As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
GuardDuty Detecção estendida de ameaças
GuardDuty O Extended Threat Detection detecta automaticamente ataques em vários estágios que abrangem fontes de dados, vários tipos de AWS recursos e tempo, dentro de um. Conta da AWS Com esse recurso, GuardDuty concentra-se na sequência de vários eventos que ele observa monitorando diferentes tipos de fontes de dados. O Extended Threat Detection correlaciona esses eventos para identificar cenários que se apresentam como uma ameaça potencial ao seu AWS ambiente e, em seguida, gera uma descoberta da sequência de ataque.
Tópicos
Exemplos de cenários de ameaças com sequência de ataque
O Extended Threat Detection abrange cenários de ameaças que envolvem comprometimento relacionado ao uso indevido de AWS credenciais, tentativas de comprometimento de dados em buckets do Amazon S3 e comprometimento de recursos de contêineres e Kubernetes nos clusters do Amazon EKS. Uma única descoberta pode abranger uma sequência de ataque inteira. Por exemplo, a lista a seguir descreve os cenários que GuardDuty podem detectar:
- Exemplo 1: AWS credenciais e comprometimento de dados do bucket do Amazon S3
-
-
Um agente de ameaça obtendo acesso não autorizado a uma workload computacional.
-
O ator então executa uma série de ações, como escalonamento de privilégios e estabelecimento de persistência.
-
Finalmente, o ator exfiltra dados de um recurso do Amazon S3.
-
- Exemplo 2 – comprometimento do cluster do Amazon EKS
-
-
Um agente de ameaça tenta explorar uma aplicação de contêiner dentro de um cluster do Amazon EKS.
-
O ator usa esse contêiner comprometido para obter tokens de conta de serviço privilegiada.
-
O ator então aproveita esses privilégios elevados para acessar segredos confidenciais do Kubernetes ou recursos da AWS por meio de identidades de pods.
-
Devido à natureza dos cenários de ameaças associados, GuardDuty considera tudo Tipos de descoberta de sequência de ataque como crítico.
O vídeo a seguir mostra como você pode usar a Detecção de Ameaças Avançada.
Como funciona
Quando você ativa a Amazon GuardDuty em sua conta em uma área específica Região da AWS, a Detecção Estendida de Ameaças também é ativada por padrão. Não há custo adicional associado ao uso da Detecção de Ameaças Avançada. Por padrão, ela correlaciona eventos em todas as Fontes de dados fundamentais. No entanto, quando você ativa mais planos de GuardDuty proteção, como S3 Protection, EKS Protection e Runtime Monitoring, isso abrirá tipos adicionais de detecções de sequência de ataque, ampliando a variedade de fontes de eventos. Isso potencialmente ajudará com uma análise de ameaças mais abrangente e com uma melhor detecção das sequências de ataque. Para obter mais informações, consulte Habilitação de planos de proteção para maximizar a detecção de ameaças.
GuardDuty correlaciona vários eventos, incluindo atividades e GuardDuty descobertas da API. Esses eventos são chamados de Sinais. Às vezes, pode haver eventos em seu ambiente que, por si só, não se apresentam como uma clara ameaça potencial. GuardDuty os chama de sinais fracos. Com o Extended Threat Detection, GuardDuty identifica quando uma sequência de várias ações se alinha a uma atividade potencialmente suspeita e gera uma sequência de ataque encontrada em sua conta. Essas várias ações podem incluir sinais fracos e GuardDuty descobertas já identificadas em sua conta.
nota
Ao correlacionar eventos para sequências de ataque, a Detecção de Ameaças Avançada não considera as descobertas arquivadas, incluindo aquelas descobertas que são automaticamente arquivadas devido a Regras de supressão. Esse comportamento garante que somente sinais ativos e relevantes contribuam para a detecção da sequência de ataque. Para garantir que você não seja afetado por isso, revise as regras de supressão existentes na sua conta. Para obter mais informações, consulte Usando regras de supressão com a Detecção de Ameaças Avançada.
GuardDuty também foi projetado para identificar possíveis comportamentos de ataque em andamento ou recentes (dentro de uma janela contínua de 24 horas) em sua conta. Por exemplo, um ataque pode começar quando um ator obtém acesso não intencional a uma workload computacional. O ator então executaria uma série de etapas, incluindo enumeração, escalonamento de privilégios e exfiltração de credenciais. AWS Essas credenciais poderiam ser usadas para comprometimento adicional ou acesso malicioso aos dados.
Habilitação de planos de proteção para maximizar a detecção de ameaças
A Detecção Estendida de Ameaças é ativada automaticamente para todas as GuardDuty contas, avaliando, por padrão, os sinais de todos os planos de proteção ativados na conta. GuardDuty As fontes de dados fundamentais fornecem sinais importantes para várias detecções de sequências de ataque. Por exemplo, com a detecção básica de ameaças, é GuardDuty possível identificar uma sequência de ataque potencial a partir da atividade de descoberta de privilégios do IAM no Amazon APIs S3 e detectar alterações subsequentes no plano de controle do S3, como alterações que tornam a política de recursos do bucket mais permissiva. No entanto, outras sequências de ataque exigem sinais avançados que só estão disponíveis em planos de proteção avançados, como monitoramento de tempo de execução, proteção S3 e monitoramento de registros de auditoria EKS.
Tópicos
Detecção de sequências de ataque em clusters do Amazon EKS
GuardDuty correlacionou vários sinais de segurança nos registros de auditoria do EKS, no comportamento dos processos em tempo de execução e na atividade AWS da API para detectar padrões de ataque sofisticados. Para se beneficiar da Detecção de Ameaças Avançada para EKS, você deve habilitar pelo menos um desses recursos – Proteção do EKS ou Monitoramento de Runtime (com o complemento do EKS). A Proteção do EKS monitora as atividades do ambiente de gerenciamento por meio de logs de auditoria, enquanto o Monitoramento de Runtime observa os comportamentos nos contêineres.
Para cobertura máxima e detecção abrangente de ameaças, GuardDuty recomenda ativar os dois planos de proteção. Juntos, eles criam uma visão completa dos seus clusters EKS, GuardDuty permitindo detectar padrões de ataque complexos. Por exemplo, ele pode identificar uma implantação anômala de um contêiner privilegiado (detectada com o EKS Protection), seguida por tentativas de persistência, mineração de criptomoedas e criação reversa de shell dentro desse contêiner (detectada com o Runtime Monitoring). GuardDuty representa esses eventos relacionados como um único achado de gravidade crítica, chamado. AttackSequence:EKS/CompromisedCluster Quando você habilita os dois planos de proteção, a descoberta de sequência de ataque abrange os seguintes cenários de ameaça:
-
Comprometimento de contêineres que executam aplicações web vulneráveis
-
Acesso não autorizado por meio de credenciais mal configuradas
-
Tentativas de aumentar os privilégios
-
Solicitações de API suspeitas
-
Tentativas de acessar dados de forma maliciosa
A lista a seguir fornece detalhes de quando esses planos de proteção dedicados são habilitados individualmente:
- Proteção do EKS
-
A ativação do EKS Protection permite GuardDuty detectar sequências de ataque envolvendo atividades do plano de controle de cluster do Amazon EKS. Isso permite GuardDuty correlacionar os registros de auditoria do EKS e a atividade AWS da API. Por exemplo, GuardDuty pode detectar uma sequência de ataque em que um ator tenta acessar não autorizadamente os segredos do cluster, modifica as permissões de controle de acesso baseado em funções (RBAC) do Kubernetes e cria pods privilegiados. Para obter informações sobre como habilitar esse plano de proteção, consulte Proteção do EKS.
- Monitoramento de Runtime para Amazon EKS
-
A ativação do Runtime Monitoring para clusters do Amazon EKS permite GuardDuty aprimorar a detecção da sequência de ataque do EKS com visibilidade em nível de contêiner. Isso ajuda a GuardDuty detectar possíveis processos maliciosos, comportamentos suspeitos em tempo de execução e possíveis execuções de malware. Por exemplo, GuardDuty pode detectar uma sequência de ataque em que um contêiner começa a exibir um comportamento suspeito, como processos de criptomineração ou estabelecimento de conexões com endpoints maliciosos conhecidos. Para obter informações sobre como habilitar esse plano de proteção, consulte Monitoramento de runtime.
Se você não habilitar a Proteção EKS ou o Monitoramento de Tempo de Execução, não GuardDuty será possível gerar dados individuais Tipos de descoberta da Proteção do EKS ou Tipos de descoberta do Monitoramento de runtime. Portanto, não GuardDuty será capaz de detectar sequências de ataque em vários estágios que envolvam descobertas associadas.
Detecção de sequências de ataque nos buckets do Amazon S3
A ativação do S3 Protection permite GuardDuty detectar sequências de ataque envolvendo tentativas de comprometimento de dados em seus buckets do Amazon S3. Sem o S3 Protection, GuardDuty pode detectar quando sua política de recursos de bucket do S3 se torna excessivamente permissiva. Quando você ativa o S3 Protection, GuardDuty obtém a capacidade de detectar possíveis atividades de exfiltração de dados que podem ocorrer depois que seu bucket do S3 se torna excessivamente permissivo.
Se o S3 Protection não estiver ativado, não GuardDuty será possível gerar indivíduosTipos de descoberta da Proteção do S3. Portanto, não GuardDuty será capaz de detectar sequências de ataque em vários estágios que envolvam descobertas associadas. Para obter informações sobre como habilitar esse plano de proteção, consulte Proteção do S3.
Detecção de sequências de ataque em clusters do Amazon ECS
GuardDuty pode identificar sequências de ataque, como processos maliciosos, conexões com endpoints maliciosos ou comportamentos de mineração de criptomoedas em contêineres do ECS. Ao correlacionar diversos sinais entre a atividade da rede, o comportamento do tempo de execução do processo e a atividade AWS da API, é GuardDuty possível identificar padrões de ataque complexos que podem passar despercebidos por detecções individuais e mapear o vetor de ataque completo.
GuardDuty representa esses eventos relacionados como um único achado de gravidade crítica, chamado. AttackSequence:ECS/CompromisedCluster A descoberta da sequência de ataque abrange os seguintes cenários de ameaça:
-
Compromisso de contêineres que executam serviços vulneráveis
-
Execução não autorizada de ferramentas suspeitas, malware ou processos de criptomineração
-
Tentativas de aumentar os privilégios
-
Comunicação com terminais suspeitos
Importante
A Detecção Estendida de Ameaças para ECS requer monitoramento de tempo de execução para Fargate ou EC2, dependendo do tipo de infraestrutura do ECS. O Runtime Monitoring observa os comportamentos nos contêineres do ECS em execução nas instâncias Fargate e EC2. O ECS em instâncias gerenciadas do EC2 não é suportado.
Detecção de sequências de ataque em grupos de instâncias do Amazon EC2
GuardDuty pode identificar sequências de ataque que afetam instâncias individuais ou grupos de instâncias que compartilham atributos comuns, como grupos de Auto Scaling, perfis de instância do IAM, modelos de execução, pilhas, CloudFormation AMIs ou IDs de VPC. Essas instâncias podem apresentar comportamentos suspeitos, como processos maliciosos, conexões com endpoints maliciosos, mineração de criptomoedas ou uso anormal de credenciais de instância do EC2.
A descoberta da sequência de ataque detecta os seguintes cenários de ameaça:
-
Comprometimento de instâncias que executam serviços vulneráveis
-
Uso de credenciais de instância do Amazon EC2 obtidas via IMDS de fora da AWS conta para a qual as credenciais foram emitidas
-
Use como infraestrutura para ataques como proxy, escaneamento ou negação de serviço
-
Execução não autorizada de ferramentas suspeitas, malware ou processos de criptomineração
-
Comunicação com terminais suspeitos
A Detecção Estendida de Ameaças ajuda a identificar essas ameaças. GuardDuty representa esses eventos relacionados como um único achado de gravidade crítica, chamado. AttackSequence:EC2/CompromisedInstanceGroup
Para aprimorar a detecção estendida de ameaças para os recursos de detecção do EC2, ative o monitoramento de tempo de execução. A combinação do Foundational GuardDuty, que monitora a atividade da rede, CloudTrail e do Runtime Monitoring, que observa os comportamentos do processo e as chamadas do sistema nas instâncias, fornece uma detecção de ameaças mais abrangente. Esse monitoramento integrado permite GuardDuty detectar sequências de ataque sofisticadas, como acesso não autorizado por meio de credenciais mal configuradas, tentativas de escalonamento de privilégios e acesso não autorizado a dados confidenciais. Ao correlacionar esses diversos sinais, GuardDuty pode identificar padrões de ataque complexos que podem ser perdidos por detecções individuais e mapear o vetor de ataque completo.
Detecção estendida de ameaças no GuardDuty console
Por padrão, a página Detecção estendida de ameaças no GuardDuty console exibe o status como Ativado. Com a detecção básica de ameaças, o status representa que é GuardDuty possível detectar uma possível sequência de ataque envolvendo a atividade de descoberta de privilégios do IAM no Amazon APIs S3 e a detecção de alterações subsequentes no plano de controle do S3.
Use as etapas a seguir para acessar a página Extended Threat Detection no GuardDuty console:
-
Você pode abrir o GuardDuty console em https://console.aws.amazon.com/guardduty/
. -
No painel de navegação à esquerda, escolha Detecção de Ameaças Avançada.
Essa página fornece detalhes sobre os cenários de ameaças abordados pela Detecção de Ameaças Avançada.
-
Na página Detecção de Ameaças Avançada, veja a seção Planos de proteção relacionados. Se você quiser habilitar planos de proteção dedicados para aprimorar a cobertura de detecção de ameaças na sua conta, selecione a opção Configurar para esse plano de proteção.
Noções básicas e gerenciamento de descobertas de sequências de ataques
As descobertas da sequência de ataque são iguais às outras GuardDuty descobertas em sua conta. Você pode visualizá-las na página Descobertas no GuardDuty console. Para obter mais informações sobre como visualizar descobertas, consulte Página de descobertas no GuardDuty console.
Semelhante a outras GuardDuty descobertas, as descobertas da sequência de ataques também são enviadas automaticamente para a Amazon EventBridge. Com base nas suas configurações, as descobertas de sequência de ataque também são exportadas para um destino de publicação (bucket do Amazon S3). Para definir um novo destino de publicação ou atualizar um existente, consulte Exportar as descobertas geradas para bucket do Amazon S3.
Recursos adicionais do
Veja as seções a seguir para obter uma maior compreensão sobre as sequências de ataque:
-
Depois de aprender sobre a Detecção de Ameaças Avançada e as sequências de ataque, você pode gerar exemplos de tipos de descoberta de sequências de ataque seguindo as etapas em Amostras de resultados.
Saiba mais sobre o Tipos de descoberta de sequência de ataque.
-
Analise as descobertas e explore os detalhes da descoberta associados a Detalhes da descoberta da sequência de ataques.
-
Priorize e resolva os tipos de descoberta de sequências de ataque seguindo as etapas dos recursos afetados associados em Correção de descobertas.
