Amazon GuardDuty Extended Threat Detection теперь поддерживает Amazon EC2 и Amazon ECS

AWS улучшила Amazon GuardDuty Extended Threat Detection для выявления многоэтапных атак, нацеленных на инстансы EC2 и кластеры ECS. Эта функция использует ИИ и машинное обучение для сопоставления различных сигналов безопасности и обнаружения сложных угроз. Она анализирует сетевую активность, поведение процессов, выполнение вредоносных программ и вызовы API с течением времени для выявления сложных шаблонов атак. Теперь доступны два новых критических обнаружения: AttackSequence:EC2/CompromisedInstanceGroup и AttackSequence:ECS/CompromisedCluster. Эти обнаружения предоставляют подробности о последовательности атак, сокращая время анализа и ускоряя реагирование на угрозы. Они объединяют связанные подозрительные действия, такие как попытки сохранения доступа, крипто-майнинг и обратные оболочки, в одно обнаружение. Каждое обнаружение включает сводку, временную шкалу, сопоставление MITRE ATT&CK и рекомендации по устранению. GuardDuty Extended Threat Detection включается автоматически без дополнительной платы. Чтобы максимизировать охват, клиенты должны включить Runtime Monitoring для EC2 и для Fargate или EC2 в зависимости от их настройки ECS. Новые и существующие клиенты могут использовать бесплатные пробные периоды для GuardDuty и Runtime Monitoring. Более подробная информация доступна в блоге AWS и на странице продукта GuardDuty.