我们使用机器学习技术将英文博客翻译为简体中文。您可以点击导航栏中的“中文(简体)”切换到英文版本。
Amazon GuardDuty 将扩展威胁检测覆盖范围扩大到 Amazon EKS 集群
今天,我很高兴地宣布,Amazon GuardDuty 扩展威胁检测,扩大了对 Amazon Elastic Kubernetes Service(Amazon EKS)的覆盖范围,该功能建立在我们在亚马逊云科技 re:Invent 2024 发布的 Amazon GuardDuty 扩展威胁检测:用于增强云安全的人工智能/机器学习攻击序列识别中引入的功能的基础上。
管理 Kubernetes 工作负载的安全团队通常难以检测出针对容器化应用程序的复杂多阶段攻击。这些攻击可能涉及容器利用、权限升级以及在 Amazon EKS 集群内进行未经授权的移动。传统的监控方法可能会检测到个别的可疑事件,但往往会忽略跨越这些不同数据源和时间段的更广泛的攻击模式。
GuardDuty Extended Threat Detection 引入了一种新的严重程度发现类型,它会自动关联 Amazon EKS 审计日志中的安全信号、与 EKS 集群相关的进程的运行时行为、EKS 集群中的恶意软件执行以及亚马逊云科技 API 活动,以识别原本可能被忽视的复杂攻击模式。例如,GuardDuty 现在可以检测威胁行为者利用容器应用程序、获取特权服务账户令牌,然后使用这些提升的权限访问敏感的 Kubernetes 机密或亚马逊云科技资源的攻击序列。
这项新功能使用 GuardDuty 关联算法来观察和识别表明潜在危害的操作序列。它评估保护计划和其他信号源的调查结果,以确定常见和新出现的攻击模式。对于检测到的每个攻击序列,GuardDuty 提供全面的详细信息,包括可能受影响的资源、事件时间表、所涉及的参与者以及用于检测序列的指标。调查结果还将观察到的活动与 MITRE ATT&CK® 策略和技术以及基于亚马逊云科技优秀实践的补救建议进行了对比,帮助安全团队了解威胁的性质。
要为 EKS 启用扩展威胁检测,您需要启用以下至少一项功能:EKS 保护或运行时监控。为了最大限度地提高检测覆盖范围,我们建议同时启用两者以增强检测能力。EKS Protection 通过审计日志监控控制平面活动,运行时监控观察容器内的行为。它们共同创建了您的 EKS 集群的完整视图,使 GuardDuty 能够检测复杂的攻击模式。
工作原理
要对 EKS 集群使用全新的 Amazon GuardDuty 扩展威胁检测,请前往 GuardDuty 主机在账户中启用 EKS 保护。从右上角的地区选择器中,选择要启用 EKS 保护的区域。在导航窗格中,选择 EKS 保护。在 EKS 保护页面上,查看当前状态并选择启用。选择 "确认" 以保存您的选择。
启用后,GuardDuty 立即开始监视来自 EKS 集群的 EKS 审核日志,无需任何额外配置。GuardDuty 通过独立流直接从 EKS 控制平面使用这些审计日志,这不会影响任何现有的日志配置。对于多账户环境,只有委托的 GuardDuty 管理员账户可以为成员账户启用或禁用 EKS 保护,并为加入组织的新账户配置自动启用设置。
要启用运行时监控,请在导航窗格中选择运行时监控。在 "配置" 选项卡下,选择 "启用",为您的账户启用运行时监控。
现在,您可以从摘要仪表板查看与 Kubernetes 集群入侵特别相关的攻击序列和关键发现。您可以观察到,GuardDuty 可识别 Kubernetes 环境中的复杂攻击模式,例如凭证泄露事件和 EKS 集群内的可疑活动。按严重程度、资源影响和攻击类型直观呈现调查结果,使您可以全面了解自己的 Amazon EKS 安全状况。这意味着您可以优先考虑容器化工作负载面临的最关键威胁。
调查结果详细信息页面提供了针对 EKS 集群的复杂攻击序列的可见性,帮助您全面了解潜在的妥协范围。GuardDuty 将信号关联到时间表中,将观察到的行为映射到 MITRE ATT&CK® 策略和技巧,例如账户操纵、资源劫持和权限升级。这种细致的洞察力准确揭示了攻击者如何在您的 Amazon EKS 环境中前进。它可以识别受影响的资源,例如 EKS 工作负载和服务帐户。指标、参与者和终端节点的详细分类为您提供了可操作的背景信息,以了解攻击模式、确定影响并确定补救工作的优先顺序。通过将这些安全见解整合到一个统一的视图中,您可以快速评估 Amazon EKS 安全事件的严重性,缩短调查时间,并实施有针对性的对策来保护您的容器化应用程序。
查找详细信息页面的资源部分显示了攻击序列中受影响的特定资产的相关背景信息。这份统一的资源清单使您可以了解妥协的确切范围——从初始访问到目标 Kubernetes 组件。由于 GuardDuty 包含资源类型、标识符、创建日期和命名空间信息等详细属性,因此您可以快速评估容器化基础设施的哪些组件需要立即关注。这种有针对性的方法消除了事件响应期间的猜测,因此您可以优先考虑受影响的最关键资源的补救工作,并最大限度地缩小 Amazon EKS 定向攻击的潜在爆炸半径。
Amazon GuardDuty 扩展威胁检测现已推出,其覆盖范围扩大了 Amazon EKS 集群的覆盖范围,可在您的 Kubernetes 环境中提供全面的安全监控。通过关联不同数据源的事件,识别传统监控可能漏掉的攻击序列,您可以使用此功能来检测复杂的多阶段攻击。
要开始使用此扩展覆盖范围,请在 GuardDuty 设置中启用 EKS 保护,并考虑添加运行时监控以增强检测功能。
有关这项新功能的更多信息,请参阅 Amazon GuardDuty 文档。
— Esra
Esra Kayabali
Esra Kayabali 是亚马逊云科技的高级解决方案架构师,专门从事分析,包括数据仓库、数据湖、大数据分析、批量和实时数据流以及数据集成。她拥有十多年的软件开发和解决方案架构经验。她热衷于协作学习、知识共享和指导社区的云技术之旅。
*前述特定亚马逊云科技生成式人工智能相关的服务仅在亚马逊云科技海外区域可用,亚马逊云科技中国仅为帮助您发展海外业务和/或了解行业前沿技术选择推荐该服务。