AWSは、アプリケーション、ワークロード、およびデータの脅威検出を向上させるAI/ML機能を活用したAmazon GuardDuty Extended Threat Detectionを発表しました。GuardDuty Extended Threat Detectionは、高度なAI/MLを使用して既知および未知の攻撃シーケンスを特定し、クラウドセキュリティへのより包括的でプロアクティブなアプローチを提供します。この強化は、最新のクラウド環境の複雑さと進化するセキュリティ脅威の状況に対処し、脅威の検出と対応を簡素化します。
多くの組織は、クラウド環境全体で生成される大量のセキュリティイベントを効率的に分析および対応することに課題を抱えています。セキュリティの脅威の頻度と高度化に伴い、時間の経過とともにイベントのシーケンスとして発生する攻撃を効果的に検出して対応することがより困難になっています。セキュリティチームは、より大きな攻撃の一部である可能性のある関連アクティビティをつなぎ合わせるのに苦労することが多く、重大な脅威を見逃したり、重大な影響を防ぐために対応が遅れたりする可能性があります。
これらの課題に対処するため、AWSはGuardDutyの脅威検出機能を拡張し、AWS環境でアクティブな攻撃シーケンスを特定するためにセキュリティシグナルを関連付ける新しいAI/ML機能を追加しました。これらのシーケンスには、特権の発見、API操作、永続化アクティビティ、データの抜き取りなど、攻撃者によって実行される複数のステップが含まれる可能性があります。これらの検出は、重大な重大度を持つ新しいタイプのGuardDuty検出である攻撃シーケンス検出として表されます。以前、GuardDutyは重大な重大度を使用しておらず、このレベルを最大限の信頼と緊急性を持つ検出のために予約していました。これらの新しい検出は重大な重大度を導入し、脅威の性質と重要性の自然言語による要約、MITRE ATT&CK®フレームワークから得られた戦術と手法にマッピングされた観察されたアクティビティ、およびAWSのベストプラクティスに基づく規範的な修復推奨事項を含みます。
GuardDuty Extended Threat Detectionは、新しい攻撃シーケンス検出を導入し、資格情報の抜き取り、権限昇格、データの抜き取りなどの分野における既存の検出の対応可能性を向上させます。この強化により、GuardDutyはアカウント内の複数のデータソース、期間、およびリソースにわたる複合検出を提供できるようになり、高度なクラウド攻撃をより包括的に理解できるようになります。
