Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# GuardDuty Rilevamento esteso delle minacce
GuardDuty Extended Threat Detection rileva automaticamente gli attacchi in più fasi che riguardano fonti di dati, più tipi di AWS risorse e tempi, all'interno di un unico. Account AWS Grazie a questa funzionalità, GuardDuty si concentra sulla sequenza di più eventi che osserva monitorando diversi tipi di fonti di dati. Extended Threat Detection mette in correlazione questi eventi per identificare gli scenari che si presentano come una potenziale minaccia per l' AWS ambiente e quindi genera una ricerca della sequenza di attacco.
**Topics**
+ [Esempi di scenari di minaccia relativi alla sequenza di attacco](#extended-threat-detection-scenario-examples)
+ [Come funziona](#extended-threat-detection-how-it-works)
+ [Attivazione di piani di protezione per massimizzare il rilevamento delle minacce](#extended-threat-detection-related-gdu-protection-plans)
+ [Rilevamento esteso delle minacce nella console GuardDuty](#extended-threat-detection-in-guardduty-console)
+ [Comprensione e gestione dei risultati della sequenza di attacco](#extended-threat-detection-understanding-attack-sequence-findings)
+ [Risorse aggiuntive](#guardduty-extended-threat-detection-additional-resources)
## Esempi di scenari di minaccia relativi alla sequenza di attacco
Extended Threat Detection copre scenari di minaccia che comportano compromissioni legate all'uso improprio AWS delle credenziali, tentativi di compromissione dei dati nei bucket Amazon S3 e compromissione di container e risorse Kubernetes nei cluster Amazon EKS. Una singola scoperta può comprendere un'intera sequenza di attacco. Ad esempio, l'elenco seguente descrive gli scenari che GuardDuty potrebbero rilevare:
**Esempio 1: compromissione AWS delle credenziali e dei dati del bucket Amazon S3**
+ Un autore di minacce che ottiene l'accesso non autorizzato a un carico di lavoro di elaborazione.
+ L'attore esegue quindi una serie di azioni come aumentare i privilegi e stabilire la persistenza.
+ Infine, l'attore che esfiltra dati da una risorsa Amazon S3.
**Esempio 2: compromissione del cluster Amazon EKS**
+ Un autore di minacce tenta di sfruttare un'applicazione container all'interno di un cluster Amazon EKS.
+ L'attore utilizza quel contenitore compromesso per ottenere token di account di servizio privilegiati.
+ L'attore sfrutta quindi questi privilegi elevati per accedere a segreti o risorse Kubernetes sensibili tramite le identità dei pod. AWS
**A causa della natura degli scenari di minaccia associati, considera tutti elementi critici. GuardDuty [tipi di ricerca delle sequenze di attacco](guardduty-attack-sequence-finding-types.md)**
Il video seguente fornisce una dimostrazione di come utilizzare Extended Threat Detection.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/xLqGwoSaoPw)
## Come funziona
Quando abiliti Amazon GuardDuty nel tuo account in uno specifico Regione AWS, anche Extended Threat Detection è abilitato per impostazione predefinita. Non sono previsti costi aggiuntivi associati all'utilizzo di Extended Threat Detection. Per impostazione predefinita, mette in correlazione tutti [Origini dati fondamentali](guardduty_data-sources.md) gli eventi. Tuttavia, abilitando più piani di GuardDuty protezione, come S3 Protection, EKS Protection e Runtime Monitoring, si apriranno ulteriori tipi di rilevamenti delle sequenze di attacco ampliando la gamma di fonti di eventi. Ciò contribuirà potenzialmente a un'analisi delle minacce più completa e a un migliore rilevamento delle sequenze di attacco. Per ulteriori informazioni, consulta [Attivazione di piani di protezione per massimizzare il rilevamento delle minacce](#extended-threat-detection-related-gdu-protection-plans).
GuardDuty mette in correlazione più eventi, tra cui le attività e GuardDuty i risultati delle API. Questi eventi sono chiamati **segnali**. A volte, possono verificarsi eventi nell'ambiente che, di per sé, non si presentano come una potenziale minaccia evidente. GuardDuty li definisce segnali *deboli*. Con Extended Threat Detection, GuardDuty identifica quando una sequenza di più azioni si allinea a un'attività potenzialmente sospetta e genera una sequenza di attacco rilevata nel tuo account. Queste azioni multiple possono includere segnali deboli e GuardDuty risultati già identificati nel tuo account.
**Nota**
Quando mette in correlazione gli eventi per le sequenze di attacco, Extended Threat Detection non prende in considerazione i risultati archiviati, compresi quelli che vengono archiviati automaticamente a causa di. [Regole di eliminazione](findings_suppression-rule.md) Questo comportamento garantisce che solo i segnali attivi e pertinenti contribuiscano al rilevamento della sequenza di attacco. Per assicurarti che ciò non influisca su di te, consulta le regole di soppressione esistenti nel tuo account. Per ulteriori informazioni, consulta [Utilizzo delle regole di soppressione con Extended Threat Detection](findings_suppression-rule.md#using-suppression-rules-with-extended-threat-detection).
GuardDuty è inoltre progettato per identificare potenziali comportamenti di attacco in corso o recenti (entro una finestra temporale di 24 ore) nel tuo account. Ad esempio, un attacco potrebbe iniziare quando un attore accede involontariamente a un carico di lavoro di elaborazione. L'attore eseguirebbe quindi una serie di passaggi, tra cui l'enumerazione, l'aumento dei privilegi e l'esfiltrazione delle credenziali. AWS Queste credenziali potrebbero essere potenzialmente utilizzate per ulteriori compromissioni o accessi malintenzionati ai dati.
## Attivazione di piani di protezione per massimizzare il rilevamento delle minacce
Extended Threat Detection è abilitato automaticamente per tutti GuardDuty gli account, valutando per impostazione predefinita i segnali provenienti da tutti i piani di protezione abilitati nell'account. GuardDuty [Le fonti di dati di base](guardduty_data-sources.md) forniscono segnali importanti per il rilevamento di diverse sequenze di attacchi. Ad esempio, con il rilevamento delle minacce di base, è GuardDuty possibile identificare una potenziale sequenza di attacco a partire dall'attività di individuazione dei privilegi IAM su Amazon APIs S3 e rilevare le successive alterazioni del piano di controllo S3, come le modifiche che rendono la policy delle risorse del bucket più permissiva. Tuttavia, altre sequenze di attacco richiedono segnali avanzati che sono disponibili solo tramite piani di protezione avanzati come Runtime Monitoring, S3 Protection e EKS Audit Log Monitoring.
**Topics**
+ [Rilevamento delle sequenze di attacco nei cluster Amazon EKS](#extended-threat-detection-eks-clusters)
+ [Rilevamento delle sequenze di attacco nei bucket Amazon S3](#extended-threat-detection-s3-buckets)
+ [Rilevamento delle sequenze di attacco nei cluster Amazon ECS](#extended-threat-detection-ecs-clusters)
+ [Rilevamento delle sequenze di attacco nei gruppi di istanze Amazon EC2](#extended-threat-detection-ec2-instances)
### Rilevamento delle sequenze di attacco nei cluster Amazon EKS
GuardDuty ha correlato più segnali di sicurezza tra i log di controllo EKS, il comportamento di runtime dei processi e l'attività delle AWS API per rilevare modelli di attacco sofisticati. Per trarre vantaggio da Extended Threat Detection for EKS, è necessario abilitare almeno una di queste funzionalità: EKS Protection o Runtime Monitoring (con componente aggiuntivo EKS). EKS Protection monitora le attività del piano di controllo tramite registri di controllo, mentre Runtime Monitoring osserva i comportamenti all'interno dei container.
Per la massima copertura e un rilevamento completo delle minacce, GuardDuty consiglia di abilitare entrambi i piani di protezione. Insieme, creano una visione completa dei cluster EKS, che consente di GuardDuty rilevare modelli di attacco complessi. Ad esempio, può identificare un'implementazione anomala di un contenitore privilegiato (rilevata con EKS Protection), seguita da tentativi di persistenza, crypto-mining e creazione di shell inverse all'interno di quel contenitore (rilevata con Runtime Monitoring). GuardDuty rappresenta questi eventi correlati come un'unica rilevazione di gravità critica, denominata. [AttackSequence:EKS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-eks-compromised-cluster) Quando si abilitano entrambi i piani di protezione, la ricerca della sequenza di attacco copre i seguenti scenari di minaccia:
+ Compromissione dei container che eseguono applicazioni web vulnerabili
+ Accesso non autorizzato tramite credenziali configurate in modo errato
+ Tentativi di aumentare i privilegi
+ Richieste API sospette
+ Tentativi di accesso intenzionale ai dati
L'elenco seguente fornisce dettagli su quando questi piani di protezione dedicati sono abilitati singolarmente:
**Protezione EKS**
L'abilitazione di EKS Protection offre GuardDuty la possibilità di rilevare sequenze di attacco che coinvolgono le attività del piano di controllo del cluster Amazon EKS. Ciò consente di GuardDuty correlare i log di controllo EKS e l'attività delle AWS API. Ad esempio, GuardDuty può rilevare una sequenza di attacco in cui un attore tenta di accedere non autorizzato ai segreti del cluster, modifica le autorizzazioni di controllo degli accessi basato sui ruoli (RBAC) di Kubernetes e crea pod privilegiati. Per ulteriori informazioni [Protezione EKS](kubernetes-protection.md) sull'attivazione di questo piano di protezione, consulta.
**Monitoraggio del runtime per Amazon EKS**
L'abilitazione del Runtime Monitoring per i cluster Amazon EKS offre GuardDuty la possibilità di migliorare il rilevamento della sequenza di attacco EKS con visibilità a livello di contenitore. Questo aiuta a GuardDuty rilevare potenziali processi dannosi, comportamenti di runtime sospetti e la potenziale esecuzione di malware. Ad esempio, GuardDuty è in grado di rilevare una sequenza di attacco in cui un contenitore inizia a mostrare comportamenti sospetti, come processi di cryptomining o stabilire connessioni a endpoint dannosi noti. Per ulteriori informazioni sull'attivazione di questo piano di protezione, consulta. [Monitoraggio del runtime](runtime-monitoring.md)
Se non abiliti EKS Protection o Runtime Monitoring, non GuardDuty sarà possibile generare singoli [Tipi di risultati di protezione EKS](guardduty-finding-types-eks-audit-logs.md) o [Tipi di risultati del monitoraggio del runtime](findings-runtime-monitoring.md). Pertanto, non GuardDuty sarà in grado di rilevare sequenze di attacchi in più fasi che coinvolgono risultati associati.
### Rilevamento delle sequenze di attacco nei bucket Amazon S3
L'attivazione di S3 Protection offre GuardDuty la possibilità di rilevare sequenze di attacco che comportano tentativi di compromissione dei dati nei bucket Amazon S3. Senza S3 Protection, GuardDuty puoi rilevare quando la politica sulle risorse del bucket S3 diventa eccessivamente permissiva. Quando abiliti S3 Protection, GuardDuty acquisisce la capacità di rilevare potenziali attività di esfiltrazione dei dati che potrebbero verificarsi dopo che il bucket S3 diventa eccessivamente permissivo.
Se S3 Protection non è abilitato, non sarà in grado di generare dati individuali. GuardDuty [Tipi di risultati di protezione S3](guardduty_finding-types-s3.md) Pertanto, non GuardDuty sarà in grado di rilevare sequenze di attacchi in più fasi che coinvolgono risultati associati. Per ulteriori informazioni sull'attivazione di questo piano di protezione, vedere. [Protezione S3](s3-protection.md)
### Rilevamento delle sequenze di attacco nei cluster Amazon ECS
GuardDuty è in grado di identificare sequenze di attacco come processi dannosi, connessioni a endpoint dannosi o comportamenti di crypto-mining all'interno dei contenitori ECS. Correlando diversi segnali tra l'attività di rete, il comportamento di esecuzione dei processi e l'attività delle AWS API, è in GuardDuty grado di identificare modelli di attacco complessi che potrebbero non essere rilevati dai singoli rilevamenti e mappare il vettore di attacco completo.
GuardDuty rappresenta questi eventi correlati come un'unica rilevazione di gravità critica, denominata. `AttackSequence:ECS/CompromisedCluster` L'individuazione della sequenza di attacco copre i seguenti scenari di minaccia:
+ Compromissione dei container che eseguono servizi vulnerabili
+ Esecuzione non autorizzata di strumenti, malware o processi di cryptomining sospetti
+ Tentativi di aumentare i privilegi
+ Comunicazione con endpoint sospetti
**Importante**
Extended Threat Detection for ECS richiede Runtime Monitoring for Fargate o EC2, a seconda del tipo di infrastruttura ECS. Runtime Monitoring osserva i comportamenti all'interno dei container ECS in esecuzione su istanze Fargate ed EC2. ECS sulle istanze EC2 gestite non è supportato.
### Rilevamento delle sequenze di attacco nei gruppi di istanze Amazon EC2
GuardDuty è in grado di identificare le sequenze di attacco che interessano singole istanze o gruppi di istanze che condividono attributi comuni come gruppi di Auto Scaling, profili di istanze IAM, modelli di lancio, CloudFormation stack, AMI o ID VPC. Queste istanze possono presentare comportamenti sospetti come processi dannosi, connessioni a endpoint dannosi, crypto-mining o utilizzo anomalo delle credenziali delle istanze EC2.
L'individuazione della sequenza di attacco rileva i seguenti scenari di minaccia:
+ Compromissione delle istanze che eseguono servizi vulnerabili
+ Utilizzo delle credenziali dell'istanza Amazon EC2 ottenute tramite IMDS dall'esterno dell' AWS account a cui sono state emesse le credenziali
+ Utilizzala come infrastruttura per attacchi quali proxy, scansione o denial of service
+ Esecuzione non autorizzata di strumenti, malware o processi di cryptomining sospetti
+ Comunicazione con endpoint sospetti
Extended Threat Detection aiuta a identificare queste minacce. GuardDuty rappresenta questi eventi correlati come un'unica rilevazione di gravità critica, denominata. `AttackSequence:EC2/CompromisedInstanceGroup`
Per migliorare le funzionalità di rilevamento di Extended Threat Detection for EC2, abilita il Runtime Monitoring. La combinazione di Foundational GuardDuty, che monitora l'attività di rete, CloudTrail e Runtime Monitoring, che osserva i comportamenti dei processi e le chiamate di sistema all'interno delle istanze, offre un rilevamento delle minacce più completo. Questo monitoraggio integrato consente di GuardDuty rilevare sequenze di attacco sofisticate come l'accesso non autorizzato tramite credenziali mal configurate, i tentativi di escalation dei privilegi e l'accesso non autorizzato a dati sensibili. Correlando questi diversi segnali, è GuardDuty possibile identificare modelli di attacco complessi che potrebbero non essere rilevati dai singoli rilevamenti e mappare il vettore di attacco completo.
## Rilevamento esteso delle minacce nella console GuardDuty
Per impostazione predefinita, la pagina Extended Threat Detection nella GuardDuty console mostra lo **stato** come **Abilitato**. Con il rilevamento delle minacce di base, lo stato indica chi è in GuardDuty grado di rilevare una potenziale sequenza di attacco che coinvolge l'attività di individuazione dei privilegi IAM su Amazon APIs S3 e il rilevamento delle successive alterazioni del piano di controllo S3.
Utilizza i seguenti passaggi per accedere alla pagina Extended Threat Detection nella console: GuardDuty
1. È possibile aprire la GuardDuty console all'indirizzo [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Nel riquadro di navigazione a sinistra, scegli **Extended Threat Detection**.
Questa pagina fornisce dettagli sugli scenari di minaccia coperti da Extended Threat Detection.
1. Nella pagina **Extended Threat Detection**, visualizza la sezione **Piani di protezione correlati**. Se **desideri abilitare** piani di protezione dedicati per migliorare la copertura di rilevamento delle minacce nel tuo account, seleziona l'opzione **Configura** per quel piano di protezione.
## Comprensione e gestione dei risultati della sequenza di attacco
I risultati della sequenza di attacco sono identici agli altri GuardDuty risultati del tuo account. Puoi visualizzarli nella pagina **Findings** della GuardDuty console. Per informazioni sulla visualizzazione dei risultati, vedere[Pagina dei risultati nella GuardDuty console](guardduty_working-with-findings.md).
Analogamente ad altri GuardDuty risultati, anche i risultati della sequenza di attacco vengono inviati automaticamente ad Amazon EventBridge. In base alle impostazioni, i risultati della sequenza di attacco vengono esportati anche in una destinazione di pubblicazione (bucket Amazon S3). Per impostare una nuova destinazione di pubblicazione o aggiornarne una esistente, consulta. [Esportazione dei risultati generati su Amazon S3](guardduty_exportfindings.md)
## Risorse aggiuntive
Visualizza le seguenti sezioni per comprendere meglio le sequenze di attacco:
+ Dopo aver appreso l'Extended Threat Detection e le sequenze di attacco, puoi generare esempi di tipi di ricerca delle sequenze di attacco seguendo i passaggi riportati di seguito. [Risultati di esempio](sample_findings.md)
+ Ulteriori informazioni su [tipi di ricerca delle sequenze di attacco](guardduty-attack-sequence-finding-types.md).
+ Esamina i risultati ed esplora i dettagli associati [Dettagli del reperimento della sequenza di attacco](guardduty_findings-summary.md#guardduty-extended-threat-detection-attack-sequence-finding-details) a.
+ Assegna priorità e risolvi i tipi di ricerca delle sequenze di attacco seguendo i passaggi relativi alle risorse interessate associate in. [Correzioni degli esiti](guardduty_remediate.md)