亚马逊AWS官方博客

推出 Amazon GuardDuty 扩展威胁检测功能,扩大 Amazon EKS 集群覆盖范围

现在,我们很高兴地宣布,AWS 正式推出 Amazon GuardDuty 扩展威胁检测功能,扩大了 Amazon Elastic Kubernetes Service(Amazon EKS)的覆盖范围,其基础是我们在 AWS re:Invent 2024 上发布的功能,请参阅 Amazon GuardDuty 扩展威胁检测:用于增强云安全性的人工智能/机器学习攻击序列识别

管理 Kubernetes 工作负载的安全团队通常难以检测出针对容器化应用程序的复杂多阶段攻击。这些攻击可能涉及容器利用、权限提升以及在 Amazon EKS 集群内进行未经授权的移动。传统的监控方法可能会检测到个别的可疑事件,但往往会忽略跨越这些不同数据来源和时间段的更广泛的攻击模式。

GuardDuty 扩展威胁检测引入了一种新的严重性调查发现类型,会自动关联 Amazon EKS 审计日志中的安全信号、与 EKS 集群相关的进程的运行时行为、EKS 集群中的恶意软件执行以及 AWS API 活动,进而识别原本可能被忽视的复杂攻击模式。例如,GuardDuty 现在可以检测威胁行为者利用容器应用程序、获取特权服务账户令牌,然后使用这些提升的权限访问敏感的 Kubernetes 密钥或 AWS 资源的攻击序列。

这项新功能使用 GuardDuty 关联算法来观察并识别表明潜在危害的操作序列。该功能评估保护计划和其他信号源的调查发现,进而确定常见和新出现的攻击模式。对于检测到的每个攻击序列,GuardDuty 提供全面的详细信息,包括可能受影响的资源、事件时间表、所涉及的行为者以及用于检测序列的指标。调查发现还将观察到的活动映射到 MITRE ATT&CK® 策略和技术以及基于 AWS 最佳实践的补救建议,帮助安全团队了解威胁的性质。

要为 EKS 启用扩展威胁检测,您需要启用以下至少一项功能:EKS 保护运行时监控。为了最大限度地提高检测覆盖范围,我们建议同时启用这两项功能以增强检测能力。EKS 保护通过审计日志监控控制面板活动,运行时监控观察容器内的行为。这两项功能共同创建了您的 EKS 集群的完整视图,使 GuardDuty 能够检测复杂的攻击模式。

工作原理

要对 EKS 集群使用新的 Amazon GuardDuty 扩展威胁检测,请前往 GuardDuty 控制台,在您的账户中启用 EKS 保护。从右上角的区域选择器中,选择要启用 EKS 保护的区域。在导航窗格中,选择 EKS 保护。在 EKS 保护页面上,查看当前状态并选择启用。选择确认保存您的选择。

启用后,GuardDuty 立即开始监控来自 EKS 集群的 EKS 审计日志,无需任何额外配置。GuardDuty 通过独立流直接从 EKS 控制面板使用这些审计日志,这不会影响任何现有的日志记录配置。对于多账户环境,只有委派的 GuardDuty 管理员账户可以为成员账户启用或禁用 EKS 保护,并为加入组织的新账户配置自动启用设置。

要启用运行时监控,请在导航窗格中选择运行时监控。在配置选项卡下,选择启用,为您的账户启用运行时监控。

现在,您可以从摘要控制面板查看与 Kubernetes 集群危害特别相关的攻击序列和关键调查发现。您可以观察到,GuardDuty 可识别 Kubernetes 环境中的复杂攻击模式,例如凭证泄露事件和 EKS 集群内的可疑活动。通过按严重性、资源影响和攻击类型直观呈现的调查发现,您可以全面了解自己的 Amazon EKS 安全状况。这意味着您可以优先考虑容器化工作负载面临的最关键威胁。

调查发现详细信息页面提供了针对 EKS 集群的复杂攻击序列的可见性,帮助您全面了解潜在危害的范围。GuardDuty 将信号关联到时间表中,将观察到的行为映射到 MITRE ATT&CK® 策略和技术,例如账户操纵、资源劫持和权限提升。这种细致的洞察准确揭示了攻击者如何在您的 Amazon EKS 环境中取得进展。这样就可以识别受影响的资源,例如 EKS 工作负载和服务账户。指标、行为者和端点的详细分类为您提供了切实可行的背景信息,进而了解攻击模式、确定影响并确定补救工作的优先顺序。通过将这些安全洞察整合到一个统一的视图中,您可以快速评测 Amazon EKS 安全事件的严重性,缩短调查时间,并实施有针对性的对策来保护您的容器化应用程序。

调查发现详细信息页面的资源部分显示了攻击序列中受影响的特定资产的相关背景信息。借助这个统一的资源列表,您可以了解危害的确切范围,从初始访问到目标 Kubernetes 组件。由于 GuardDuty 包含资源类型、标识符、创建日期和命名空间信息等详细属性,因此您可以快速评测容器化基础设施的哪些组件需要立即关注。这种有针对性的方法消除了事件响应期间的猜测,因此您可以优先考虑最关键的受影响资源的补救工作,并最大限度地缩小 Amazon EKS 目标攻击的潜在爆炸半径。

现已推出

Amazon GuardDuty 扩展威胁检测扩大了 Amazon EKS 集群的覆盖范围,可在您的 Kubernetes 环境中提供全面的安全监控。通过关联不同数据来源的事件,识别传统监控可能漏掉的攻击序列,您可以使用此功能来检测复杂的多阶段攻击。

要开始使用此扩展覆盖范围,请在 GuardDuty 设置中启用 EKS 保护,并考虑添加运行时监控以增强检测功能。

有关这项新功能的更多信息,请参阅 Amazon GuardDuty 文档。

– Esra

*前述特定亚马逊云科技生成式人工智能相关的服务仅在亚马逊云科技海外区域可用,亚马逊云科技中国仅为帮助您了解行业前沿技术和发展海外业务选择推介该服务。