ameaças no GuardDuty console

Por padrão, a página Detecção Estendida de Ameaças no GuardDuty console exibe o Status como Ativado. Com a detecção básica de ameaças, o status representa que é GuardDuty possível detectar uma possível sequência de ataque envolvendo a atividade de descoberta de privilégios do IAM no Amazon APIs S3 e a detecção de alterações subsequentes no plano de controle do S3.

Use as etapas a seguir para acessar a página Extended Threat Detection no GuardDuty console:

Você pode abrir o GuardDuty console em https://console.aws.amazon.com/guardduty/.
No painel de navegação esquerdo, escolha Detecção estendida de ameaças.

Esta página fornece detalhes sobre os cenários de ameaças abordados pelo Extended Threat Detection.
Na página Detecção estendida de ameaças, veja a seção Planos de proteção relacionados. Se você quiser ativar planos de proteção dedicados para aprimorar a cobertura de detecção de ameaças em sua conta, selecione Configurar opção para esse plano de proteção.

Entendendo e gerenciando as descobertas da sequência de ataque

As descobertas da sequência de ataque são iguais às outras GuardDuty descobertas em sua conta. Você pode visualizá-las na página Descobertas no GuardDuty console. Para obter informações sobre como visualizar as descobertas, consultePágina de descobertas no GuardDuty console.

Semelhante a outras GuardDuty descobertas, as descobertas da sequência de ataques também são enviadas automaticamente para a Amazon EventBridge. Com base nas suas configurações, os resultados da sequência de ataque também são exportados para um destino de publicação (Amazon S3 bucket). Para definir um novo destino de publicação ou atualizar um existente, consulteExportar as descobertas geradas para bucket do Amazon S3.

Recursos adicionais

Veja as seções a seguir para obter mais compreensão sobre as sequências de ataque:

Depois de aprender sobre a Detecção Estendida de Ameaças e as sequências de ataque, você pode gerar exemplos de tipos de localização de sequências de ataque seguindo as etapas emDescobertas de exemplo.
Saiba mais sobre o Tipos de localização de sequências de ataque.
Analise as descobertas e explore os detalhes da descoberta associados Detalhes de busca da sequência de ataque a.
Priorize e resolva os tipos de descoberta de sequências de ataque seguindo as etapas dos recursos afetados associados em. Correção de descobertas

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Fontes de dados fundamentais

Proteção do EKS