AWS threat detection refers to identifying and prioritizing malicious or suspicious activity in AWS by analyzing cloud telemetry for signs of attacker behavior. Rather than evaluating single events in isolation, this approach examines what an actor is doing across identities, roles, and services. With 80% of organizations experiencing at least one cloud security breach in the past year and public cloud incidents averaging $5.17 million per breach, the stakes for effective AWS threat detection continue to grow.
AWS environments generate large volumes of logs and metadata that are difficult to interpret independently. Connecting this telemetry into behavioral signals helps reveal attacker movement through a cloud attack lifecycle, which matters because uncorrelated activity can delay investigation and response.
En pratique, la détection des menaces AWS relie les actions connexes à des modèles comportementaux qui peuvent être examinés et classés par ordre de priorité. Plutôt que de traiter cloud comme un ensemble d'alertes sans rapport entre elles, elle interprète l'activité comme la preuve d'une possible séquence d'attaques. Cette distinction est importante, car de nombreuses actions AWS sont techniquement légitimes tout en représentant un abus d'accès, de rôles ou de services.
Activity types that reveal intent across time and services:
AWS provides several native security services that form the foundation of a cloud threat detection strategy. Understanding what each tool does — and where gaps remain — helps teams build effective detection coverage.
Amazon GuardDuty is the primary AWS threat detection service. It continuously analyzes CloudTrail management events, VPC Flow Logs, DNS query logs, and runtime telemetry using machine learning, anomaly detection, and integrated threat intelligence. In December 2025, AWS launched Extended Threat Detection for EC2 and ECS, which uses AI/ML to correlate signals across multiple data sources and map multi-stage attack sequences to MITRE ATT&CK tactics.
Security Hub aggregates findings from GuardDuty, Amazon Inspector, AWS Config, and third-party tools into a unified dashboard. It provides compliance checks against standards like CIS AWS Foundations and supports automated remediation through integrations with AWS Lambda and Amazon EventBridge.
Detective complements GuardDuty by providing deeper investigative analysis. When GuardDuty identifies a high-severity finding, Detective helps trace the origin, scope, and relationships of the suspicious activity across resources.
Table: AWS native threat detection services compared
These native tools provide essential coverage, but they focus on activity within AWS. Attacks that start outside AWS — through compromised identity providers, on-premises networks, or SaaS applications — require additional correlation across hybrid environments to detect the full attack chain.
Log-centric monitoring in AWS often fails to expose attacker behavior because events are analyzed as standalone records. Attribution frequently stops at the most recent role or temporary credential, causing investigations to focus on the wrong abstraction. As a result, defenders may not identify the original actor in time to contain activity before impact.
Failure modes when AWS activity is evaluated as isolated events:
Understanding how attackers move through AWS requires looking beyond individual service actions. Behavior-focused detection highlights progression patterns, such as role chaining, logging evasion, and lateral service access, that can appear legitimate when viewed in isolation.
Progression patterns:
Tous les signaux dans AWS n'ont pas la même valeur pour l'enquête. Les efforts de détection donnent la priorité aux indicateurs qui reflètent un comportement anormal ou en plusieurs étapes lié à un acteur spécifique. Les indicateurs précoces peuvent être subtils et dispersés, tandis que les signaux tardifs n'apparaissent souvent qu'après que des dommages importants se sont produits.
Key signals:
Recent incidents illustrate why behavioral detection matters more than log-level monitoring alone.
The Codefinger ransomware group exploited compromised AWS credentials to encrypt S3 data using server-side encryption with customer-provided keys (SSE-C). Because the attackers used legitimate AWS encryption features rather than malware, traditional signature-based detection tools missed the activity. Only behavioral monitoring — detecting unusual bulk encryption operations tied to a suspicious credential chain — could surface the attack before data became unrecoverable.
Amazon Threat Intelligence documented a campaign in which a Russian-speaking financially motivated threat actor used commercial generative AI services to compromise over 600 FortiGate devices across 55+ countries between January 11 and February 18, 2026. The attackers leveraged AI to scale their operations, demonstrating that AI-augmented threats are accelerating attack volume for both skilled and unskilled adversaries.
In February 2026, a threat actor exploited an unpatched React frontend application running on AWS to gain initial access, then abused an over-permissive ECS task role with broad read access to AWS Secrets Manager. This enabled exfiltration of Redshift credentials, VPC maps, and millions of database records. The incident mapped to MITRE ATT&CK techniques including T1190 (exploit public-facing application), T1078 (valid accounts), and T1530 (data from cloud storage object) — underscoring why monitoring identity and role behavior is essential for AWS threat detection.
These incidents share a pattern: attackers used legitimate AWS mechanisms (encryption features, valid roles, temporary credentials) to carry out malicious activity that looked normal at the event level but revealed itself through behavioral analysis.
La détection des menaces dans AWS a encore ses limites. Bien qu'elle permette d'identifier les comportements suspects, la détection des menaces n'empêche pas automatiquement les risques cloud et n'y remédie pas. Cela signifie que les équipes doivent toujours s'appuyer sur des workflows de réponse et le jugement des analystes. Confondre détection et prévention peut créer des angles morts qui retardent la maîtrise des menaces.
Table: Misconceptions vs. corrections
Several trends are reshaping how organizations approach threat detection in AWS environments.
Supporting AWS threat detection requires understanding attacker behavior across identity, network, and cloud activity as a single continuum. The Vectra AI Platform approaches this problem by correlating actions instead of treating AWS events as isolated alerts, which reduces uncertainty when roles, temporary credentials, and multi-service activity obscure attribution. Vectra AI's Cloud Detection and Response (CDR) for AWS extends detection beyond native tools by analyzing behaviors across hybrid attack surfaces.
Platform capabilities:
See AWS attacker behavior in action with a guided attack tour
La surveillance CloudTrail enregistre les événements individuels, tandis que la détection des menaces AWS vise à relier les événements entre les identités, les rôles, les services et le temps afin de révéler le comportement des attaquants. Les événements isolés consignés dans les journaux peuvent montrer ce qui s'est passé, mais ils ne révèlent souvent pas l'intention ou la progression, en particulier lorsque les attaquants utilisent des identifiants temporaires et des rôles usurpés. La différence pratique réside dans l'investigation : la détection des menaces donne la priorité aux modèles de comportement en plusieurs étapes qui peuvent être attribués et sur lesquels il est possible d'agir, au lieu de laisser les analystes assembler manuellement le récit à partir des journaux bruts.
Non. La détection des menaces AWS ne permet pas à elle seule de prévenir ou de corriger les problèmes d'architecture ou de configuration. La gestion des erreurs de configuration vise à identifier les paramètres non sécurisés et les conditions d'exposition, tandis que la détection des menaces vise à identifier les activités malveillantes ou suspectes qui se produisent dans un environnement AWS. Il est important de ne pas confondre ces fonctions, car les équipes pourraient supposer que la détection remplace la sécurité de la configuration, laissant ainsi les principaux points d'entrée sans protection tout en espérant que la détection des menaces compensera cette lacune.
L'identité et les rôles sont essentiels, car les attaquants utilisent souvent des mécanismes d'accès légitimes après la compromission initiale, notamment des rôles usurpés et des identifiants temporaires. Les actions peuvent sembler valides au niveau de l'API, même lorsqu'elles constituent un abus. Il est donc essentiel de déterminer qui a lancé une séquence et si celle-ci correspond au comportement attendu. Cela est important, car l'enchaînement des rôles peut masquer l'acteur d'origine, et les enquêtes peuvent échouer si elles s'arrêtent au dernier rôle temporaire utilisé.
Les comportements en plusieurs étapes qui utilisent des mécanismes AWS légitimes sont les plus difficiles à détecter lorsqu'ils sont évalués événement par événement. Le chaînage des rôles, les séquences d'informations d'identification temporaires et les actions qui semblent normales prises isolément nécessitent souvent une corrélation entre les services et les identités pour devenir significatifs. Ces modèles sont difficiles à détecter, car ils peuvent être répartis sur plusieurs services AWS et fenêtres temporelles, et parce que les dernières informations d'identification utilisées peuvent ne pas refléter l'acteur d'origine. Cela est important, car les comportements subtils à un stade précoce peuvent passer inaperçus jusqu'à ce que des indicateurs apparaissent à un stade avancé.
Oui, mais uniquement lorsque l'approche relie les activités entre les environnements au lieu de traiter AWS comme un domaine isolé. Les attaques hybrides peuvent provenir d'ordinateurs portables compromis ou de fournisseurs d'identité, puis se propager vers AWS en utilisant des relations d'identité fiables et des rôles assumés. Sans corrélation entre l'identité et la télémétrie associée, l'activité AWS peut sembler déconnectée du chemin d'attaque initial. Cela est important, car les défenseurs doivent comprendre comment cloud sont liées à l'accès initial afin de définir correctement la portée de la réponse et l'attribution.
Amazon GuardDuty performs active threat detection by analyzing CloudTrail events, VPC Flow Logs, and DNS logs using machine learning to identify malicious behavior. AWS Security Hub is a centralized findings aggregator that collects and prioritizes alerts from GuardDuty, Amazon Inspector, AWS Config, and third-party tools. GuardDuty detects threats. Security Hub organizes and manages them. Most organizations use both together — GuardDuty as the detection engine and Security Hub as the operational dashboard for prioritizing response across accounts and regions.
Start with Amazon GuardDuty enabled across all AWS accounts and all regions — including regions not actively in use, since attackers target unmonitored regions for activities like cryptomining. Feed GuardDuty findings into AWS Security Hub for centralized visibility. Add Amazon Detective for investigating high-severity findings. Then configure EventBridge rules with Lambda functions to automate responses to critical alerts. This layered approach provides detection, aggregation, investigation, and automated response.
Threat actors increasingly use commercial generative AI services to scale their attacks against cloud infrastructure. In early 2026, Amazon Threat Intelligence documented a campaign where attackers used AI to compromise over 600 network devices across 55+ countries, then pivoted into cloud environments. AI helps attackers automate reconnaissance, generate exploit code, and identify misconfigurations faster than manual methods allow. This trend makes behavioral detection more important because AI-augmented attacks generate higher volumes of activity that can overwhelm rule-based detection systems.
Extended Threat Detection is a capability launched in December 2025 that uses AI and machine learning to identify multi-stage attack sequences across AWS services. Instead of generating separate findings for each suspicious event, it correlates signals — such as credential abuse, privilege escalation, and data exfiltration — into a single attack sequence mapped to MITRE ATT&CK tactics. This reduces triage time by showing the full attack story rather than leaving analysts to manually connect individual findings.