Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
GuardDuty Deteksi Ancaman Diperpanjang
GuardDuty Extended Threat Detection secara otomatis mendeteksi serangan multi-tahap yang menjangkau sumber data, berbagai jenis AWS sumber daya, dan waktu, dalam file. Akun AWS Dengan kemampuan ini, GuardDuty berfokus pada urutan beberapa peristiwa yang diamati dengan memantau berbagai jenis sumber data. Extended Threat Detection menghubungkan peristiwa-peristiwa ini untuk mengidentifikasi skenario yang menampilkan diri sebagai ancaman potensial terhadap AWS lingkungan Anda, dan kemudian menghasilkan temuan urutan serangan.
Sebuah temuan tunggal dapat mencakup seluruh urutan serangan. Misalnya, mungkin mendeteksi skenario seperti:
-
Aktor ancaman mendapatkan akses tidak sah ke beban kerja komputasi.
-
Aktor kemudian melakukan serangkaian tindakan seperti eskalasi hak istimewa dan membangun ketekunan.
-
Akhirnya, aktor mengeksfiltrasi data dari sumber daya Amazon S3.
Extended Threat Detection mencakup skenario ancaman yang melibatkan kompromi yang terkait dengan penyalahgunaan AWS kredensil, dan upaya kompromi data dalam diri Anda. Akun AWS Untuk informasi selengkapnya, lihat Jenis pencarian urutan serangan.
Karena sifat skenario ancaman ini, GuardDuty menganggap semua jenis pencarian urutan serangan sebagai Kritis.
Daftar berikut memberikan informasi penting tentang Extended Threat Detection.
- Diaktifkan secara default
-
Saat Anda mengaktifkan Amazon GuardDuty di akun Anda secara spesifik Wilayah AWS, Deteksi Ancaman Diperpanjang juga diaktifkan secara default. Tidak ada biaya tambahan yang terkait dengan penggunaan Extended Threat Detection. Secara default, ini mengkorelasikan peristiwa di semua. Sumber data dasar Namun, ketika Anda mengaktifkan lebih banyak rencana GuardDuty perlindungan, seperti Perlindungan S3, ini akan membuka jenis deteksi urutan serangan tambahan dengan memperluas jangkauan sumber peristiwa. Ini berpotensi membantu dengan analisis ancaman yang lebih komprehensif dan deteksi urutan serangan yang lebih baik. Untuk informasi selengkapnya, lihat Aktifkan rencana perlindungan terkait.
- Bagaimana Extended Threat Detection bekerja?
-
GuardDuty mengkorelasikan beberapa peristiwa, termasuk API kegiatan dan GuardDuty temuan. Peristiwa ini disebut Sinyal. Terkadang, mungkin ada peristiwa di lingkungan Anda yang, dengan sendirinya, tidak menampilkan diri sebagai ancaman potensial yang jelas. GuardDuty menyebutnya sebagai sinyal lemah. Dengan Extended Threat Detection, GuardDuty mengidentifikasi kapan urutan beberapa tindakan sejajar dengan aktivitas yang berpotensi mencurigakan, dan menghasilkan temuan urutan serangan di akun Anda. Berbagai tindakan ini dapat mencakup sinyal lemah dan GuardDuty temuan yang sudah diidentifikasi di akun Anda.
GuardDuty juga dirancang untuk mengidentifikasi potensi perilaku serangan yang sedang berlangsung atau baru-baru ini (dalam jangka waktu 24 jam) di akun Anda. Misalnya, serangan bisa dimulai oleh aktor yang mendapatkan akses yang tidak diinginkan ke beban kerja komputasi. Aktor kemudian akan melakukan serangkaian langkah, termasuk enumerasi, eskalasi hak istimewa, dan eksfiltrasi kredensil. AWS Kredensil ini berpotensi digunakan untuk kompromi lebih lanjut atau akses berbahaya ke data.
- Halaman Deteksi Ancaman yang Diperpanjang di GuardDuty konsol
-
Secara default, halaman Extended Threat Detection di GuardDuty konsol menampilkan Status sebagai Diaktifkan. Gunakan langkah-langkah berikut untuk mengakses halaman Extended Threat Detection di GuardDuty konsol:
-
Anda dapat membuka GuardDuty konsol di https://console.aws.amazon.com/guardduty/
. -
Di panel navigasi kiri, pilih Extended Threat Detection.
Halaman ini memberikan detail tentang skenario ancaman yang dicakup oleh Extended Threat Detection.
-
Jika Anda ingin mengaktifkan Perlindungan S3 di akun Anda, lihatMengaktifkan Perlindungan S3 di lingkungan beberapa akun.
-
Jika tidak, tidak ada tindakan yang diperlukan di halaman ini.
-
-
- Memahami dan mengelola temuan urutan serangan
-
Temuan urutan serangan sama seperti GuardDuty temuan lain di akun Anda. Anda dapat melihatnya di halaman Temuan di GuardDuty konsol. Untuk informasi tentang melihat temuan, lihatHalaman temuan di GuardDuty konsol.
Mirip dengan GuardDuty temuan lain, temuan urutan serangan juga secara otomatis dikirim ke Amazon EventBridge. Berdasarkan pengaturan Anda, temuan urutan serangan juga diekspor ke tujuan penerbitan (bucket Amazon S3). Untuk menetapkan tujuan penerbitan baru atau memperbarui yang sudah ada, lihatMengekspor temuan yang dihasilkan ke Amazon S3.
Video berikut memberikan demonstrasi bagaimana Anda dapat menggunakan Extended Threat Detection.
Aktifkan rencana perlindungan terkait
Untuk GuardDuty akun apa pun di Wilayah, kemampuan Deteksi Ancaman Diperpanjang diaktifkan secara otomatis. Secara default, kemampuan ini mempertimbangkan beberapa peristiwa di semuaSumber data dasar. Untuk memanfaatkan kemampuan ini, Anda tidak perlu mengaktifkan semua rencana GuardDuty perlindungan yang berfokus pada kasus penggunaan.
Extended Threat Detection dirancang sedemikian rupa sehingga jika Anda mengaktifkan lebih banyak rencana perlindungan, ini akan meningkatkan luasnya sinyal keamanan untuk analisis ancaman komprehensif dan cakupan urutan serangan. GuardDutymerekomendasikan mengaktifkan Perlindungan GuardDuty S3 di akun Anda karena alasan berikut:
- Manfaat mengaktifkan Perlindungan S3 dengan Deteksi Ancaman yang Diperpanjang
-
GuardDuty Untuk mendeteksi urutan serangan yang berpotensi menyertakan kompromi data di bucket Amazon Simple Storage Service (Amazon S3), Anda harus mengaktifkan Perlindungan S3 di akun Anda. Ini membantu GuardDuty mengkorelasikan sinyal yang lebih beragam di berbagai sumber data. GuardDuty menggunakan rencana Perlindungan S3 khusus untuk mengidentifikasi temuan yang berpotensi menjadi salah satu dari beberapa tahap dalam urutan serangan. Misalnya, dengan deteksi ancaman GuardDuty dasar saja, GuardDuty dapat mengidentifikasi urutan serangan potensial mulai dari aktivitas penemuan IAM hak istimewa di Amazon APIs S3, dan mendeteksi perubahan bidang kontrol S3 berikutnya, seperti perubahan yang membuat kebijakan sumber daya bucket lebih permisif. Saat Anda mengaktifkan Perlindungan S3, GuardDuty memperluas cakupan deteksi ancamannya. Ini juga memperoleh kemampuan untuk mendeteksi aktivitas eksfiltrasi data potensial yang mungkin terjadi setelah akses bucket S3 menjadi lebih permisif.
Jika Perlindungan S3 tidak diaktifkan, tidak GuardDuty akan dapat menghasilkan individuJenis temuan Perlindungan S3. Oleh karena itu, tidak GuardDuty akan dapat mendeteksi urutan serangan multi-tahap yang melibatkan temuan terkait. Oleh karena itu, tidak GuardDuty akan dapat menghasilkan urutan serangan yang terkait dengan kompromi data.
Sumber daya tambahan
Lihat bagian berikut untuk mendapatkan pemahaman lebih lanjut tentang urutan serangan:
-
Setelah mempelajari tentang Extended Threat Detection dan urutan serangan, Anda dapat menghasilkan contoh jenis pencarian urutan serangan dengan mengikuti langkah-langkahnya. Sampel temuan
Pelajari tentang Jenis pencarian urutan serangan.
-
Tinjau temuan dan jelajahi detail temuan yang terkait denganDetail pencarian urutan serangan.
-
Prioritaskan dan atasi jenis pencarian urutan serangan dengan mengikuti langkah-langkah untuk sumber daya yang terkena dampak terkait di. Mengatasi temuan
