本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
亚马逊 GuardDuty
Amazon GuardDuty 是一项威胁检测服务,可持续监控 Amazon 环境中的恶意活动和未经授权的行为。它结合了机器学习、异常检测和集成威胁情报,可识别潜在威胁,并通过 SAP 环境、工作负载和数据保护与 RISE 关联的 Amazon 账户。
亚马逊 GuardDuty 监控以下内容:
-
Amazon CloudTrail 日志:Amazon GuardDuty 监控 Amazon 账户中的 API 活动,以检测可疑 API 调用、未经授权的部署和未经授权的资源访问尝试。Amazon 会 GuardDuty 识别从未经授权的 IP 地址或区域访问 Amazon 服务的企图。亚马逊在身份和访问管理 (IAM) Access Management 用户、角色和策略中 GuardDuty 检测到异常行为,例如权限提升。
-
VPC 流日志。Amazon 会 GuardDuty 分析虚拟私有云 (VPC) Virtual Cloud (VPC) 内的网络流量,以检测意外流量模式、数据泄露企图或未经授权的访问,同时识别资源与已知的恶意 IP 地址或域名 Amazon 之间的通信。在开启 SAP 的情况下进行 RISE 的背景下 Amazon,检查在 RISE SAP 管理的账户前面的 VPC 上进行;
-
DNS 日志。Amazon 会 GuardDuty 监控 Amazon 资源进行的 DNS 查询,以检测试图连接恶意域名或异常的 DNS 请求模式。Amazon GuardDuty 还检测到使用域生成算法 (DGA) 生成与命令和控制服务器关联的域名的情况。
在 RISE with SAP 的背景下, GuardDuty 可以利用 Amazon 做以下事情:
-
入侵检测: GuardDuty 通过识别恶意活动(例如未经授权的 API 调用、网络侦测和来自已知恶意 IP 地址的访问尝试),及早检测到客户管理的 Amazon 账户所面对的 RISE 环境的入侵企图;
-
合规性验证:对于具有严格合规要求的组织, GuardDuty 可以持续监控违反策略和未经授权的访问尝试,提供详细的日志和报告以供审计,从而帮助确保合规性。当从客户管理的 Amazon 账户访问 SAP RISE 环境时,就可以实现这一点。有关更多详细信息,请参阅合规性验证。
-
自动事件响应。 GuardDuty 可以与 Amazon Lambda 和 Sec Amazon urity Hub 集成,以自动执行事件响应工作流程。检测到威胁后,这些服务可触发自动化修复操作,例如隔离受影响的资源或向安全团队发送通知。
以下是在 SAP 部署状态下 GuardDuty 监控 RISE CloudTrail 跟踪的示例架构 Amazon
在上图中
-
数据被写入 S3 存储桶以用于数据 lake/compliance 报告。
-
恶意行为者更改 S3 存储桶上的 IAM 规则和 IAM 权限以获取访问权限。
-
IAM 更改会被 Amazon CloudTrail拦截。
-
GuardDuty 检测可疑活动并提醒管理员。
以下是在 SAP 部署开 GuardDuty 启的情况下监控 RISE 的 DNS 日志的示例架构 Amazon
在上图中
-
恶意行为者引入恶意 DNS,将用户重定向到伪造的 SAP 系统。
-
恶意 DNS 条目由管理员检测 GuardDuty 并报告给管理员。
以下是使用 SAP VPC GuardDuty 监控 RISE 的 VPC 流日志的示例架构
在上图中
-
恶意攻击者试图从与 RISE VPC 建立对等连接的客户自主管理型 VPC 访问 SAP 系统,或扫描端口。
-
来自恶意攻击者 IP 的连接尝试被记录在 VPC 流日志中。
-
Amazon 检测到可疑的连接尝试 GuardDuty 并报告给管理员。
有关配置 Amazon 的说明 GuardDuty,请参阅入门。