Amazon GuardDuty扩展威胁检测能力至Amazon EKS集群

Amazon GuardDuty宣布扩展威胁检测功能至Amazon EKS集群,通过关联EKS审计日志、运行时行为、恶意软件执行和AWS API活动,检测复杂的多阶段攻击,提供MITRE ATT&CK映射和修复建议,增强容器化应用安全。

Amazon GuardDuty扩展威胁检测覆盖至Amazon EKS集群

今天,我很高兴宣布Amazon GuardDuty扩展威胁检测功能,扩大了对Amazon Elastic Kubernetes Service(Amazon EKS)的覆盖范围,这一功能基于我们在AWS re:Invent 2024上发布的Amazon GuardDuty扩展威胁检测:AI/ML攻击序列识别以增强云安全的能力。

管理Kubernetes工作负载的安全团队通常难以检测针对容器化应用的复杂多阶段攻击。这些攻击可能涉及容器利用、权限提升和在Amazon EKS集群内的未授权移动。传统监控方法可能检测到个别可疑事件,但往往错过跨不同数据源和时间段的更广泛攻击模式。

GuardDuty扩展威胁检测引入了一种新的关键严重性发现类型,自动关联Amazon EKS审计日志、与EKS集群关联的进程运行时行为、EKS集群中的恶意软件执行以及AWS API活动中的安全信号,以识别可能被忽略的复杂攻击模式。例如,GuardDuty现在可以检测攻击序列,其中威胁行为者利用容器应用、获取特权服务账户令牌,然后使用这些提升的权限访问敏感的Kubernetes机密或AWS资源。

这一新功能使用GuardDuty关联算法观察和识别指示潜在入侵的行动序列。它评估跨保护计划和其他信号源的发现,以识别常见和新兴的攻击模式。对于每个检测到的攻击序列,GuardDuty提供全面的详细信息,包括可能受影响的资源、事件时间线、涉及的行为者以及用于检测序列的指标。这些发现还将观察到的活动映射到MITRE ATT&CK®战术和技术,并提供基于AWS最佳实践的修复建议,帮助安全团队理解威胁的性质。

要为EKS启用扩展威胁检测,您需要至少启用以下功能之一:EKS保护或运行时监控。为了获得最大检测覆盖,我们建议同时启用两者以增强检测能力。EKS保护通过审计日志监控控制平面活动,运行时监控观察容器内的行为。它们共同创建了EKS集群的完整视图,使GuardDuty能够检测复杂的攻击模式。

工作原理

要使用新的Amazon GuardDuty扩展威胁检测功能于EKS集群,请转到GuardDuty控制台,在您的账户中启用EKS保护。从右上角的区域选择器中,选择您要启用EKS保护的区域。在导航窗格中,选择EKS保护。在EKS保护页面上,查看当前状态并选择启用。选择确认以保存您的选择。

启用后,GuardDuty立即开始监控来自您EKS集群的EKS审计日志,无需任何额外配置。GuardDuty通过独立流直接从EKS控制平面消费这些审计日志,这不会影响任何现有的日志配置。对于多账户环境,只有委派的GuardDuty管理员账户可以为成员账户启用或禁用EKS保护,并为加入组织的新账户配置自动启用设置。

要启用运行时监控,请在导航窗格中选择运行时监控。在配置选项卡下,选择启用以为您的账户启用运行时监控。

现在,您可以从摘要仪表板查看专门与Kubernetes集群入侵相关的攻击序列和关键发现。您可以观察到GuardDuty识别Kubernetes环境中的复杂攻击模式,例如凭据泄露事件和EKS集群内的可疑活动。按严重性、资源影响和攻击类型的发现可视化表示,为您提供了Amazon EKS安全状况的整体视图。这意味着您可以优先处理对容器化工作负载最关键的威胁。

发现详情页面

发现详情页面提供了针对EKS集群的复杂攻击序列的可见性,帮助您理解潜在入侵的完整范围。GuardDuty将信号关联到时间线中,将观察到的行为映射到MITRE ATT&CK®战术和技术,例如账户操纵、资源劫持和权限提升。这种细粒度的洞察揭示了攻击者如何在您的Amazon EKS环境中进展。它识别受影响的资源,如EKS工作负载和服务账户。指标、行为者和端点的详细分解为您提供了可操作的上下文,以理解攻击模式、确定影响并优先处理修复工作。通过将这些安全洞察整合到一个连贯的视图中,您可以快速评估Amazon EKS安全事件的严重性,减少调查时间,并实施有针对性的对策来保护您的容器化应用。

资源部分

发现详情页面的资源部分显示了在攻击序列中受影响的特定资产的上下文。这个统一的资源列表为您提供了入侵确切范围的可见性——从初始访问到目标Kubernetes组件。由于GuardDuty包括详细属性,如资源类型、标识符、创建日期和命名空间信息,您可以快速评估容器化基础设施的哪些组件需要立即关注。这种聚焦方法消除了事件响应期间的猜测,因此您可以优先处理最关键的受影响资源的修复工作,并最小化Amazon EKS目标攻击的潜在爆炸半径。

现已可用

Amazon GuardDuty扩展威胁检测功能扩大了对Amazon EKS集群的覆盖范围,为您的Kubernetes环境提供了全面的安全监控。您可以使用此功能通过关联不同数据源的事件来检测复杂的多阶段攻击,识别传统监控可能错过的攻击序列。

要开始使用此扩展覆盖,请在您的GuardDuty设置中启用EKS保护,并考虑添加运行时监控以增强检测能力。

有关此新功能的更多信息,请参阅Amazon GuardDuty文档。

— Esra

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次