AWS 宣布推出 Amazon GuardDuty 扩展威胁检测功能,该功能利用 AI/ML 功能来改进应用程序、工作负载和数据的威胁检测。GuardDuty 扩展威胁检测功能采用先进的 AI/ML 来识别已知和以前未知的攻击序列,为云安全提供更全面、更主动的方法。此增强功能可解决现代云环境日益增长的复杂性和安全威胁不断变化的形势,从而简化威胁检测和响应。
许多组织面临着有效分析和响应其云环境中产生的大量安全事件的挑战。随着安全威胁的频率和复杂程度不断增加,有效检测和响应随时间推移而发生的事件序列攻击变得更具挑战性。安全团队通常难以将可能构成更大规模攻击一部分的相关活动拼凑在一起,可能会错过关键威胁或响应太晚而无法阻止重大影响。
为了应对这些挑战,我们扩展了 GuardDuty 的威胁检测功能,使其包含新的 AI/ML 功能,这些功能可关联安全信号以识别 AWS 环境中的活动攻击序列。这些序列可能包括攻击者采取的多个步骤,例如权限发现、API 操控、持久性活动和数据渗漏。这些检测表示为攻击序列发现,这是一种具有严重严重级别的新型 GuardDuty 发现。以前,GuardDuty 从未使用过严重严重级别,将此级别保留给具有最大置信度和紧急性的发现。这些新发现引入了严重严重级别,其中包括对威胁性质和重要性的自然语言摘要、映射到 MITRE ATT&CK® 框架中的策略和技术的观察到的活动,以及基于 AWS 最佳实践的规范性补救建议。
GuardDuty 扩展威胁检测功能引入了新的攻击序列发现,并改进了凭证渗漏、权限提升和数据渗漏等领域中现有检测的可操作性。此增强功能使 GuardDuty 能够提供跨账户内多个数据源、时间段和资源的复合检测,让您可以更全面地了解复杂的云攻击。
