Amazon GuardDuty 是針對 AWS 環境打造的威脅偵測服務,能偵測 AWS 帳戶中是否有可疑的惡意活動或未經授權的存取行為,降低整體的資安風險。本次增加的功能 – GuardDuty Malware Protection – 還能掃描 EBS 中是否存在惡意軟體,其支援範圍包含常見檔案格式、Windows/Linux 執行檔、二進制檔案以及各種運行在 EC2 上的容器化服務。現在您不必再為 EC2 個別安裝 Agent 或監控軟體,也能確保 EC2 的 EBS 硬碟安全無虞。
延伸閱讀: Amazon GuardDuty & Amazon Detective新功能上線! 強化您的帳戶安全
新功能解密! Amazon GuardDuty如何阻擋惡意軟體攻擊
先前已有使用 Amazon GuardDuty 的舊用戶,才需要手動啟用 Malware Protection。此功能開啟時,GuardDuty 一偵測到 EC2 出現可疑行為(如:和已知被用來執行 DDoS 攻擊的主機通訊),就會立即啟動保護性的掃描。
GuardDuty 會為EC2相對應的EBS 製作一份 Snapshot,並掃描該 Snapshot,因此 EC2 進行中的工作效能並不會受到影響。若在 EBS 中發現威脅,GuardDuty 會報告相關資訊,包含檔案名稱、檔案位置、resource tag、EC2 instance ID 等,若您採用的是 EKS 或 ECS 等 AWS 容器服務,還能得到叢集名稱、Task/Pod ID 等,讓您更快速找到受影響的資源。
▲ 本文以執行 GuardDuty Tester repo 為例,上方紅框處即為 Malware Protection 掃出 EBS 中的惡意檔案。
GuardDuty Malware Protection 還會將這些記錄經由 Amazon Event Bridge 傳送到 GuardDuty console、Amazon Securuty Hub 以及 Amazon Detective,以供您事後調查使用。
▲ 選取左側任一項目即可看到詳細資訊,或是使用 Detective 進行後續調查。
博弘雲端架構師小叮嚀
整理幾點在 GuardDuty Malware Protection 需注意的事項:
● 在開始掃描前,要先為其指派一個 service-linked 的 IAM role。
● 目前支援掃描的 EBS 最大容量為 1TB。
● 掃描時使用的 Snapshot 預設為掃描完畢即刪除,您也可以設定為:若有異常結果,則保留該 Snapshot。
● 若有不想讓 GuardDuty Malware Protection 掃描的資源,您可以標記 “GuardDutyExcluded” 這個 Tag,GuardDuty 掃描時就會略過此資源。
最後,此服務是根據掃描檔案的大小計費,非 EBS 的容量大小。GuardDuty Malware Protection 讓您輕鬆省下安裝監控軟體的時間,同時達成有效的成本控制。原先已在使用 GuardDuty 的用戶,別忘了開啟這個方便的新功能。若您還沒體驗過 GuardDuty 的強大功能,不妨現在開始試用吧!
請持續鎖定博弘雲端架構師專欄,以獲得最新專業資訊!
若您有任何 AWS 雲端服務需求,歡迎與我們聯繫!