Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
GuardDuty Erweiterte Bedrohungserkennung
GuardDuty Extended Threat Detection erkennt automatisch mehrstufige Angriffe, die sich über Datenquellen, mehrere AWS Ressourcentypen und einen Zeitraum erstrecken, innerhalb eines AWS-Konto. Mit dieser Funktion GuardDuty konzentriert es sich auf die Abfolge mehrerer Ereignisse, die es beobachtet, indem es verschiedene Arten von Datenquellen überwacht. Extended Threat Detection korreliert diese Ereignisse, um Szenarien zu identifizieren, die sich als potenzielle Bedrohung für Ihre AWS Umgebung darstellen, und generiert dann eine Ermittlung der Angriffssequenz.
Themen
Beispiele für Bedrohungsszenarien mit Angriffssequenz
Extended Threat Detection deckt Bedrohungsszenarien ab, die mit dem Missbrauch von AWS Anmeldeinformationen, Datenkompromittierungsversuchen in Amazon S3 S3-Buckets und der Kompromittierung von Containern und Kubernetes-Ressourcen in Amazon EKS-Clustern einhergehen. Ein einziger Befund kann eine gesamte Angriffssequenz umfassen. In der folgenden Liste werden beispielsweise die Szenarien beschrieben, bei denen Folgendes erkannt werden GuardDuty könnte:
- Beispiel 1 — Datenkompromittierung von AWS Anmeldedaten und Amazon S3 S3-Bucket-Daten
-
-
Ein Bedrohungsakteur, der sich unbefugten Zugriff auf einen Rechen-Workload verschafft.
-
Der Akteur führt dann eine Reihe von Aktionen durch, z. B. die Eskalation von Rechten und die Herstellung von Persistenz.
-
Schließlich exfiltriert der Akteur Daten aus einer Amazon S3 S3-Ressource.
-
- Beispiel 2 — Amazon EKS-Cluster-Kompromiss
-
-
Ein Bedrohungsakteur versucht, eine Container-Anwendung innerhalb eines Amazon EKS-Clusters auszunutzen.
-
Der Akteur verwendet diesen kompromittierten Container, um Token für privilegierte Dienstkonten zu erhalten.
-
Der Akteur nutzt dann diese erhöhten Rechte, um über Pod-Identitäten auf sensible Kubernetes-Geheimnisse oder AWS -Ressourcen zuzugreifen.
-
GuardDuty Betrachtet aufgrund der Art der damit verbundenen Bedrohungsszenarien alle Szenarien als kritisch. Arten der Suche nach Angriffssequenzen
Das folgende Video zeigt, wie Sie Extended Threat Detection verwenden können.
Funktionsweise
Wenn Sie Amazon GuardDuty in Ihrem Konto in einem bestimmten Bereich aktivieren AWS-Region, ist Extended Threat Detection standardmäßig ebenfalls aktiviert. Mit der Nutzung von Extended Threat Detection sind keine zusätzlichen Kosten verbunden. Standardmäßig werden alle Grundlegende Datenquellen Ereignisse miteinander korreliert. Wenn Sie jedoch mehr GuardDuty Schutzpläne wie S3 Protection, EKS Protection und Runtime Monitoring aktivieren, werden dadurch zusätzliche Arten der Erkennung von Angriffssequenzen eröffnet, da die Bandbreite der Ereignisquellen erweitert wird. Dies kann möglicherweise zu einer umfassenderen Bedrohungsanalyse und zur besseren Erkennung von Angriffssequenzen beitragen. Weitere Informationen finden Sie unter Aktivierung von Schutzplänen zur Maximierung der Bedrohungserkennung.
GuardDuty korreliert mehrere Ereignisse, einschließlich API-Aktivitäten und GuardDuty -Ergebnisse. Diese Ereignisse werden als Signale bezeichnet. Manchmal kann es in Ihrer Umgebung Ereignisse geben, die sich für sich genommen nicht als eindeutige potenzielle Bedrohung darstellen. GuardDuty bezeichnet sie als schwache Signale. GuardDuty Identifiziert mit Extended Threat Detection, wenn eine Abfolge mehrerer Aktionen auf eine potenziell verdächtige Aktivität zurückzuführen ist, und generiert eine Erkennung der Angriffssequenz in Ihrem Konto. Diese vielfältigen Aktionen können schwache Signale und bereits festgestellte GuardDuty Ergebnisse in Ihrem Konto beinhalten.
Anmerkung
Bei der Zuordnung von Ereignissen zu Angriffssequenzen berücksichtigt Extended Threat Detection archivierte Ergebnisse nicht, auch solche, die aufgrund von Unterdrückungsregeln automatisch archiviert werden. Dieses Verhalten stellt sicher, dass nur aktive, relevante Signale zur Erkennung der Angriffssequenz beitragen. Um sicherzustellen, dass Sie davon nicht betroffen sind, überprüfen Sie die bestehenden Unterdrückungsregeln in Ihrem Konto. Weitere Informationen finden Sie unter Verwenden von Unterdrückungsregeln mit Extended Threat Detection.
GuardDuty dient außerdem der Identifizierung potenzieller laufender oder kürzlich aufgetretener Angriffe (innerhalb eines fortlaufenden Zeitfensters von 24 Stunden) in Ihrem Konto. Ein Angriff könnte beispielsweise damit beginnen, dass sich ein Akteur unbeabsichtigt Zugriff auf eine Rechenlast verschafft. Der Akteur würde dann eine Reihe von Schritten ausführen, darunter die Aufzählung, die Eskalation von Rechten und die Exfiltration von Anmeldeinformationen. AWS Diese Anmeldeinformationen könnten möglicherweise für weitere Sicherheitslücken oder für den böswilligen Zugriff auf Daten verwendet werden.
Aktivierung von Schutzplänen zur Maximierung der Bedrohungserkennung
Die erweiterte Bedrohungserkennung wird automatisch für alle GuardDuty Konten aktiviert und wertet standardmäßig Signale aller im Konto aktivierten Schutzpläne aus. GuardDuty Grundlegende Datenquellen liefern wichtige Signale für die Erkennung verschiedener Angriffssequenzen. Mit einer grundlegenden Bedrohungserkennung GuardDuty kann beispielsweise eine potenzielle Angriffssequenz ausgehend von der Aktivität zur Erkennung von IAM-Rechten auf Amazon S3 APIs identifiziert und nachfolgende Änderungen der S3-Steuerungsebene erkannt werden, z. B. Änderungen, die die Bucket-Ressourcenrichtlinie toleranter machen. Andere Angriffssequenzen erfordern jedoch erweiterte Signale, die nur über erweiterte Schutzpläne wie Runtime Monitoring, S3 Protection und EKS Audit Log Monitoring verfügbar sind.
Themen
Erkennung von Angriffssequenzen in Amazon EKS-Clustern
GuardDuty Korrelierte mehrere Sicherheitssignale zwischen EKS-Auditprotokollen, dem Laufzeitverhalten von Prozessen und AWS API-Aktivitäten, um ausgeklügelte Angriffsmuster zu erkennen. Um von Extended Threat Detection for EKS zu profitieren, müssen Sie mindestens eine dieser Funktionen aktivieren — EKS-Schutz oder Runtime Monitoring (mit EKS-Add-on). EKS Protection überwacht die Aktivitäten auf der Kontrollebene anhand von Auditprotokollen, während Runtime Monitoring das Verhalten innerhalb von Containern beobachtet.
Für eine maximale Abdeckung und eine umfassende Bedrohungserkennung GuardDuty empfiehlt es sich, beide Schutzpläne zu aktivieren. Zusammen bieten sie einen vollständigen Überblick über Ihre EKS-Cluster und ermöglichen so GuardDuty die Erkennung komplexer Angriffsmuster. Es kann beispielsweise eine anomale Bereitstellung eines privilegierten Containers (erkannt mit EKS Protection) identifizieren, gefolgt von Persistenzversuchen, Krypto-Mining und Reverse-Shell-Erstellung innerhalb dieses Containers (erkannt mit Runtime Monitoring). GuardDuty stellt diese zusammenhängenden Ereignisse als einen einzigen Befund mit kritischem Schweregrad dar, der so genannten. AttackSequence:EKS/CompromisedCluster Wenn Sie beide Schutzpläne aktivieren, deckt die Ermittlung der Angriffssequenz die folgenden Bedrohungsszenarien ab:
-
Kompromittierung von Containern, auf denen anfällige Webanwendungen laufen
-
Unberechtigter Zugriff durch falsch konfigurierte Anmeldeinformationen
-
Versuche, Rechte zu eskalieren
-
Verdächtige API-Anfragen
-
Versuche, böswillig auf Daten zuzugreifen
Die folgende Liste enthält Einzelheiten darüber, wann diese speziellen Schutzpläne einzeln aktiviert werden:
- EKS-Schutz
-
Durch die Aktivierung von EKS GuardDuty Protection können Angriffssequenzen erkannt werden, die Aktivitäten der Amazon EKS-Cluster-Steuerebene betreffen. Auf diese Weise können GuardDuty EKS-Auditprotokolle und AWS API-Aktivitäten korreliert werden. GuardDuty Kann beispielsweise eine Angriffssequenz erkennen, bei der ein Akteur versucht, unbefugt auf Cluster-Geheimnisse zuzugreifen, die RBAC-Berechtigungen (RBAC) von Kubernetes ändert und privilegierte Pods erstellt. Weitere Informationen zur Aktivierung dieses Schutzplans finden Sie unter. EKS-Schutz
- Laufzeitüberwachung für Amazon EKS
-
Die Aktivierung von Runtime Monitoring für Amazon EKS-Cluster bietet die GuardDuty Möglichkeit, die Erkennung von EKS-Angriffssequenzen mit Transparenz auf Container-Ebene zu verbessern. Auf diese Weise GuardDuty können potenzielle bösartige Prozesse, verdächtiges Laufzeitverhalten und die mögliche Ausführung von Malware erkannt werden. GuardDuty Kann beispielsweise eine Angriffssequenz erkennen, bei der ein Container anfängt, verdächtiges Verhalten an den Tag zu legen, z. B. Krypto-Mining-Prozesse oder das Herstellen von Verbindungen zu bekannten bösartigen Endpunkten. Weitere Informationen zur Aktivierung dieses Schutzplans finden Sie unter. Laufzeitüberwachung
Wenn Sie EKS-Schutz oder Runtime Monitoring nicht aktivieren, können keine individuellen Arten der Suche nach EKS-Schutz oder generiert GuardDuty werdenRuntime Monitoring findet Typen. GuardDuty Wird daher nicht in der Lage sein, mehrstufige Angriffssequenzen zu erkennen, die zugehörige Ergebnisse beinhalten.
Erkennung von Angriffssequenzen in Amazon S3 S3-Buckets
Durch die Aktivierung von S3 Protection GuardDuty können Angriffssequenzen erkannt werden, bei denen versucht wird, Daten in Ihren Amazon S3 S3-Buckets zu kompromittieren. Ohne S3-Schutz GuardDuty kann erkannt werden, wenn Ihre S3-Bucket-Ressourcenrichtlinie zu freizügig wird. Wenn Sie S3 Protection aktivieren, ist es in der Lage GuardDuty , potenzielle Datenexfiltrationsaktivitäten zu erkennen, die auftreten können, nachdem Ihr S3-Bucket zu freizügig geworden ist.
Wenn S3 Protection nicht aktiviert ist, können keine GuardDuty individuellen Daten generiert werden. Suchtypen für den S3-Schutz Daher GuardDuty wird es nicht möglich sein, mehrstufige Angriffssequenzen zu erkennen, die zugehörige Ergebnisse beinhalten. Weitere Informationen zur Aktivierung dieses Schutzplans finden Sie unterS3-Schutz.
Erkennung von Angriffssequenzen in Amazon ECS-Clustern
GuardDuty kann Angriffssequenzen wie bösartige Prozesse, Verbindungen zu böswilligen Endpunkten oder Crypto-Mining-Verhalten innerhalb von ECS-Containern identifizieren. Durch die Korrelation verschiedener Signale in Bezug auf Netzwerkaktivität, Prozesslaufzeitverhalten und AWS API-Aktivität GuardDuty können komplexe Angriffsmuster identifiziert werden, die bei einzelnen Erkennungen möglicherweise übersehen werden, und der gesamte Angriffsvektor abgebildet werden.
GuardDuty stellt diese zusammenhängenden Ereignisse in Form eines einzigen Befundes mit kritischem Schweregrad dar, dem so genannten. AttackSequence:ECS/CompromisedCluster Die Ermittlung der Angriffssequenz deckt die folgenden Bedrohungsszenarien ab:
-
Kompromittierung von Containern, die anfällige Dienste ausführen
-
Unbefugte Ausführung verdächtiger Tools, Malware oder Cryptomining-Prozesse
-
Versuche, Rechte zu erweitern
-
Kommunikation mit verdächtigen Endpunkten
Wichtig
Extended Threat Detection for ECS erfordert je nach ECS-Infrastrukturtyp Runtime Monitoring für Fargate oder EC2. Runtime Monitoring beobachtet das Verhalten in ECS-Containern, die sowohl auf Fargate- als auch auf EC2-Instances ausgeführt werden. ECS auf verwalteten EC2-Instances wird nicht unterstützt.
Erkennung von Angriffssequenzen in Amazon EC2 EC2-Instanzgruppen
GuardDuty kann Angriffssequenzen identifizieren, die einzelne Instances oder Gruppen von Instances betreffen, die gemeinsame Attribute wie Auto Scaling Scaling-Gruppen, IAM-Instanzprofile, Startvorlagen, CloudFormation Stacks, AMIs oder VPC-IDs aufweisen. Diese Instances können verdächtige Verhaltensweisen wie bösartige Prozesse, Verbindungen zu böswilligen Endpunkten, Krypto-Mining oder eine abnormale Verwendung von EC2-Instance-Anmeldeinformationen aufweisen.
Bei der Suche nach der Angriffssequenz werden die folgenden Bedrohungsszenarien erkannt:
-
Gefährdung von Instanzen, auf denen anfällige Dienste ausgeführt werden
-
Verwendung von Amazon EC2 EC2-Instance-Anmeldeinformationen, die über IMDS von außerhalb des AWS Kontos abgerufen wurden, für das die Anmeldeinformationen ausgestellt wurden
-
Verwendung als Infrastruktur für Angriffe wie Proxy, Scannen oder Denial-of-Service
-
Unbefugte Ausführung verdächtiger Tools, Malware oder Cryptomining-Prozesse
-
Kommunikation mit verdächtigen Endpunkten
Extended Threat Detection hilft bei der Identifizierung dieser Bedrohungen. GuardDuty stellt diese zusammenhängenden Ereignisse in Form eines einzigen Befundes mit kritischem Schweregrad dar, dem so genannten. AttackSequence:EC2/CompromisedInstanceGroup
Um die Erkennungsfunktionen von Extended Threat Detection für EC2 zu verbessern, aktivieren Sie Runtime Monitoring. Die Kombination aus Basic GuardDuty, das die Netzwerkaktivität überwacht, CloudTrail und Runtime Monitoring, das Prozessverhalten und Systemaufrufen innerhalb von Instances beobachtet, ermöglicht eine umfassendere Bedrohungserkennung. Diese integrierte Überwachung ermöglicht GuardDuty die Erkennung ausgeklügelter Angriffssequenzen wie unbefugten Zugriff durch falsch konfigurierte Anmeldeinformationen, Versuche zur Eskalation von Rechten und unberechtigtem Zugriff auf vertrauliche Daten. Durch die Korrelation dieser verschiedenen Signale GuardDuty können komplexe Angriffsmuster identifiziert werden, die bei einzelnen Erkennungen möglicherweise übersehen werden, und der gesamte Angriffsvektor abgebildet werden.
Erweiterte Bedrohungserkennung in der Konsole GuardDuty
Standardmäßig wird auf der Seite „Erweiterte Bedrohungserkennung“ in der GuardDuty Konsole der Status „Aktiviert“ angezeigt. Bei der grundlegenden Bedrohungserkennung steht der Status dafür, dass eine potenzielle Angriffssequenz erkannt werden GuardDuty kann, die IAM-Rechteerkennungsaktivitäten auf Amazon S3 APIs und die Erkennung nachfolgender Änderungen der S3-Steuerebene umfasst.
Gehen Sie wie folgt vor, um die Seite Extended Threat Detection in der Konsole aufzurufen: GuardDuty
-
Sie können die GuardDuty Konsole unter öffnen https://console.aws.amazon.com/guardduty/
. -
Wählen Sie im linken Navigationsbereich Extended Threat Detection aus.
Diese Seite enthält Einzelheiten zu den Bedrohungsszenarien, die von Extended Threat Detection abgedeckt werden.
-
Sehen Sie sich auf der Seite Extended Threat Detection den Abschnitt Verwandte Schutzpläne an. Wenn Sie spezielle Schutzpläne aktivieren möchten, um den Schutz vor Bedrohungserkennung in Ihrem Konto zu erhöhen, wählen Sie die Option Konfigurieren für diesen Schutzplan aus.
Die Ergebnisse der Angriffssequenz verstehen und verwalten
Die Ergebnisse der Angriffssequenz sind genau wie andere GuardDuty Ergebnisse in Ihrem Konto. Sie können sie auf der Seite mit den Ergebnissen in der GuardDuty Konsole einsehen. Informationen zum Anzeigen von Ergebnissen finden Sie unterSeite mit den Ergebnissen in der GuardDuty Konsole.
Ähnlich wie bei anderen GuardDuty Ergebnissen werden auch die Ergebnisse der Angriffssequenz automatisch an Amazon gesendet EventBridge. Basierend auf Ihren Einstellungen werden die Ergebnisse der Angriffssequenz auch an ein Veröffentlichungsziel (Amazon S3 S3-Bucket) exportiert. Informationen zum Festlegen eines neuen Veröffentlichungsziels oder zum Aktualisieren eines vorhandenen finden Sie unterGenerierte Ergebnisse nach Amazon S3 exportieren.
Weitere Ressourcen
Lesen Sie die folgenden Abschnitte, um mehr über Angriffssequenzen zu erfahren:
-
Nachdem Sie sich mit der erweiterten Bedrohungserkennung und den Angriffssequenzen vertraut gemacht haben, können Sie anhand der unter beschriebenen Schritte Beispiele für die Suche nach Angriffssequenzen generierenBeispielerkenntnisse.
Erfahren Sie mehr über Arten der Suche nach Angriffssequenzen.
-
Überprüfen Sie die Ergebnisse und untersuchen Sie die Einzelheiten der Ergebnisse im Zusammenhang mitEinzelheiten zur Suche nach der Angriffssequenz.
-
Priorisieren und beheben Sie die Arten der Erkennung von Angriffssequenzen, indem Sie die Schritte für die zugehörigen betroffenen Ressourcen unter befolgen. Behebung von Erkenntnissen
