新機能重要度 中

Amazon GuardDuty が機密ファイル変更の脅威検出機能を追加

Amazon GuardDuty ランタイム監視に、Amazon EC2、EKS、ECS で機密ファイルが変更された際の脅威検出機能が追加された。これにより、攻撃後の活動を特定できる。

Amazon GuardDuty ランタイム監視に、Amazon EC2 インスタンスおよび Amazon EKS、Amazon ECS コンテナワークロードで機密ファイルが変更された際の脅威検出機能が追加された。新機能は、構成ファイルや認証設定、システムログを含む重要なシステムファイルを監視し、攻撃後の活動を特定する。Persistence:Runtime/SensitiveFileModified、PrivilegeEscalation:Runtime/SensitiveFileModified、DefenseEvasion:Runtime/SensitiveFileModified の 3 つの検出が提供され、ファイルの書き込み、リネーム、シンボリックリンク、リンク、削除操作を直接監視する。これにより、従来のコマンドライン監視を回避する攻撃も検出できる。攻撃の悪意を判断し、誤検出を減らすため、相関分析が適用され、MITRE ATT&CK 戦術マッピングと修復推奨事項も提供される。この機能は、GuardDuty ランタイム監視を有効にしているすべてのユーザーに利用可能。新規ユーザーは 30 日間の無料トライアルを利用できる。

AWS 公式の元記事を読む