BLOG

Adiciones al conjunto de reglas de AWS CloudTrail para la pila de amenazas

Actualizado el 10 de agosto de 2020

Threat Stack ahora es F5 Distributed Cloud App Infrastructure Protection (AIP). Comience a utilizar Distributed Cloud AIP con su equipo hoy mismo .

Nuevas reglas para la actividad de la API de Amazon ECR y AWS Systems Manager

En Threat Stack, procesamos decenas de miles de millones de eventos para clientes cada día. Analizar esa cantidad de datos nos brinda una perspectiva única para identificar tendencias significativas en el uso del servicio de AWS. Dos de esas tendencias que hemos observado recientemente han sido el aumento del uso de Amazon Elastic Container Registry (ECR) y AWS Systems Manager . Para garantizar que nuestros clientes utilicen estos servicios de forma segura, hemos agregado reglas de alerta predeterminadas para ECR y Systems Manager a Threat Stack. Veamos algunas de las nuevas reglas y sus filtros.

Amazon ECR

Todos saben qué es un registro de contenedores, pero lo bueno de Amazon ECR es lo integrado que está con Amazon Elastic Container Service (ECS) . Por supuesto, Threat Stack ya instrumenta entornos ECS con detalles granulares de Amazon Linux 2 y Docker en tiempo de ejecución. Ahora, podemos ofrecer mayor observabilidad de seguridad en cuanto a cómo se obtienen las imágenes estáticas de Docker dentro de ECR.

Esto es lo que incluyen de fábrica las nuevas reglas ECR de CloudTrail de Threat Stack:

  • Sendero de nubes: Crear repositorio de ECR (Sev 3)
  • Sendero de nubes: Repositorio de eliminación de ECR (Sev 3)
  • Sendero de nubes: Hallazgos de la exploración por imagen ECR: Gravedad ALTA (Gravedad 1)
  • Sendero de nubes: Hallazgos de la exploración por imagen ECR: Gravedad MEDIA (Gravedad 2)
  • Sendero de nubes: Imagen de colocación de ECR (Sev 3)
  • Sendero de nubes: Configuración de escaneo de imágenes de ECR (Sev 3)
  • Sendero de nubes: Política del repositorio de conjuntos ECR (Sev 3)

En particular, veamos la regla CloudTrail: Hallazgos en la exploración por imágenes de ECR: gravedad ALTA.

 

Figura 1: Captura de pantalla de la interfaz de usuario de reglas de pila de amenazas para CloudTrail: ECR

La sintaxis del filtro es la parte más interesante, así que veámosla más de cerca:

event_type = "cloudtrail" y eventSource = "ecr.amazonaws.com" y eventName = "DescribeImageScanFindings" y responseElements.imageScanFindings.findingSeverityCounts.HIGH > 0

Dado que el JSON del evento CloudTrail para los hallazgos del escaneo de imágenes ECR puede contener potencialmente una larga lista de CVE, utilizamos el objeto agregado findingSeverityCounts para echar un vistazo rápido. Desde allí, siga la documentación de AWS para acceder a los resultados completos de su análisis , ya sea a través de la consola de Amazon ECR o mediante la CLI de AWS.

El objetivo de Threat Stack es alertarlo lo más rápido posible. Pero siéntete libre de modificar la configuración de gravedad y personalizar el filtro de reglas. (Para obtener más información sobre el lenguaje de consulta de Threat Stack utilizado anteriormente, consulte nuestra documentación ).

Administrador de sistemas de AWS

AWS Systems Manager es una potente herramienta de automatización con una amplia gama de funciones. Dos de esas características ( AWS Systems Manager Session Manager y AWS Systems Manager Run Command ) son particularmente interesantes para fines de auditoría.

Figura 2: Captura de pantalla de la interfaz de usuario de reglas de pila de amenazas para CloudTrail: SSM

Esto es lo que incluyen de fábrica las nuevas reglas de CloudTrail Systems Manager de Threat Stack:

  • Sendero de nubes: Comando de cancelación de SSM (Gravedad 3)
  • Sendero de nubes: Componente de creación de SSM (nivel 3)
  • Sendero de nubes: Eliminar componente SSM (Gravedad 3)
  • Sendero de nubes: Descubrimiento de información de SSM (Sev 3)
  • Sendero de nubes: Sesión de reanudación de SSM (Sev 3)
  • Sendero de nubes: Comando de envío SSM (Sev 3)
  • Sendero de nubes: Sesión SSM terminada (Gravedad 3)
  • Sendero de nubes: Ejecución de automatización de inicio de SSM (Gravedad 3)
  • Sendero de nubes: Sesión de inicio de SSM (Sev 3)

Dado que los valores predeterminados de Sev 3 son generales, prevemos que estas alertas se utilizarán principalmente con fines de auditoría, pero siempre se pueden ajustar para que se adapten mejor a sus necesidades. Veamos la sintaxis de filtro para CloudTrail: Descubrimiento de información de SSM:

event_type = "cloudtrail" y eventSource = "ssm.amazonaws.com" y (eventName empieza con "Describe" o eventName empieza con "List")

Si bien es relativamente sencillo, es un buen ejemplo del operador starts_with que se admite en el lenguaje de consulta de Threat Stack.

Pasando de las reglas a los eventos

Las alertas personalizadas de CloudTrail son solo una dimensión de las reglas que puedes crear en Threat Stack. Y una vez que estas reglas entren en vigor, probablemente querrás investigar los eventos subyacentes si necesitas realizar una investigación. Consulte esta investigación sobre el cryptojacking de Docker , donde analizamos paso a paso una alerta y sus eventos asociados. ¡Y esté atento a más investigaciones realizadas por los analistas del Programa Threat Stack Cloud SecOps℠ que llegarán a este espacio próximamente!

Threat Stack ahora es F5 Distributed Cloud App Infrastructure Protection (AIP). Comience a utilizar Distributed Cloud AIP con su equipo hoy mismo .