Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
GuardDuty Rilevamento esteso delle minacce
GuardDuty Extended Threat Detection rileva automaticamente gli attacchi in più fasi che riguardano fonti di dati, più tipi di AWS risorse e tempi, all'interno di un unico. Account AWS Grazie a questa funzionalità, GuardDuty si concentra sulla sequenza di più eventi che osserva monitorando diversi tipi di fonti di dati. Extended Threat Detection mette in correlazione questi eventi per identificare gli scenari che si presentano come una potenziale minaccia per l' AWS ambiente e quindi genera una ricerca della sequenza di attacco.
Una singola scoperta può comprendere un'intera sequenza di attacco. Ad esempio, potrebbe rilevare uno scenario come:
-
Un autore di minacce che ottiene l'accesso non autorizzato a un carico di lavoro di elaborazione.
-
L'attore esegue quindi una serie di azioni come aumentare i privilegi e stabilire la persistenza.
-
Infine, l'attore che esfiltra dati da una risorsa Amazon S3.
Extended Threat Detection copre gli scenari di minaccia che comportano compromissioni legate all'uso improprio AWS delle credenziali e tentativi di compromissione dei dati nell'azienda. Account AWS Per ulteriori informazioni, consulta tipi di ricerca delle sequenze di attacco.
A causa della natura di questi scenari di minaccia, GuardDuty considera critici tutti i tipi di ricerca delle sequenze di attacco.
L'elenco seguente fornisce informazioni chiave su Extended Threat Detection.
- Attivato per impostazione predefinita
-
Quando abiliti Amazon GuardDuty nel tuo account in uno specifico Regione AWS, anche Extended Threat Detection è abilitato per impostazione predefinita. Non sono previsti costi aggiuntivi associati all'utilizzo di Extended Threat Detection. Per impostazione predefinita, mette in correlazione tutti Origini dati fondamentali gli eventi. Tuttavia, abilitando più piani di GuardDuty protezione, come S3 Protection, si apriranno ulteriori tipi di rilevamenti delle sequenze di attacco ampliando la gamma di fonti di eventi. Ciò potrebbe contribuire a un'analisi delle minacce più completa e a un migliore rilevamento delle sequenze di attacco. Per ulteriori informazioni, consulta Abilita i piani di protezione correlati.
- Come funziona Extended Threat Detection?
-
GuardDuty mette in correlazione più eventi, tra cui le attività e GuardDuty i risultati delle API. Questi eventi sono chiamati segnali. A volte, possono verificarsi eventi nell'ambiente che, di per sé, non si presentano come una potenziale minaccia evidente. GuardDuty li definisce segnali deboli. Con Extended Threat Detection, GuardDuty identifica quando una sequenza di più azioni si allinea a un'attività potenzialmente sospetta e genera una sequenza di attacco rilevata nel tuo account. Queste azioni multiple possono includere segnali deboli e GuardDuty risultati già identificati nel tuo account.
GuardDuty è inoltre progettato per identificare potenziali comportamenti di attacco in corso o recenti (entro una finestra temporale di 24 ore) nel tuo account. Ad esempio, un attacco potrebbe iniziare quando un attore accede involontariamente a un carico di lavoro di elaborazione. L'attore eseguirebbe quindi una serie di passaggi, tra cui l'enumerazione, l'aumento dei privilegi e l'esfiltrazione delle credenziali. AWS Queste credenziali potrebbero essere potenzialmente utilizzate per ulteriori compromissioni o accessi malintenzionati ai dati.
- Pagina estesa di rilevamento delle minacce nella console GuardDuty
-
Per impostazione predefinita, la pagina Extended Threat Detection nella GuardDuty console mostra lo stato come Abilitato. Utilizza i seguenti passaggi per accedere alla pagina Extended Threat Detection nella GuardDuty console:
-
È possibile aprire la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/
. -
Nel riquadro di navigazione a sinistra, scegli Extended Threat Detection.
Questa pagina fornisce dettagli sugli scenari di minaccia coperti da Extended Threat Detection.
-
Se desideri abilitare S3 Protection nel tuo account, Abilitazione della protezione S3 in ambienti con più account consulta.
-
Altrimenti, non è richiesta alcuna azione in questa pagina.
-
-
- Comprensione e gestione dei risultati della sequenza di attacco
-
I risultati della sequenza di attacco sono identici agli altri GuardDuty risultati del tuo account. Puoi visualizzarli nella pagina Findings della GuardDuty console. Per informazioni sulla visualizzazione dei risultati, vederePagina dei risultati nella GuardDuty console.
Analogamente ad altri GuardDuty risultati, anche i risultati della sequenza di attacco vengono inviati automaticamente ad Amazon EventBridge. In base alle impostazioni, i risultati della sequenza di attacco vengono esportati anche in una destinazione di pubblicazione (bucket Amazon S3). Per impostare una nuova destinazione di pubblicazione o aggiornarne una esistente, consulta. Esportazione dei risultati generati in Amazon S3
Il video seguente fornisce una dimostrazione di come utilizzare Extended Threat Detection.
Abilita i piani di protezione correlati
Per qualsiasi GuardDuty account in una regione, la funzionalità Extended Threat Detection viene abilitata automaticamente. Per impostazione predefinita, questa funzionalità prende in considerazione tutti gli eventi multipliOrigini dati fondamentali. Per trarre vantaggio da questa funzionalità, non è necessario abilitare tutti i piani di GuardDuty protezione incentrati sui casi d'uso.
Extended Threat Detection è progettato in modo tale che, abilitando più piani di protezione, si possa migliorare l'ampiezza dei segnali di sicurezza per un'analisi completa delle minacce e la copertura delle sequenze di attacco. GuardDutyconsiglia di abilitare GuardDuty S3 Protection nel tuo account per i seguenti motivi:
- Vantaggio dell'abilitazione di S3 Protection con Extended Threat Detection
-
GuardDuty Per rilevare una sequenza di attacco che potrebbe includere la compromissione dei dati nei bucket Amazon Simple Storage Service (Amazon S3), devi abilitare S3 Protection nel tuo account. Questo aiuta a GuardDuty correlare segnali più diversi su più fonti di dati. GuardDuty utilizza un piano di protezione S3 dedicato per identificare i risultati che potrebbero potenzialmente costituire una delle molteplici fasi di una sequenza di attacco. Ad esempio, con il solo rilevamento delle GuardDuty minacce di base, è GuardDuty possibile identificare una potenziale sequenza di attacco a partire dall'attività di individuazione dei privilegi IAM su Amazon APIs S3 e rilevare le successive alterazioni del piano di controllo S3, come le modifiche che rendono la policy delle risorse del bucket più permissiva. Quando abiliti S3 Protection, ne amplia l'ambito di rilevamento delle minacce. GuardDuty Inoltre, acquisisce la capacità di rilevare potenziali attività di esfiltrazione dei dati che possono verificarsi dopo che l'accesso al bucket S3 diventa più permissivo.
Se S3 Protection non è abilitato, GuardDuty non sarà in grado di generare dati individuali. Tipi di risultati di protezione S3 Pertanto, non GuardDuty sarà in grado di rilevare sequenze di attacchi in più fasi che coinvolgono risultati associati. Pertanto, non GuardDuty sarà in grado di generare sequenze di attacchi associate alla compromissione dei dati.
Risorse aggiuntive
Visualizza le seguenti sezioni per comprendere meglio le sequenze di attacco:
-
Dopo aver appreso l'Extended Threat Detection e le sequenze di attacco, puoi generare esempi di tipi di ricerca delle sequenze di attacco seguendo i passaggi riportati di seguito. Risultati di esempio
Ulteriori informazioni su tipi di ricerca delle sequenze di attacco.
-
Esamina i risultati ed esplora i dettagli associati Dettagli del reperimento della sequenza di attacco a.
-
Assegna priorità e risolvi i tipi di ricerca delle sequenze di attacco seguendo i passaggi relativi alle risorse interessate associate in. Correzioni degli esiti
