推出针对 AWS Fargate 的威胁堆栈支持

新的 Threat Stack Fargate 代理

作为客户，Threat Stack 工作流的相同基本机制适用于AWS Fargate元数据，用于警报生成、规则自定义、威胁搜寻等。 只需部署代理、确保网络连接，安全数据就会开始流入您的威胁堆栈平台。

我们的 Fargate Agent 作为 sidecar 运行，并被定义为Amazon ECS上 Fargate 任务定义的一部分。 代理监控 Fargate 运行时环境的两个关键方面：

1. Fargate 容器内的进程活动
2. Fargate 任务内部和外部的网络流数据

Threat Stack 通过对AWS CloudTrail日志的完整实时视图提供 Fargate 的进一步背景信息。 Fargate 任务支持的applications通过针对 Node.js、Python 和 Ruby 代码的Threat Stackapplication安全监控获得额外的运行时保护。 虽然我们在 Threat Stack 平台上整合了您对这些数据的视图，但它对您的Amazon VPC和AWS IAM权限的本机 AWS 安全控制是有益的。

Threat Stack 平台中的 Fargate 元数据

Threat Stack 为 Fargate 活动提供默认检测，包括：

• 互动会议
• SSHD 二进制文件
• 数据泄露尝试
• 意外的网络连接

这些检测规则会触发实时警报，例如，对于意外的入站网络连接，会触发以下警报：

支持该规则的底层逻辑很容易定制。 这是一个简化的例子：

Threat Stack 还提供了所有事件数据的详细窗口，以支持取证调查。 例如，客户可以轻松优化搜索以查看指定时间段内给定任务的所有流程活动：

每个事件都附有支持详细信息，用户可以在 UI 中查看这些详细信息。例如，您可以深入查看上图中的第一个事件以查看完整的事件 JSON：