GuardDuty 扩展威胁检测 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty 扩展威胁检测

GuardDuty 扩展威胁检测可自动检测跨越数据源、多种 AWS 资源类型和时间的多阶段攻击。 AWS 账户借助此功能,可以 GuardDuty专注于通过监视不同类型的数据源来观察到的多个事件的顺序。扩展威胁检测将这些事件关联起来,以识别可能对您的 AWS 环境构成潜在威胁的场景,然后生成攻击序列发现。

攻击序列威胁场景示例

扩展威胁检测涵盖的威胁场景包括与 AWS 证书滥用相关的泄露、Amazon S3 存储桶中的数据泄露尝试以及 Amazon EKS 集群中的容器和 Kubernetes 资源泄露。单个发现可以包含整个攻击序列。例如,以下列表描述了 GuardDuty 可能检测到的场景:

示例 1- AWS 凭证和 Amazon S3 存储桶数据泄露
  • 威胁行为者未经授权访问计算工作负载。

  • 然后,演员执行了一系列动作,例如权限升级和建立毅力。

  • 最后,是从 Amazon S3 资源中泄露数据的行为者。

示例 2-Amazon EKS 集群入侵
  • 威胁行为者试图利用 Amazon EKS 集群中的容器应用程序。

  • 参与者使用该受感染的容器来获取特权服务帐户令牌。

  • 然后,参与者利用这些提升的权限通过 pod 身份访问敏感的 Kubernetes 机密或 AWS 资源。

由于相关威胁情景的性质,将所有情况都 GuardDuty 攻击序列查找类型视为危急

以下视频演示了如何使用扩展威胁检测。

工作方式

当您在特定账户 GuardDuty 中启用Amazon时 AWS 区域,默认情况下还会启用扩展威胁检测。使用扩展威胁检测不会产生任何额外费用。默认情况下,它将所有基础数据来源事件关联起来。但是,当您启用更多 GuardDuty 保护计划(例如 S3 保护、EKS 保护和运行时监控)时,这将通过扩大事件源的范围来打开其他类型的攻击序列检测。这有可能有助于进行更全面的威胁分析和更好的攻击序列检测。有关更多信息,请参阅 启用保护计划以最大限度地提高威胁检测能力

GuardDuty 关联多个事件,包括 API 活动和 GuardDuty 发现。这些事件称为信号。有时,您的环境中可能存在一些事件,这些事件本身并不构成明显的潜在威胁。 GuardDuty 将它们称为微弱信号。借助扩展威胁检测, GuardDuty 可以识别一系列多项操作何时与潜在的可疑活动一致,并在您的账户中生成攻击序列发现结果。这些多重操作可能包括微弱的信号和您账户中已经发现的 GuardDuty 结果。

注意

在关联攻击序列的事件时,扩展威胁检测不考虑存档的发现,包括那些由于以下原因而自动存档的抑制规则发现。此行为可确保只有活跃的相关信号才会参与攻击序列检测。为确保您不受此影响,请查看您账户中现有的禁止规则。有关更多信息,请参阅 在扩展威胁检测中使用抑制规则

GuardDuty 还旨在识别您账户中潜在的正在进行或最近的攻击行为(在 24 小时滚动时间范围内)。例如,攻击可能始于参与者意外获得对计算工作负载的访问权限。然后,参与者将执行一系列步骤,包括枚举、权限升级和证书泄露。 AWS 这些凭证可能被用于进一步破坏或恶意访问数据。

对于区域中的任何 GuardDuty 账户,扩展威胁检测功能都会自动启用。默认情况下,此功能会考虑所有事件中的多个事件基础数据来源。要从此功能中受益,您无需启用所有以用例为重点的 GuardDuty 保护计划。例如,通过基础威胁检测, GuardDuty 可以从 Amazon S3 上的 IAM 权限发现活动开始识别潜在的攻击序列 APIs,并检测随后的 S3 控制平面更改,例如使存储桶资源策略更加宽松的更改。

扩展威胁检测的设计方式是,如果您启用更多保护计划,它可以帮助 GuardDuty 关联多个数据源中更多样化的信号。这有可能扩大安全信号的广度,以进行全面的威胁分析和攻击序列的覆盖。要确定可能属于攻击序列中多个阶段之一的发现, GuardDuty 建议启用特定的保护计划 — S3 保护、EKS 保护和运行时监控(带有 EKS 附加组件)。

在 Amazon EKS 集群中检测攻击序列

GuardDuty 将 EKS 审核日志、进程的运行时行为和 AWS API 活动中的多个安全信号关联起来,以检测复杂的攻击模式。要受益于 EKS 的扩展威胁检测,您必须至少启用其中一项功能 — EKS 保护或运行时监控(带有 EKS 附加组件)。EKS Protection 通过审计日志监控控制平面活动,而运行时监控则观察容器内的行为。

为了最大限度地提高覆盖范围和全面的威胁检测, GuardDuty 建议同时启用这两个保护计划。它们共同创建了您的 EKS 集群的完整视图,从而 GuardDuty 能够检测复杂的攻击模式。例如,它可以识别特权容器的异常部署(通过 EKS Protection 检测到),然后在该容器内进行持久化尝试、加密挖掘和反向 shell 创建(使用运行时监控检测到)。 GuardDuty 将这些相关事件表示为一个名为 “临界严重性” 的调查结果。AttackSequence:EKS/CompromisedCluster启用这两个保护计划后,攻击序列发现涵盖以下威胁场景:

  • 运行易受攻击的 Web 应用程序的容器遭到入侵

  • 通过错误配置的凭据进行未经授权的访问

  • 试图升级权限

  • 可疑的 API 请求

  • 试图恶意访问数据

以下列表提供了单独启用这些专用保护计划的详细信息:

EKS 保护

启用 EKS 保护可以 GuardDuty 检测涉及 Amazon EKS 集群控制平面活动的攻击序列。这 GuardDuty 允许关联 EKS 审核日志和 AWS API 活动。例如, GuardDuty 可以检测攻击序列,即攻击者试图未经授权访问集群密钥、修改 Kubernetes 基于角色的访问控制 (RBAC) 权限并创建特权 pod。有关启用此保护计划的更多信息,请参阅EKS 保护

亚马逊 EKS 的运行时监控

为 Amazon EKS 集群启用运行时监控功能可通过容器级可见性增强 EKS 攻击序列检测。 GuardDuty 这有助于 GuardDuty 检测潜在的恶意进程、可疑的运行时行为和潜在的恶意软件执行情况。例如, GuardDuty 可以检测到容器开始表现出可疑行为的攻击序列,例如加密采矿进程或与已知恶意端点建立连接。有关启用此保护计划的更多信息,请参阅运行时监控

如果您未启用 EKS 保护或运行时监控, GuardDuty 将无法生成个人EKS 防护调查发现类型运行时监控调查发现类型。因此, GuardDuty 将无法检测到涉及相关发现的多阶段攻击序列。

检测 Amazon S3 存储桶中的攻击序列

启用 S3 保护可以 GuardDuty 检测攻击序列,这些攻击序列涉及企图泄露您的 Amazon S3 存储桶中的数据。如果没有 S3 保护, GuardDuty 则可以检测您的 S3 存储桶资源策略何时变得过于宽松。启用 S3 保护后, GuardDuty 可以检测在 S3 存储桶变得过于宽松后可能发生的潜在数据泄露活动。

如果未启用 S3 保护, GuardDuty 将无法生成个人S3 防护调查发现类型。因此, GuardDuty 将无法检测到涉及相关发现的多阶段攻击序列。有关启用此保护计划的更多信息,请参阅S3 防护

GuardDuty 控制台中的扩展威胁检测

默认情况下, GuardDuty 控制台中的扩展威胁检测页面将状态显示为已启用。通过基础威胁检测,状态表示 GuardDuty 可以检测潜在的攻击序列,该序列涉及 Amazon S3 上的 IAM 权限发现活动 APIs 并检测后续的 S3 控制平面更改。

使用以下步骤在 GuardDuty 控制台中访问扩展威胁检测页面:

  1. 您可以在以下位置打开 GuardDuty 控制台https://console.aws.amazon.com/guardduty/

  2. 在左侧导航窗格中,选择 “扩展威胁检测”。

    本页提供有关扩展威胁检测涵盖的威胁场景的详细信息。

  3. 在 “扩展威胁检测” 页面上,查看 “相关保护计划” 部分。如果您启用专用保护计划以增强账户中的威胁检测覆盖范围,请为该保护计划选择配置选项。

了解和管理攻击序列发现

攻击序列的发现与您账户中的其他 GuardDuty 发现结果一样。您可以在 GuardDuty 控制台的 “调查结果” 页面上查看它们。有关查看结果的信息,请参见 GuardDuty控制台中的调查结果页面

与其他 GuardDuty 发现类似,攻击序列结果也会自动发送到 Amazon EventBridge。根据您的设置,攻击序列发现结果也会导出到发布目标(Amazon S3 存储桶)。要设置新的发布目标或更新现有的发布目标,请参阅将生成的调查发现导出到 Amazon S3

其他资源

请查看以下章节,进一步了解攻击顺序: