Amazon GuardDuty
Amazon GuardDuty 是一项威胁检测服务,可持续监控 AWS 环境中的恶意活动与未经授权的行为。该服务融合机器学习、异常检测及集成式威胁情报功能,能够识别潜在威胁,为与 RISE with SAP 环境、工作负载及数据相关联的 AWS 账户提供安全防护。
Amazon GuardDuty 监控以下各项:
-
AWS CloudTrail 日志。Amazon GuardDuty 监控跨 AWS 账户的 API 活动,以检测可疑 API 调用、未经授权的部署以及对资源的未经授权的访问尝试;Amazon GuardDuty 识别来自未经授权的 IP 地址或区域的对 AWS 服务的访问尝试;Amazon GuardDuty 检测 Identity and Access Management(IAM)用户、角色及策略中的异常行为(如权限提升)。
-
VPC 流日志。Amazon GuardDuty 分析虚拟私有云(VPC)中的网络流量,以检测异常流量模式、数据泄露尝试或未经授权的访问,同时识别 AWS 资源与已知恶意 IP 地址或域之间的通信。在 RISE with SAP on AWS 环境中,检测过程在面向 RISE 的由 SAP 管理的账户的 VPC 中进行。
-
DNS 日志。Amazon GuardDuty 监控 AWS 资源发起的 DNS 查询,以检测连接到恶意域的尝试或异常 DNS 请求模式。此外,Amazon GuardDuty 还检测利用域生成算法(DGA)来生成与命令和控制服务器关联的域名的行为。
在 RISE with SAP 环境中,Amazon GuardDuty 可用于实现以下目的:
-
入侵检测:GuardDuty 能够通过识别未经授权的 API 调用、网络侦测、来自已知恶意 IP 地址的访问尝试等恶意活动,提前检测针对前端为客户自主管理型 AWS 账户的 RISE 环境的入侵尝试。
-
合规性验证:对于具有严格合规要求的组织,GuardDuty 可通过持续监控策略违规行为及未经授权的访问尝试,提供详细日志和报告以供审计,助力组织实现合规性。当从客户自主管理型 AWS 账户访问 SAP RISE 环境时,就可以进行此验证。有关更多详细信息,请参阅合规性验证。
-
自动化事件响应。GuardDuty 可与 AWS Lambda 和 AWS Security Hub 集成,实现事件响应工作流的自动化。检测到威胁后,这些服务可触发自动化修复操作,例如隔离受影响的资源或向安全团队发送通知。
以下是 GuardDuty 监控 AWS 上 RISE with SAP 部署的 CloudTrail 跟踪的示例架构
在上图中
-
数据被写入 S3 存储桶以用于数据湖/合规性报告。
-
恶意行为者更改 S3 存储桶上的 IAM 规则和 IAM 权限以获取访问权限。
-
IAM 更改被 AWS CloudTrail 拦截。
-
GuardDuty 检测到可疑活动并向管理员发送提醒。
以下是 GuardDuty 监控 AWS 上 RISE with SAP 部署的 DNS 日志的示例架构
在上图中
-
恶意行为者引入恶意 DNS,将用户重定向到伪造的 SAP 系统。
-
GuardDuty 检测到恶意 DNS 条目并向管理员报告此情况。
以下是 GuardDuty 监控 RISE with SAP VPC 的 VPC 流日志的示例架构
在上图中
-
恶意攻击者试图从与 RISE VPC 建立对等连接的客户自主管理型 VPC 访问 SAP 系统,或扫描端口。
-
来自恶意攻击者 IP 的连接尝试被记录在 VPC 流日志中。
-
Amazon GuardDuty 检测到可疑的连接尝试并向管理员报告此情况。
有关配置 Amazon GuardDuty 的说明,请参阅入门。
