As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
GuardDuty Detecção estendida de ameaças
GuardDuty O Extended Threat Detection detecta automaticamente ataques em vários estágios que abrangem fontes de dados, vários tipos de AWS recursos e tempo, dentro de um. Conta da AWS Com esse recurso, GuardDuty concentra-se na sequência de vários eventos que ele observa monitorando diferentes tipos de fontes de dados. O Extended Threat Detection correlaciona esses eventos para identificar cenários que se apresentam como uma ameaça potencial ao seu AWS ambiente e, em seguida, gera uma descoberta da sequência de ataque.
Uma única descoberta pode abranger uma sequência de ataque inteira. Por exemplo, ele pode detectar um cenário como:
-
Um agente de ameaça obtendo acesso não autorizado a uma carga de trabalho computacional.
-
O ator então executa uma série de ações, como escalonamento de privilégios e estabelecimento de persistência.
-
Finalmente, o ator exfiltra dados de um recurso do Amazon S3.
O Extended Threat Detection abrange cenários de ameaças que envolvem comprometimento relacionado ao uso indevido de AWS credenciais e tentativas de comprometimento de dados em seu. Contas da AWS Para obter mais informações, consulte Tipos de localização de sequências de ataque.
Devido à natureza desses cenários de ameaça, GuardDuty considera todos os tipos de descoberta de sequências de ataque como críticos.
A lista a seguir fornece informações importantes sobre a Detecção Estendida de Ameaças.
- Ativado por padrão
-
Quando você ativa a Amazon GuardDuty em sua conta em uma área específica Região da AWS, a Detecção Estendida de Ameaças também é ativada por padrão. Não há custo adicional associado ao uso da Detecção Estendida de Ameaças. Por padrão, ele correlaciona eventos em todos. Fontes de dados fundamentais No entanto, quando você ativa mais planos de GuardDuty proteção, como o S3 Protection, isso abrirá tipos adicionais de detecções de sequência de ataque, ampliando a variedade de fontes de eventos. Isso potencialmente ajudará com uma análise de ameaças mais abrangente e com uma melhor detecção das sequências de ataque. Para obter mais informações, consulte Ativar planos de proteção relacionados.
- Como funciona a detecção estendida de ameaças?
-
GuardDuty correlaciona vários eventos, incluindo API atividades e GuardDuty descobertas. Esses eventos são chamados de Sinais. Às vezes, pode haver eventos em seu ambiente que, por si só, não se apresentam como uma clara ameaça potencial. GuardDuty os chama de sinais fracos. Com o Extended Threat Detection, GuardDuty identifica quando uma sequência de várias ações se alinha a uma atividade potencialmente suspeita e gera uma sequência de ataque encontrada em sua conta. Essas várias ações podem incluir sinais fracos e GuardDuty descobertas já identificadas em sua conta.
GuardDuty também foi projetado para identificar possíveis comportamentos de ataque em andamento ou recentes (dentro de uma janela contínua de 24 horas) em sua conta. Por exemplo, um ataque pode começar quando um ator obtém acesso não intencional a uma carga de trabalho computacional. O ator então executaria uma série de etapas, incluindo enumeração, escalonamento de privilégios e exfiltração de credenciais. AWS Essas credenciais poderiam ser usadas para comprometimento adicional ou acesso malicioso aos dados.
- Página estendida de detecção de ameaças no GuardDuty console
-
Por padrão, a página Detecção estendida de ameaças no GuardDuty console exibe o status como Ativado. Use as etapas a seguir para acessar a página Extended Threat Detection no GuardDuty console:
-
Você pode abrir o GuardDuty console em https://console.aws.amazon.com/guardduty/
. -
No painel de navegação esquerdo, escolha Detecção estendida de ameaças.
Esta página fornece detalhes sobre os cenários de ameaças abordados pelo Extended Threat Detection.
-
Se você quiser ativar o S3 Protection em sua conta, consulteHabilitando a Proteção do S3 em ambientes de várias contas.
-
Caso contrário, não há nenhuma ação necessária nesta página.
-
-
- Entendendo e gerenciando as descobertas da sequência de ataque
-
As descobertas da sequência de ataque são iguais às outras GuardDuty descobertas em sua conta. Você pode visualizá-las na página Descobertas no GuardDuty console. Para obter informações sobre como visualizar as descobertas, consultePágina de descobertas no GuardDuty console.
Semelhante a outras GuardDuty descobertas, as descobertas da sequência de ataques também são enviadas automaticamente para a Amazon EventBridge. Com base nas suas configurações, os resultados da sequência de ataque também são exportados para um destino de publicação (Amazon S3 bucket). Para definir um novo destino de publicação ou atualizar um existente, consulteExportar as descobertas geradas para bucket do Amazon S3.
O vídeo a seguir mostra como você pode usar a Detecção Estendida de Ameaças.
Ativar planos de proteção relacionados
Para qualquer GuardDuty conta em uma região, o recurso Extended Threat Detection é ativado automaticamente. Por padrão, esse recurso leva em consideração os vários eventos em todosFontes de dados fundamentais. Para se beneficiar desse recurso, você não precisa habilitar todos os planos de GuardDuty proteção focados no caso de uso.
A Detecção Estendida de Ameaças foi projetada de forma que, se você habilitar mais planos de proteção, isso aumentará a amplitude dos sinais de segurança para uma análise abrangente de ameaças e cobertura das sequências de ataque. GuardDutyrecomenda ativar o GuardDuty S3 Protection em sua conta pelos seguintes motivos:
- Benefício de ativar a proteção S3 com detecção estendida de ameaças
-
GuardDuty Para detectar uma sequência de ataque que potencialmente inclua comprometimento de dados em seus buckets do Amazon Simple Storage Service (Amazon S3), você deve habilitar a Proteção S3 em sua conta. Isso ajuda a GuardDuty correlacionar sinais mais diversos em várias fontes de dados. GuardDuty usa um plano de proteção S3 dedicado para identificar descobertas que poderiam ser um dos vários estágios em uma sequência de ataque. Por exemplo, apenas com a detecção GuardDuty básica de ameaças, é GuardDuty possível identificar uma sequência de ataque potencial a partir da atividade de descoberta de IAM privilégios no Amazon APIs S3 e detectar alterações subsequentes no plano de controle do S3, como alterações que tornam a política de recursos do bucket mais permissiva. Quando você ativa o S3 Protection, GuardDuty expande seu escopo de detecção de ameaças. Ele também ganha a capacidade de detectar possíveis atividades de exfiltração de dados que podem ocorrer após o acesso ao bucket do S3 se tornar mais permissivo.
Se o S3 Protection não estiver ativado, não GuardDuty será possível gerar indivíduosTipos de descoberta da Proteção do S3. Portanto, não GuardDuty será capaz de detectar sequências de ataque em vários estágios que envolvam descobertas associadas. Portanto, não GuardDuty será possível gerar sequências de ataque associadas ao comprometimento dos dados.
Recursos adicionais
Veja as seções a seguir para entender melhor as sequências de ataque:
-
Depois de aprender sobre a Detecção Estendida de Ameaças e as sequências de ataque, você pode gerar exemplos de tipos de localização de sequências de ataque seguindo as etapas emDescobertas de exemplo.
Saiba mais sobre o Tipos de localização de sequências de ataque.
-
Analise as descobertas e explore os detalhes da descoberta associados Detalhes de busca da sequência de ataque a.
-
Priorize e resolva os tipos de descoberta de sequências de ataque seguindo as etapas dos recursos afetados associados em. Correção de descobertas
