View a markdown version of this page

GuardDuty 延伸威脅偵測 - Amazon GuardDuty
攻擊序列威脅案例範例延伸威脅偵測的運作方式啟用保護計畫以最大化威脅偵測GuardDuty 主控台中的延伸威脅偵測了解和管理攻擊序列調查結果其他資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

GuardDuty 延伸威脅偵測

GuardDuty 延伸威脅偵測會在 內自動偵測跨資料來源、多種 AWS 資源類型和時間的多階段攻擊 AWS 帳戶。使用此功能時,GuardDuty 透過監控不同類型的資料來源,專注於其觀察到的多個事件序列。延伸威脅偵測會將這些事件相互關聯,以識別對 AWS 環境構成潛在威脅的案例,然後產生攻擊序列調查結果。

攻擊序列威脅案例範例

延伸威脅偵測涵蓋與 AWS 憑證濫用相關的入侵、Amazon S3 儲存貯體中的資料入侵嘗試,以及 Amazon EKS 叢集中的容器和 Kubernetes 資源入侵相關的威脅案例。單一調查結果可以包含整個攻擊序列。例如,以下清單說明 GuardDuty 可能偵測到的案例:

範例 1 AWS - 憑證和 Amazon S3 儲存貯體資料洩露

  • 威脅行為者未經授權存取運算工作負載。

  • 然後,演員執行一系列動作,例如權限提升和建立持久性。

  • 最後,演員從 Amazon S3 資源滲透資料。

範例 2 - Amazon EKS 叢集入侵

  • 威脅行為者嘗試利用 Amazon EKS 叢集內的容器應用程式。

  • 演員使用該遭入侵的容器來取得特權服務帳戶字符。

  • 然後,演員會利用這些提升的權限,透過 Pod 身分存取敏感的 Kubernetes 秘密或 AWS 資源。

由於相關威脅案例的性質,GuardDuty 會將全部視為「關鍵攻擊序列調查結果類型」。

以下影片示範如何使用延伸威脅偵測。

運作方式

當您在特定帳戶中啟用 Amazon GuardDuty 時 AWS 區域,預設也會啟用延伸威脅偵測。使用擴充威脅偵測不會產生額外的成本。根據預設,它會關聯所有 的事件基礎資料來源。不過,當您啟用更多 GuardDuty 保護計畫時,例如 S3 保護、EKS 保護和執行期監控,這會透過擴大事件來源的範圍來開啟其他類型的攻擊序列偵測。這可能有助於進行更全面的威脅分析,並更好地偵測攻擊序列。如需詳細資訊,請參閱啟用保護計畫以最大化威脅偵測

GuardDuty 會關聯多個事件,包括 API 活動和 GuardDuty 調查結果。這些事件稱為 Signals。有時候,您的環境中可能有事件本身不會顯示為明確的潛在威脅。GuardDuty 將其視為訊號。透過擴充威脅偵測,GuardDuty 會識別多個動作序列何時與潛在可疑活動保持一致,並在您的帳戶中產生攻擊序列調查結果。這些多個動作可能包括弱訊號,以及帳戶中已識別的 GuardDuty 調查結果。

注意

關聯攻擊序列的事件時,延伸威脅偵測不會考慮封存的問題清單,包括由於 而自動封存的問題清單隱藏規則。此行為可確保只有作用中的相關訊號有助於偵測攻擊序列。為了確保您不會受到此影響,請檢閱您帳戶中現有的禁止規則。如需詳細資訊,請參閱將抑制規則與延伸威脅偵測搭配使用

GuardDuty 也旨在識別帳戶中潛在的進行中或最近攻擊行為 (在 24 小時滾動時段內)。例如,攻擊一開始可能是由取得運算工作負載意外存取權的演員。然後,演員會執行一系列的步驟,包括列舉、提升權限和竊取 AWS 登入資料。這些登入資料可能用於進一步入侵或惡意存取資料。

延伸威脅偵測會針對所有 GuardDuty 帳戶自動啟用,依預設從帳戶中啟用的所有保護計劃評估訊號。GuardDuty Foundational 資料來源提供數個攻擊序列偵測的重要訊號。例如,透過基礎威脅偵測,GuardDuty 可以識別從 Amazon S3 APIs 上的 IAM 權限探索活動開始的潛在攻擊序列,並偵測後續的 S3 控制平面變更,例如使儲存貯體資源政策更寬鬆的變更。不過,其他攻擊序列需要進階訊號,這些訊號只能從進階保護計畫取得,例如執行期監控、S3 保護和 EKS 稽核日誌監控。

偵測 Amazon EKS 叢集中的攻擊序列

GuardDuty 跨 EKS 稽核日誌、程序的執行時間行為和 AWS API 活動關聯多個安全訊號,以偵測複雜的攻擊模式。若要受益於 EKS 的延伸威脅偵測,您必須啟用至少其中一個功能:EKS 保護或執行期監控 (使用 EKS 附加元件)。EKS 保護會透過稽核日誌監控控制平面活動,而執行期監控則會觀察容器內的行為。

為了獲得最大涵蓋範圍和全面的威脅偵測,GuardDuty 建議同時啟用這兩個保護計畫。它們共同建立 EKS 叢集的完整檢視,讓 GuardDuty 能夠偵測複雜的攻擊模式。例如,它可以識別特殊權限容器 (使用 EKS 保護偵測) 的異常部署,接著在該容器內持續嘗試、加密挖掘和反向 shell 建立 (使用執行期監控偵測)。GuardDuty 將這些相關事件表示為稱為 的單一關鍵嚴重性調查結果AttackSequence:EKS/CompromisedCluster。當您啟用這兩個保護計畫時,攻擊序列調查結果會涵蓋下列威脅案例:

  • 入侵執行易受攻擊 Web 應用程式的容器

  • 透過設定錯誤的登入資料進行未經授權的存取

  • 嘗試提升權限

  • 可疑 API 請求

  • 嘗試惡意存取資料

下列清單提供個別啟用這些專用保護計畫的詳細資訊:

EKS 保護

啟用 EKS 保護可讓 GuardDuty 偵測涉及 Amazon EKS 叢集控制平面活動的攻擊序列。這可讓 GuardDuty 關聯 EKS 稽核日誌和 AWS API 活動。例如,GuardDuty 可以偵測攻擊序列,其中演員嘗試未經授權存取叢集秘密、修改 Kubernetes 角色型存取控制 (RBAC) 許可,以及建立特權 Pod。如需啟用此保護計畫的詳細資訊,請參閱 EKS 保護

Amazon EKS 的執行期監控

啟用 Amazon EKS 叢集的執行期監控可讓 GuardDuty 以容器層級可見性增強 EKS 攻擊序列偵測。這有助於 GuardDuty 偵測潛在的惡意程序、可疑的執行時間行為和潛在的惡意軟體執行。例如,GuardDuty 可以偵測容器開始展現可疑行為的攻擊序列,例如加密流程或建立已知惡意端點的連線。如需啟用此保護計畫的詳細資訊,請參閱 執行時期監控

如果您未啟用 EKS 保護或執行期監控,GuardDuty 將無法產生個別 EKS 保護調查結果類型執行期監控問題清單類型。因此,GuardDuty 將無法偵測涉及相關調查結果的多階段攻擊序列。

偵測 Amazon S3 儲存貯體中的攻擊序列

啟用 S3 保護可讓 GuardDuty 偵測攻擊序列,其涉及嘗試入侵 Amazon S3 儲存貯體中的資料。如果沒有 S3 保護,GuardDuty 可以偵測 S3 儲存貯體資源政策何時變得過度寬鬆。當您啟用 S3 保護時,GuardDuty 將能夠偵測 S3 儲存貯體過度寬鬆之後可能發生的潛在資料外洩活動。

如果未啟用 S3 保護,GuardDuty 將無法產生個別的 S3 保護調查結果類型。因此,GuardDuty 將無法偵測涉及相關調查結果的多階段攻擊序列。如需啟用此保護計畫的詳細資訊,請參閱 S3 保護

偵測 Amazon ECS 叢集中的攻擊序列

GuardDuty 可以識別 ECS 容器內的攻擊序列,例如惡意程序、惡意端點的連線或加密挖掘行為。透過將各種訊號與網路活動、程序執行時間行為和 AWS API 活動相互關聯,GuardDuty 可以識別個別偵測可能遺漏的複雜攻擊模式,並映射完整的攻擊向量。

GuardDuty 將這些相關事件表示為稱為 的單一關鍵嚴重性調查結果AttackSequence:ECS/CompromisedCluster。攻擊序列調查結果涵蓋下列威脅案例:

  • 入侵執行易受攻擊服務的容器

  • 未經授權執行可疑的工具、惡意軟體或加密程序

  • 嘗試提升權限

  • 與可疑端點的通訊

重要

ECS 的延伸威脅偵測需要 Fargate 或 EC2 的執行期監控,視您的 ECS 基礎設施類型而定。執行期監控會觀察在 Fargate 和 EC2 執行個體上執行的 ECS 容器內的行為。不支援 Managed EC2 執行個體上的 ECS。

偵測 Amazon EC2 執行個體群組中的攻擊序列

GuardDuty 可以識別影響個別執行個體的攻擊序列,或共用常見屬性的執行個體群組,例如 Auto Scaling 群組、IAM 執行個體描述檔、啟動範本、CloudFormation 堆疊、AMIs 或 VPC IDs。這些執行個體可能會展現可疑行為,例如惡意程序、惡意端點的連線、加密挖掘或 EC2 執行個體登入資料的異常使用。

攻擊序列調查結果會偵測下列威脅案例:

  • 執行易受攻擊服務的執行個體遭到入侵

  • 使用從發出憑證的 AWS 帳戶外部透過 IMDS 取得的 Amazon EC2 執行個體憑證

  • 用作攻擊的基礎設施,例如代理、掃描或拒絕服務

  • 未經授權執行可疑的工具、惡意軟體或加密程序

  • 與可疑端點的通訊

延伸威脅偵測有助於識別這些威脅。GuardDuty 將這些相關事件表示為稱為 的單一關鍵嚴重性調查結果AttackSequence:EC2/CompromisedInstanceGroup

若要增強 EC2 偵測功能的延伸威脅偵測,請啟用執行期監控。監控 CloudTrail 和網路活動的基礎 GuardDuty,以及觀察執行個體內程序行為和系統呼叫的執行期監控的組合,可提供更全面的威脅偵測。此整合式監控可讓 GuardDuty 偵測複雜的攻擊序列,例如透過設定錯誤的登入資料進行未經授權的存取、權限提升嘗試,以及未經授權存取敏感資料。透過關聯這些不同的訊號,GuardDuty 可以識別個別偵測可能遺漏的複雜攻擊模式,並映射完整的攻擊向量。

GuardDuty 主控台中的延伸威脅偵測

根據預設,GuardDuty 主控台中的延伸威脅偵測頁面會將狀態顯示為已啟用。透過基礎威脅偵測,狀態表示 GuardDuty 可以偵測在 Amazon S3 APIs並偵測後續的 S3 控制平面變更。

使用下列步驟存取 GuardDuty 主控台中的擴充威脅偵測頁面:

  1. 您可以在 https://console.aws.amazon.com/guardduty/:// 開啟 GuardDuty 主控台。

  2. 在左側導覽窗格中,選擇延伸威脅偵測

    此頁面提供延伸威脅偵測涵蓋之威脅案例的詳細資訊。

  3. 擴充威脅偵測頁面上,檢視相關保護計畫區段。如果您想要啟用專用保護計畫來增強帳戶中的威脅偵測涵蓋範圍,請選取該保護計畫的設定選項。

了解和管理攻擊序列調查結果

攻擊序列調查結果與您帳戶中的其他 GuardDuty 調查結果相同。您可以在 GuardDuty 主控台的調查結果頁面上檢視它們。如需檢視問題清單的資訊,請參閱 GuardDuty 主控台中的調查結果頁面

與其他 GuardDuty 調查結果類似,攻擊序列調查結果也會自動傳送至 Amazon EventBridge。根據您的設定,攻擊序列調查結果也會匯出到發佈目的地 (Amazon S3 儲存貯體)。若要設定新的發佈目的地或更新現有的發佈目的地,請參閱 將產生的調查結果匯出至 Amazon S3

其他資源

檢視下列各節,以進一步了解攻擊序列: