Amazon ออก GuardDuty ฟีเจอร์ใหม่เพื่อตรวจจับและติดตามภัยคุกคาม

December 1, 2017 Application Monitoring, AWS, Cloud and Systems, Cloud Management, Cloud Security, Cybersecurity, Products

Amazon ได้ออกฟีเจอร์เพื่อช่วยให้ระบบ IT ปลอดภัยจากภัยคุกคามที่อาจะเกิดขึ้น โดยการใช้เทคโนโลยี Machine Learning เรียนรู้จากข้อมูลที่ Amazon สร้างขึ้น ซึ่งตัว GuardDuty เองได้วิเคราะห์ข้อมูลกว่าพันล้านเหตุการณ์เพื่อเข้าใจถึงเทรน รูปแบบ และความผิดปกติที่อาจจะเป็นสัญญานของความผิดพลาด นอกจากนี้ผู้ใช้งานยังสามารถดูสิ่งหาเจอได้อย่างรวดเร็ว

credit : AWS Blog

วิธีการทำงาน

GuardDuty ใช้ข้อมูลปริมาณมหาศาลประกอบด้วย แหล่งข้อมูลที่มีหลักฐาน (Threat Intelligence) จากหลายแห่ง, โดเมนที่หลอกหลวง, IP address ของมัลแวร์ และปัจจัยอื่นๆ ที่สำคัญ ให้ระบบเรียนรู้เพื่อที่จะสามารถระบุพฤติกรรมที่ไม่ได้รับการพิสูจน์ตัวตนหรือไม่เหมาะสมต่อบัญชี AWS ของผู้ใช้ได้อย่างแม่นยำ นอกจากนี้ด้วยการผสานข้อมูลจากฟีเจอร์ของ VPC Flow Logs (เก็บ Log IP ที่ผ่านเข้าออกระบบเครือข่ายของผู้ใช้งาน) รวมกับ CloudTrail Event Logs (เก็บ Log ในรูปแบบของ Jason เพื่อ) และ DNS Logs ทำให้ GuardDuty สามารถตรวจพบพฤติกรรมที่อันตรายหรือผิดปกติเช่น การแสกนหาช่องโหว่ การแสกนพอร์ต และเข้าถึงจากสถานที่ไม่คุ้นเคย

ในฝั่งของ AWS เองจากคอยดูกิจกรรมต้องสงสัยของบัญชีต่างๆ เช่น การติดตั้งที่ไม่ได้รับการพิสูจน์ตัวตน กิจกรรมใน CloudTrail ที่แตกต่างจากเดิม รูปแบบของการใช้งาน API ใน AWS และความพยายามในการขยายข้อจำกัดของบริการต่างๆ ส่วน GuardDuty จะคอยตรวจสอบการแทรกแทรง EC2 ที่เกิดจากองค์ประกอบหรือบริการที่ผิดวัตถุประสงค์ รวมถึงการรั่วไหลของข้อมูลและการใช้ทรัพยากรเพื่อทำ Cryptocurrency Mining

ในด้านประสิทธิภาพ GuardDuty ตั้งอยู่บนโครงสร้างของ AWS เอง ซึ่งจะไม่ส่งผลกระทบต่อประสิทธิภาพในการทำงานของระบบผู้ใช้งาน นอกจากนี้ผู้ใช้ไม่จำเป็นต้องติดตั้ง Agent, Sensors หรืออุปกรณ์เครือข่ายเพื่อใช้งาน GuardDuty ดังนั้นมันเป็นโมเดลที่ทีมงานความมั่นคงปลอดภัยควรจะนำไปใช้งานกับบัญชีบน AWS เนื่องจากไม่ต้องทำอะไรเพิ่มเติมเลย

กิจกรรมที่ GuardDuty ค้นพบสามารถจำแนกได้ 3 ระดับคือ ต่ำ กลาง และสูง พร้อมทั้งให้รายละเอียดของหลักฐานและคำแนะนำในการแก้ไข โดยสิ่งที่ค้นพบนั้นจะปรากฎอยู่ใน Amazon CloudWatch Event (ฟังก์ชันติดตามการเปลี่ยนแปลงที่เกิดขึ้นกับทรัพยากรบน AWS) สิ่งนี้เองสามารถทำให้ผู้ใช้สามารถใช้งาน AWS Lambda ต่อเพื่อแก้ปัญหาได้อย่างอัตโนมัติ  นอกจากนี้ยังสามารถส่งเหตุการณ์ที่ GuardDuty ค้นพบไปยังระบบบริหารจัดการเหตุการณ์ เช่น Splunk, Sumo Logic, PagerDuty หรือระบบการทำงานอย่าง JIRA, ServiceNow และ Slack

ที่มา : https://aws.amazon.com/blogs/aws/amazon-guardduty-continuous-security-monitoring-threat-detection/

Tags

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Elastic 9.4 ออกแล้ว

Elastic ได้ออกมาประกาศเปิดตัว Elastic 9.4 อย่างเป็นทางการ โดยเพิ่มความสามารถในการตรวจสอบการทำงานของ Context Engineering, Application และ Infrastructure เพิ่มเติม, เสริม AI ในการรักษาความมั่นคงปลอดภัย และเพิ่มความสามารถอื่นๆ อีกมากมาย ดังนี้

Extreme Networks เปิดตัว Wi-Fi 7 AP รุ่นใหม่ พร้อม Agentic AI สำหรับบริหารจัดการระบบเครือข่ายแบบอัตโนมัติ

Extreme Networks ได้ออกมาประกาศถึงอัปเดตครั้งใหญ่ โดยเปิดตัว Wi-Fi 7 Access Point รุ่นใหม่ล่าสุด 5 รุ่น พร้อมนวัตกรรมใหม่ในการบริหารจัดการระบบเครือข่ายด้วย AI Agent เพื่อดูแลรักษาระบบเครือข่ายขององค์กรให้ทำงานได้อย่างต่อเนื่องโดยอัตโนมัติ

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand