GuardDuty 延伸威脅偵測 - Amazon GuardDuty
攻擊序列威脅案例範例擴充威脅偵測的運作方式啟用保護計畫以最大化威脅偵測GuardDuty 主控台中的延伸威脅偵測了解和管理攻擊序列調查結果其他資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

GuardDuty 延伸威脅偵測

GuardDuty 延伸威脅偵測會自動偵測跨資料來源、多種 AWS 資源類型和時間的多階段攻擊 AWS 帳戶。使用此功能時,GuardDuty 透過監控不同類型的資料來源,專注於其觀察到的多個事件序列。延伸威脅偵測會將這些事件相互關聯,以識別對 AWS 環境構成潛在威脅的案例,然後產生攻擊序列調查結果。

攻擊序列威脅案例範例

延伸威脅偵測涵蓋與 AWS 憑證濫用相關的入侵、Amazon S3 儲存貯體中的資料入侵嘗試,以及 Amazon EKS 叢集中的容器和 Kubernetes 資源入侵相關的威脅案例。單一調查結果可以包含整個攻擊序列。例如,以下清單說明 GuardDuty 可能偵測到的案例:

範例 1 AWS - 憑證和 Amazon S3 儲存貯體資料洩露

  • 未經授權存取運算工作負載的威脅行為者。

  • 然後,演員執行一系列動作,例如權限提升和建立持久性。

  • 最後,演員從 Amazon S3 資源滲透資料。

範例 2 - Amazon EKS 叢集入侵

  • 威脅行為者嘗試利用 Amazon EKS 叢集內的容器應用程式。

  • 演員使用該遭入侵的容器來取得特權服務帳戶字符。

  • 然後,演員會利用這些提升的權限,透過 Pod 身分存取敏感的 Kubernetes 秘密或 AWS 資源。

由於相關威脅案例的性質,GuardDuty 會將全部視為「關鍵攻擊序列調查結果類型」。

下列影片示範如何使用延伸威脅偵測。

運作方式

當您在特定的帳戶中啟用 Amazon GuardDuty 時 AWS 區域,預設也會啟用延伸威脅偵測。使用延伸威脅偵測不會產生額外的成本。根據預設,它會關聯所有 的事件基礎資料來源。不過,當您啟用更多 GuardDuty 保護計畫時,例如 S3 保護、EKS 保護和執行期監控,這會透過擴大事件來源的範圍來開啟其他類型的攻擊序列偵測。這可能有助於進行更全面的威脅分析,並更好地偵測攻擊序列。如需詳細資訊,請參閱啟用保護計畫以最大化威脅偵測

GuardDuty 會關聯多個事件,包括 API 活動和 GuardDuty 調查結果。這些事件稱為 Signals。有時候,您的環境中可能有事件本身不會將自己呈現為明確的潛在威脅。GuardDuty 將其視為訊號。透過擴充威脅偵測,GuardDuty 會識別多個動作序列何時與潛在可疑活動相符,並在您的帳戶中產生攻擊序列調查結果。這些多個動作可能包括弱訊號,以及帳戶中已識別的 GuardDuty 調查結果。

注意

關聯攻擊序列的事件時,延伸威脅偵測不會考慮封存的問題清單,包括由於 而自動封存的問題清單隱藏規則。此行為可確保只有作用中的相關訊號有助於偵測攻擊序列。為了確保您不會受到此影響,請檢閱您帳戶中現有的禁止規則。如需詳細資訊,請參閱將抑制規則與延伸威脅偵測搭配使用

GuardDuty 也旨在識別帳戶中潛在的進行中或最近攻擊行為 (在 24 小時滾動時段內)。例如,攻擊一開始可能是由取得運算工作負載意外存取權的演員。然後,演員會執行一系列的步驟,包括列舉、提升權限和竊取 AWS 登入資料。這些登入資料可能用於進一步入侵或惡意存取資料。

對於區域中的任何 GuardDuty 帳戶,延伸威脅偵測功能會自動啟用。根據預設,此功能會考量所有 的多個事件基礎資料來源。若要受益於此功能,您不需要啟用所有以使用案例為中心的 GuardDuty 保護計畫。例如,透過基礎威脅偵測,GuardDuty 可以識別從 Amazon S3 APIs 上的 IAM 權限探索活動開始的潛在攻擊序列,並偵測後續的 S3 控制平面變更,例如使儲存貯體資源政策更寬鬆的變更。

延伸威脅偵測的設計方式是,如果您啟用更多保護計畫,有助於 GuardDuty 跨多個資料來源關聯更多樣化的訊號。這可能會增強安全訊號的廣度,以進行全面的威脅分析和攻擊序列的涵蓋範圍。為了識別可能成為攻擊序列中多個階段之一的問題清單,GuardDuty 建議啟用特定保護計畫:S3 保護、EKS 保護和執行期監控 (使用 EKS 附加元件)。

偵測 Amazon EKS 叢集中的攻擊序列

GuardDuty 跨 EKS 稽核日誌、程序的執行時間行為和 AWS API 活動關聯多個安全訊號,以偵測複雜的攻擊模式。若要受益於 EKS 的延伸威脅偵測,您必須啟用至少其中一個功能:EKS 保護或執行期監控 (使用 EKS 附加元件)。EKS 保護會透過稽核日誌監控控制平面活動,而執行期監控則會觀察容器內的行為。

為了獲得最大涵蓋範圍和全面的威脅偵測,GuardDuty 建議同時啟用這兩個保護計畫。它們共同建立 EKS 叢集的完整檢視,讓 GuardDuty 能夠偵測複雜的攻擊模式。例如,它可以識別特殊權限容器的異常部署 (使用 EKS 保護偵測),接著在該容器內持續嘗試、加密挖掘和反向 shell 建立 (使用執行期監控偵測)。GuardDuty 將這些相關事件表示為稱為 的單一關鍵嚴重性調查結果AttackSequence:EKS/CompromisedCluster。當您啟用這兩個保護計畫時,攻擊序列調查結果會涵蓋下列威脅案例:

  • 入侵執行易受攻擊 Web 應用程式的容器

  • 透過設定錯誤的登入資料進行未經授權的存取

  • 嘗試提升權限

  • 可疑 API 請求

  • 嘗試惡意存取資料

下列清單提供個別啟用這些專用保護計畫的詳細資訊:

EKS 保護

啟用 EKS 保護可讓 GuardDuty 偵測涉及 Amazon EKS 叢集控制平面活動的攻擊序列。這可讓 GuardDuty 關聯 EKS 稽核日誌和 AWS API 活動。例如,GuardDuty 可以偵測攻擊序列,其中演員嘗試未經授權存取叢集秘密、修改 Kubernetes 角色型存取控制 (RBAC) 許可,以及建立特權 Pod。如需啟用此保護計畫的詳細資訊,請參閱 EKS 保護

Amazon EKS 的執行期監控

啟用 Amazon EKS 叢集的執行期監控可讓 GuardDuty 以容器層級可見性增強 EKS 攻擊序列偵測。這有助於 GuardDuty 偵測潛在的惡意程序、可疑的執行時間行為,以及潛在的惡意軟體執行。例如,GuardDuty 可以偵測容器開始展現可疑行為的攻擊序列,例如加密程序或建立已知惡意端點的連線。如需啟用此保護計畫的詳細資訊,請參閱 執行期監控

如果您未啟用 EKS 保護或執行期監控,GuardDuty 將無法產生個別 EKS 保護調查結果類型執行期監控問題清單類型。因此,GuardDuty 將無法偵測涉及相關調查結果的多階段攻擊序列。

偵測 Amazon S3 儲存貯體中的攻擊序列

啟用 S3 保護可讓 GuardDuty 偵測攻擊序列,其涉及嘗試入侵 Amazon S3 儲存貯體中的資料。如果沒有 S3 保護,GuardDuty 可以偵測 S3 儲存貯體資源政策何時變得過度寬鬆。當您啟用 S3 保護時,GuardDuty 將能夠偵測 S3 儲存貯體過度寬鬆之後可能發生的潛在資料外洩活動。

如果未啟用 S3 保護,GuardDuty 將無法產生個別的 S3 保護調查結果類型。因此,GuardDuty 將無法偵測涉及相關調查結果的多階段攻擊序列。如需啟用此保護計畫的詳細資訊,請參閱 S3 保護

GuardDuty 主控台中的延伸威脅偵測

根據預設,GuardDuty 主控台中的延伸威脅偵測頁面會將狀態顯示為已啟用。透過基礎威脅偵測,狀態表示 GuardDuty 可以偵測在 Amazon S3 APIs並偵測後續的 S3 控制平面變更。

使用下列步驟存取 GuardDuty 主控台中的擴充威脅偵測頁面:

  1. 您可以在 https://console.aws.amazon.com/guardduty/:// 開啟 GuardDuty 主控台。

  2. 在左側導覽窗格中,選擇延伸威脅偵測

    此頁面提供延伸威脅偵測涵蓋之威脅案例的詳細資訊。

  3. 擴充威脅偵測頁面上,檢視相關保護計畫區段。如果您想要啟用專用保護計畫來增強帳戶中的威脅偵測涵蓋範圍,請選取該保護計畫的設定選項。

了解和管理攻擊序列調查結果

攻擊序列調查結果與您帳戶中的其他 GuardDuty 調查結果相同。您可以在 GuardDuty 主控台的調查結果頁面上檢視它們。如需檢視問題清單的詳細資訊,請參閱 GuardDuty 主控台中的調查結果頁面

與其他 GuardDuty 調查結果類似,攻擊序列調查結果也會自動傳送至 Amazon EventBridge。根據您的設定,攻擊序列調查結果也會匯出到發佈目的地 (Amazon S3 儲存貯體)。若要設定新的發佈目的地或更新現有的發佈目的地,請參閱 將產生的調查結果匯出至 Amazon S3

其他資源

檢視下列各節,以進一步了解攻擊序列: