入門概念 | Amazon GuardDuty應(yīng)用場(chǎng)景有哪些��?
May 28th, 2024 by Anna
存在賬戶盜用的活動(dòng)
例如在一天之中的非典型時(shí)間從異常地理位置訪問 AWS 資源��。對(duì)于編程 AWS 賬戶���,
GuardDuty 能夠檢查異常 API 調(diào)用���,例如試圖通過禁用 CloudTrail 日志記錄或從惡意 IP 地址創(chuàng)建數(shù)據(jù)庫(kù)快照掩蓋賬戶活動(dòng)�。
攻擊者在進(jìn)行偵察的活動(dòng)
例如 API 活動(dòng)異常、可疑的數(shù)據(jù)庫(kù)登錄嘗試�、
VPC 內(nèi)部端口掃描���、登錄請(qǐng)求失敗模式異?�;蛭幢蛔柚沟膩碜砸阎涣?IP 地址的端口探測(cè)。
存在實(shí)例盜用的活動(dòng)
例如加密貨幣挖礦、后門命令和控制(C&C)活動(dòng)�����、Amazon EC2 的運(yùn)行時(shí)活動(dòng)�、使用域名生成算法(DGA)的惡意軟件、出站拒絕服務(wù)活動(dòng)�、網(wǎng)絡(luò)流量異常高����、
網(wǎng)絡(luò)協(xié)議異常�����、與已知惡意 IP 進(jìn)行出站實(shí)例通信��、外部 IP 地址使用 Amazon EC2 臨時(shí)憑證以及使用 DNS 造成數(shù)據(jù)外泄。
存在存儲(chǔ)桶入侵的活動(dòng)
例如表明憑證濫用的可疑數(shù)據(jù)訪問模式���、來自遠(yuǎn)程主機(jī)的異常 Amazon S3 API 活動(dòng)��、來自已知惡意 IP 地址的未授權(quán) S3 訪問��,
以及用戶為在 S3 存儲(chǔ)桶中檢索數(shù)據(jù)而進(jìn)行的 API 調(diào)用,該用戶之前沒有訪問存儲(chǔ)桶的歷史記錄或者從異常位置進(jìn)行了調(diào)用�����。
Amazon GuardDuty 會(huì)持續(xù)監(jiān)控和分析 AWS CloudTrail S3 數(shù)據(jù)事件(例如 GetObject、ListObjects、DeleteObject)�,
以檢測(cè)您所有 Amazon S3 存儲(chǔ)桶中的可疑活動(dòng)�。
EC2 實(shí)例或容器工作負(fù)載中存在惡意軟件
GuardDuty 生成掛載到 EC2 實(shí)例或容器工作負(fù)載等的 Amazon EBS 卷的臨時(shí)副本����,并掃描這些卷副本是否存在木馬、
蠕蟲、加密礦工、rootkit����、自動(dòng)程序和更多威脅�,它們可能會(huì)被用于盜用工作負(fù)載�����、將資源重新用于惡意用途�����,以及獲得對(duì)數(shù)據(jù)的未經(jīng)授權(quán)訪問。
GuardDuty 惡意軟件防護(hù)生成情景化的檢測(cè)結(jié)果�����,可用于驗(yàn)證可疑行為的來源�。這些檢測(cè)結(jié)果可以傳送給適當(dāng)?shù)墓芾韱T,并發(fā)起自動(dòng)修復(fù)。
存在容器盜用的活動(dòng)
通過分析其 EKS 審計(jì)日志和 Amazon EKS 或 Amazon ECS 中的容器運(yùn)行時(shí)活動(dòng)����,對(duì) Amazon EKS 集群進(jìn)行持續(xù)監(jiān)控和分析,從而檢測(cè)出容器工作負(fù)載中可能存在的惡意或可疑行為�����。