发布于: Dec 13, 2022
新的 Amazon GuardDuty 机器学习技术在检测对存储在 Amazon Simple Storage Service(Amazon S3)存储桶中的数据的异常访问方面非常有效,现已在由光环新网运营的亚马逊云科技中国(北京)区域和由西云数据运营的亚马逊云科技中国(宁夏)区域推出。这项新功能持续对账户内的 S3 数据面板 API 调用(例如 GET、PUT 和 DELETE)进行建模,结合概率预测,在高度可疑的用户访问存储在 S3 存储桶中的数据时,更准确地发出提醒,例如来自异常地理位置的请求,或与试图泄露数据一致的大量 API 调用。新的机器学习方法可以更准确地识别与已知攻击策略相关的恶意活动,包括数据发现、篡改和泄露。新的威胁检测适用于启用了 GuardDuty S3 保护的亚马逊云科技中国区域的所有现有 Amazon GuardDuty 客户,无需采取任何措施,也无需支付额外费用。如果您尚未使用 GuardDuty,则在启用该服务时,S3 保护将默认处于开启状态。如果您正在使用 GuardDuty,但尚未启用 S3 保护,则可以在 GuardDuty 控制台中或通过 API 一键在组织范围内启用该功能。
这项最新增强功能升级了 GuardDuty 现有的基于 CloudTrail S3 数据面板的异常威胁检测,以提高准确性,并提供上下文数据以协助事件调查和响应。 这些新的威胁检测中生成的上下文数据可以在 GuardDuty 控制台中查看,也可以通过 Amazon EventBridge 发布的结果 JSON 文件查看。通过这些上下文数据,您可以更快地回答问题,例如,活动有哪些异常之处? 通常从哪个位置访问 S3 存储桶? 用户为从访问的 S3 存储桶中检索对象而进行的正常 API 调用次数是多少? 新增的五种威胁检测包括:
1. Discovery:S3/AnomalousBehavior
2. Impact:S3/AnomalousBehavior.Write
3. Impact:S3/AnomalousBehavior.Delete
4. Exfiltration:S3/AnomalousBehavior
5. Impact:S3/AnomalousBehavior.Permission
在亚马逊云科技管理控制台中单击一下即可开始 Amazon GuardDuty 的 30 天免费试用。要获得关于新的 GuardDuty 功能和威胁检测的编程更新,请订阅 Amazon GuardDuty SNS 主题。