GuardDuty 扩展威胁检测 - Amazon GuardDuty
攻击序列威胁场景示例扩展威胁检测功能的工作原理启用防护计划以最大限度地提高威胁检测能力GuardDuty 控制台中的扩展威胁检测功能了解和管理攻击序列调查发现其他资源

GuardDuty 扩展威胁检测

GuardDuty 扩展威胁检测可自动检测 AWS 账户中跨数据来源、多个类型的 AWS 资源和时间的多阶段攻击。使用此功能,GuardDuty 可以通过监控不同类型的数据来源,重点关注观察到的一系列事件。扩展威胁检测功能会将这些事件关联起来,以识别可能对您的 AWS 环境构成潜在威胁的场景,然后生成攻击序列调查发现。

攻击序列威胁场景示例

扩展威胁检测功能涵盖的威胁场景包括与 AWS 凭证滥用相关的入侵、针对 Amazon S3 存储桶的数据泄露企图以及 Amazon EKS 集群中容器和 Kubernetes 资源的破坏。单个调查发现可以涵盖整个攻击序列。例如,以下列表描述了 GuardDuty 可能检测到的场景:

示例 1:AWS 凭证和 Amazon S3 存储桶数据泄露

  • 威胁行为者未经授权访问计算工作负载。

  • 然后,行为者执行了一系列操作,例如提升权限和建立持久化访问。

  • 最后,行为者从 Amazon S3 资源中窃取数据。

示例 2:Amazon EKS 集群入侵

  • 威胁行为者试图利用 Amazon EKS 集群中某个容器应用程序。

  • 行为者使用该遭入侵的容器来获取特权服务账户令牌。

  • 然后,行为者利用这些提升的权限通过容器组身份访问敏感的 Kubernetes 机密或 AWS 资源。

由于相关威胁场景的性质,GuardDuty 会将所有攻击序列调查发现类型情况都视为重大

下列视频演示了如何使用扩展威胁检测功能。

工作原理

在特定 AWS 区域的账户中启用 Amazon GuardDuty 后,默认情况下还会启用扩展威胁检测功能。使用扩展威胁检测功能不会产生额外的费用。默认情况下,它将所有基础数据来源事件关联起来。但是,如果了您启用更多 GuardDuty 防护计划(例如 S3 防护、EKS 防护和运行时监控),这会扩大事件来源的范围,从而开启更多类型的攻击序列检测。这将有助于实现更全面的威胁分析,并提升攻击序列的检测效能。有关更多信息,请参阅 启用防护计划以最大限度地提高威胁检测能力

GuardDuty 会关联多个事件,包括 API 活动和 GuardDuty 调查发现。这些事件都称为信号。有时,您的环境中可能存在一些本身并不构成明显潜在威胁的事件。GuardDuty 将它们称为信号。借助扩展威胁检测功能,如果您的账户中有一系列的操作与潜在的可疑活动一致,GuardDuty 会识别出来并生成攻击序列调查发现。这些操作可能包括弱信号和您账户中已识别的 GuardDuty 调查发现。

注意

在关联攻击序列的事件时,扩展威胁检测功能不会考虑已存档的调查发现,包括那些根据抑制规则自动存档的调查发现。这样的机制可确保只有活跃且相关的信号才会被用于攻击序列检测。为确保您不受此影响,请查看您账户中现有的抑制规则。有关更多信息,请参阅 在扩展威胁检测中使用隐藏规则

GuardDuty 还旨在识别您账户中潜在的正在进行或最近的攻击行为(在 24 小时滚动时段内)。例如,攻击可能始于行为者意外获得对计算工作负载的访问权限。然后,行为者可能会执行一系列步骤,包括枚举、提升权限和窃取 AWS 凭证。这些凭证可能被用于进一步泄露或恶意访问数据。

对于区域中的任何 GuardDuty 账户,扩展威胁检测功能都会自动启用。默认情况下,此功能会考虑跨所有基础数据来源的多个事件。要享受此功能带来的优势,您无需启用所有以使用案例为中心的 GuardDuty 防护计划。例如,通过基础威胁检测,GuardDuty 可以从 Amazon S3 API 上的 IAM 权限发现活动开始识别潜在的攻击序列,并检测随后的 S3 控制面板更改,例如使存储桶资源策略更加宽松的更改。

扩展威胁检测功能的设计原理是:当您启用更多防护计划时,系统将协助 GuardDuty 关联来自多个数据来源的多样化信号。这将有望增强安全信号的广度,从而实现更全面的威胁分析与更完整的攻击序列覆盖。为识别可能构成攻击序列中多个阶段的安全发现,GuardDuty 建议启用特定的防护计划:S3 防护、EKS 防护和运行时监控(搭配 EKS 插件)。

在 Amazon EKS 集群中检测攻击序列

GuardDuty 会关联 EKS 审计日志、进程运行时行为和 AWS API 活动等多维度的安全信号,以检测复杂的攻击模式。要享受针对 EKS 的扩展威胁检测功能带来的优势,您必须至少启用以下其中一项功能:EKS 防护或运行时监控(搭配 EKS 插件)。EKS 防护功能会通过审计日志监控控制面板活动,而运行时监控则会观察容器内的行为。

为获得最大覆盖范围与全面威胁检测能力,GuardDuty 建议同时启用两种防护计划。二者协同工作,可构建您 EKS 集群的完整安全视图,使 GuardDuty 能够检测复杂攻击模式。例如,它可以先通过 EKS 防护功能识别特权容器的异常部署,然后通过运行时监控检测在该容器内的建立持久化访问的尝试、加密货币挖矿和反向 Shell 创建等后续攻击行为。GuardDuty 会将这些关联事件整合呈现为一项名为 AttackSequence:EKS/CompromisedCluster 的“重大”严重程度调查发现。启用这两个防护计划后,攻击序列调查发现会涵盖以下威胁场景:

  • 运行易受攻击的 Web 应用程序的容器遭到入侵

  • 通过错误配置的凭证进行未经授权的访问

  • 试图提升权限

  • 可疑 API 请求

  • 试图恶意访问数据

以下列表详细说明单独启用各专项防护计划时的检测能力:

EKS 保护

启用 EKS 防护功能可让 GuardDuty 能够检测涉及 Amazon EKS 集群控制面板活动的攻击序列。这会允许 GuardDuty 关联 EKS 审计日志和 AWS API 活动。例如,GuardDuty 可检测如下攻击序列:行为者试图未授权访问集群密钥、修改 Kubernetes 基于角色的访问控制(RBAC)权限,并创建特权容器组(pod)。有关启用此防护计划的更多信息,请参阅 EKS 保护

适用于 Amazon EKS 的运行时监控

启用适用于 Amazon EKS 集群的运行时监控功能后,GuardDuty 能够通过容器级可视化增强 EKS 攻击序列检测能力。这有助于 GuardDuty 检测潜在恶意进程、可疑运行时行为及可能存在的恶意软件执行活动。例如,GuardDuty 可检测到如下攻击序列:某个容器开始出现异常行为,例如启动加密货币挖矿进程或与已知恶意端点建立连接。有关启用此防护计划的更多信息,请参阅运行时监控

若您未启用 EKS 防护或运行时监控功能,GuardDuty 将无法生成单独的 EKS 防护调查发现类型运行时监控调查发现类型。因此,GuardDuty 将无法检测涉及关联调查发现的多阶段攻击序列。

检测 Amazon S3 存储桶中的攻击序列

启用 S3 防护功能可让 GuardDuty 能够检测涉及试图泄露您 Amazon S3 存储桶中数据的攻击序列。若未启用 S3 防护,GuardDuty 仅能检测到 S3 存储桶资源策略变得过度宽松的情况。启用 S3 防护后,GuardDuty 将能够检测 S3 存储桶权限过度宽松后可能发生的潜在数据窃取活动。

如果未启用 S3 保护,GuardDuty 将无法生成单独的 S3 防护调查发现类型。因此,GuardDuty 将无法检测涉及关联调查发现的多阶段攻击序列。有关启用此防护计划的更多信息,请参阅 S3 防护

GuardDuty 控制台中的扩展威胁检测功能

默认情况下,GuardDuty 控制台中的扩展威胁检测页面会将状态显示为已启用。在基础威胁检测层面,此状态表示 GuardDuty 能够检测涉及 Amazon S3 API 上 IAM 权限发现活动的潜在攻击序列,并检测随后的 S3 控制面板更改。

请按以下步骤访问 GuardDuty 控制台中的扩展威胁检测页面:

  1. 通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/

  2. 在左侧导航窗格中,选择扩展威胁检测

    本页展示有关扩展威胁检测覆盖的威胁场景详细信息。

  3. 扩展威胁检测页面上,查看相关防护计划部分。如果您启用专用防护计划以增强账户中的威胁检测覆盖范围,请选择相应防护计划的配置选项。

了解和管理攻击序列调查发现

攻击序列调查发现与您账号中的其他 GuardDuty 调查发现一样。您可以在 GuardDuty 控制台的调查发现页面进行查看。有关查看调查发现的信息,请参阅 GuardDuty 控制台中的“调查发现”页面

与 GuardDuty 的其他调查发现类似,攻击序列调查发现也会自动发送到 Amazon EventBridge。根据您的设置,攻击序列调查发现也会导出到发布目标(Amazon S3 存储桶)。要设置新的发布目标或更新现有的发布目标,请参阅将生成的调查发现导出到 Amazon S3

其他资源

请查看以下章节,进一步了解攻击序列: