BLOG

Ergänzungen zum Threat Stack AWS CloudTrail-Regelsatz

Aktualisiert am 10. August 2020

Threat Stack heißt jetzt F5 Distributed Cloud App Infrastructure Protection (AIP). Beginnen Sie noch heute damit, Distributed Cloud AIP mit Ihrem Team zu verwenden.

Ganz neue Regeln für die Amazon ECR- und AWS Systems Manager API-Aktivität

Bei Threat Stack verarbeiten wir täglich zig Milliarden Ereignisse für Kunden. Der Einblick in diese Datenmenge verschafft uns eine einzigartige Perspektive zur Erkennung aussagekräftiger Trends bei der Nutzung von AWS-Diensten. Zwei Trends, die wir kürzlich beobachtet haben, sind die zunehmende Nutzung von Amazon Elastic Container Registry (ECR) und AWS Systems Manager . Um sicherzustellen, dass unsere Kunden diese Dienste sicher nutzen, haben wir Threat Stack Standardwarnregeln für ECR und Systems Manager hinzugefügt. Sehen wir uns einige der neuen Regeln und ihre Filter an.

Amazon ECR

Sie alle wissen, was ein Container-Register ist, aber das Tolle an Amazon ECR ist seine Integration mit dem Amazon Elastic Container Service (ECS) . Natürlich instrumentiert Threat Stack bereits ECS-Umgebungen mit detaillierten Angaben von Amazon Linux 2 und Docker zur Laufzeit. Jetzt können wir mehr Sicherheitsbeobachtungen dazu liefern, wie statische Docker-Images innerhalb von ECR bezogen werden.

Folgendes ist in den neuen CloudTrail ECR-Regeln von Threat Stack standardmäßig enthalten:

  • CloudTrail: ECR-Repository erstellen (Sev. 3)
  • CloudTrail: ECR-Repository löschen (Sev. 3)
  • CloudTrail: Ergebnisse des ECR-Bildscans – Schweregrad HOCH (Sev 1)
  • CloudTrail: Ergebnisse des ECR-Bildscans – Schweregrad MITTEL (Sev. 2)
  • CloudTrail: ECR Bild einfügen (Sev. 3)
  • CloudTrail: ECR Put-Bildscan-Konfiguration (Sev. 3)
  • CloudTrail: ECR-Repository-Richtlinie festlegen (Sev. 3)

Schauen wir uns insbesondere die Regel CloudTrail an: Ergebnisse des ECR-Bildscans – Schweregrad HOCH.

 

Abbildung 1: Screenshot der Threat Stack Rules-Benutzeroberfläche für CloudTrail: Europäischer Kreuzer

Die Filtersyntax ist hier der interessanteste Teil, also schauen wir uns das genauer an:

event_type = "cloudtrail" und eventSource = "ecr.amazonaws.com" und eventName = "DescribeImageScanFindings" und responseElements.imageScanFindings.findingSeverityCounts.HIGH > 0

Da das CloudTrail-Ereignis-JSON für die Ergebnisse des ECR-Bildscans möglicherweise eine lange Liste von CVEs enthalten kann, verwenden wir das aggregierte findingSeverityCounts -Objekt, um einen schnellen Blick darauf zu werfen. Folgen Sie von dort aus der AWS-Dokumentation, um entweder über die Amazon ECR-Konsole oder die AWS CLI auf die vollständigen Ergebnisse Ihres Scans zuzugreifen .

Das Ziel von Threat Stack besteht darin, Sie so schnell wie möglich zu warnen. Sie können die Schweregradeinstellungen jedoch gerne ändern und den Regelfilter anpassen. (Weitere Informationen zur oben verwendeten Threat Stack-Abfragesprache finden Sie in unseren Dokumenten .)

AWS-Systemmanager

AWS Systems Manager ist ein leistungsstarkes Automatisierungstool mit zahlreichen Funktionen. Zwei dieser Funktionen – AWS Systems Manager Session Manager und AWS Systems Manager Run Command – sind für Auditzwecke besonders interessant.

Abbildung 2: Screenshot der Threat Stack Rules-Benutzeroberfläche für CloudTrail: SSM

Folgendes ist in den neuen CloudTrail Systems Manager-Regeln von Threat Stack standardmäßig enthalten:

  • CloudTrail: SSM-Abbruchbefehl (Sev. 3)
  • CloudTrail: SSM-Komponente erstellen (Sev. 3)
  • CloudTrail: SSM-Komponente löschen (Sev. 3)
  • CloudTrail: SSM-Informationsermittlung (Sev. 3)
  • CloudTrail: SSM-Sitzung fortsetzen (Sev. 3)
  • CloudTrail: SSM-Sendebefehl (Sev. 3)
  • CloudTrail: SSM-Sitzung beendet (Sev 3)
  • CloudTrail: SSM - Ausführung der Automatisierung starten (Sev. 3)
  • CloudTrail: SSM-Sitzung starten (Sev. 3)

Da die Standardeinstellungen durchgängig auf Schweregrad 3 liegen, gehen wir davon aus, dass diese Warnmeldungen hauptsächlich zu Prüfzwecken verwendet werden. Sie können jedoch jederzeit Ihren individuellen Anforderungen entsprechend angepasst werden. Sehen wir uns die Filtersyntax für CloudTrail an: SSM-Informationsermittlung:

event_type = „cloudtrail“ und eventSource = „ssm.amazonaws.com“ und (eventName beginnt_mit „Describe“ oder eventName beginnt_mit „List“)

Obwohl es relativ unkompliziert ist, handelt es sich um ein schönes Beispiel für den Operator „starts_with“ , der in der Abfragesprache von Threat Stack unterstützt wird.

Von Regeln zu Ereignissen

Benutzerdefinierte CloudTrail-Warnungen sind nur eine Dimension der Regeln, die Sie in Threat Stack erstellen können. Und wenn diese Regeln greifen, möchten Sie sich wahrscheinlich mit den zugrunde liegenden Ereignissen befassen, wenn Sie eine Untersuchung durchführen müssen. Schauen Sie sich diese Untersuchung zum Docker-Cryptojacking an, in der wir Schritt für Schritt eine Warnung und die damit verbundenen Ereignisse durchgehen. Und halten Sie Ausschau nach weiteren Untersuchungen der Analysten des Threat Stack Cloud SecOps Program℠, die in Kürze hier erscheinen!

Threat Stack heißt jetzt F5 Distributed Cloud App Infrastructure Protection (AIP). Beginnen Sie noch heute damit, Distributed Cloud AIP mit Ihrem Team zu verwenden.