Explorando o Amazon GuardDuty ETD na prática
Por que falar de GuardDuty ETD agora Segurança em nuvem não é só “alerta na tela”. O que separa maturidade de tentativa é entender o encadeamento de eventos e responder automaticamente. O Amazon GuardDuty Extended Threat Detection (ETD) correlaciona múltiplos sinais (APIs, logs, achados) para identificar sequências de ataque (attack sequences) e gerar um finding único e crítico que representa a história completa do ataque. O que é o ETD, em 30 segundos Detecta ataques multiestágio (ex.: credenciais comprometidas → mudança de políticas → exfiltração S3). Correlaciona sinais entre fontes fundamentais (CloudTrail, VPC Flow Logs, DNS) e planos de proteção (S3, EKS, Runtime), quando habilitados. Gera achados “AttackSequence:*” (ex.: AttackSequence:S3/CompromisedData, AttackSequence:IAM/CompromisedCredentials, AttackSequence:EKS/CompromisedCluster) todos com criticidade “Critical”. Importante: ao habilitar o GuardDuty em uma Região, o ETD já vem habilitado por padrão e sem custo adicional; habilitar S3/EKS/Runtime amplia a cobertura ao adicionar mais sinais. ...