AWS用戶現(xiàn)在可以運用智能威脅偵測服務Amazon GuardDuty��,掃描EBS區(qū)塊存儲中的惡意軟件�����,借由監(jiān)控AWS賬戶和EC2工作負載偵測惡意活動�。
AWS用戶現(xiàn)在可以運用智能威脅偵測服務Amazon GuardDuty,掃描EBS區(qū)塊存儲中的惡意軟件����,借由監(jiān)控AWS賬戶和EC2工作負載偵測惡意活動。
當用戶激活GuardDuty的惡意軟件保護新功能后���,在GuardDuty偵測到EC2執(zhí)行實例�,或是EC2上的容器工作負載����,正在執(zhí)行已知惡意指令或是對其他EC2執(zhí)行實例執(zhí)行DoS攻擊等可疑行為時,GuardDuty便會執(zhí)行惡意軟件掃描功能��。
GuardDuty支持多種文件系統(tǒng)類型���,能夠掃描用于傳播惡意軟件的文件格式����,像是Windows和Linux可執(zhí)行文件�����、PDF文件、二進制檔���、腳本���、安裝程序、電子郵件數(shù)據(jù)庫和普通電子郵件等�。在GuardDuty識別出惡意軟件后,便會生成安全調(diào)查報告�,包括文件名、路徑����、EC2執(zhí)行實例ID和容器鏡像文件資訊。
另外�,GuardDuty也能支持EC2上的容器工作負載�,包括由客戶管理的Kubernetes集群或是單一Docker容器。與其他GuardDuty檢測結(jié)果處理方法相同��,惡意軟件檢測結(jié)果�,會送到GuardDuty控制臺,統(tǒng)一由Amazon EventBridge推送����,路由到AWS Security Hub,并可用于Amazon Detective事件調(diào)查。
AWS官方進一步解釋GuardDuty掃描惡意軟件的原理�,用戶會需要設置一個IAM服務關聯(lián)角色,提供權(quán)限讓GuardDuty執(zhí)行惡意軟件掃描��,當GuardDuty需要針對特定EC2執(zhí)行實例啟動惡意軟件掃描時��,GuardDuty會對該EBS區(qū)塊存儲執(zhí)行快照���,并利用該快照在同一AWS地區(qū)創(chuàng)建一個存儲副本��,進行惡意軟件掃描���。
如此用戶便不需要部署安全軟件或是代理監(jiān)控惡意軟件,而且GuardDuty對區(qū)塊存儲的掃描工作���,也不會影響到用戶正在執(zhí)行的工作負載�����。當掃描結(jié)束后����,快照和創(chuàng)建出來的存儲副本會被刪除���,用戶也可以在發(fā)現(xiàn)惡意軟件后����,選擇將快照留下。
如果用戶過去尚未激活GuardDuty���,在賬戶激活GuardDuty之后��,默認情況會自動激活惡意軟件防護��,當用戶早已使用GuardDuty���,則需要手動激活惡意軟件防護功能。目前這項功能已經(jīng)在所有提供GuardDuty的AWS地區(qū)推出����,除了中國北京、中國寧夏��,還有AWS GovCloud美東與美西地區(qū)�。
閩公網(wǎng)安備 35010202001226號
