Threat Stack ahora es F5 Distributed Cloud App Infrastructure Protection (AIP). Comience a utilizar Distributed Cloud AIP con su equipo hoy mismo .
En Threat Stack, procesamos decenas de miles de millones de eventos para clientes cada día. Analizar esa cantidad de datos nos brinda una perspectiva única para identificar tendencias significativas en el uso del servicio de AWS. Dos de esas tendencias que hemos observado recientemente han sido el aumento del uso de Amazon Elastic Container Registry (ECR) y AWS Systems Manager . Para garantizar que nuestros clientes utilicen estos servicios de forma segura, hemos agregado reglas de alerta predeterminadas para ECR y Systems Manager a Threat Stack. Veamos algunas de las nuevas reglas y sus filtros.
Todos saben qué es un registro de contenedores, pero lo bueno de Amazon ECR es lo integrado que está con Amazon Elastic Container Service (ECS) . Por supuesto, Threat Stack ya instrumenta entornos ECS con detalles granulares de Amazon Linux 2 y Docker en tiempo de ejecución. Ahora, podemos ofrecer mayor observabilidad de seguridad en cuanto a cómo se obtienen las imágenes estáticas de Docker dentro de ECR.
Esto es lo que incluyen de fábrica las nuevas reglas ECR de CloudTrail de Threat Stack:
En particular, veamos la regla CloudTrail: Hallazgos en la exploración por imágenes de ECR: gravedad ALTA.
Figura 1: Captura de pantalla de la interfaz de usuario de reglas de pila de amenazas para CloudTrail: ECR
La sintaxis del filtro es la parte más interesante, así que veámosla más de cerca:
event_type = "cloudtrail" y eventSource = "ecr.amazonaws.com" y eventName = "DescribeImageScanFindings" y responseElements.imageScanFindings.findingSeverityCounts.HIGH > 0
Dado que el JSON del evento CloudTrail para los hallazgos del escaneo de imágenes ECR puede contener potencialmente una larga lista de CVE, utilizamos el objeto agregado findingSeverityCounts
para echar un vistazo rápido. Desde allí, siga la documentación de AWS para acceder a los resultados completos de su análisis , ya sea a través de la consola de Amazon ECR o mediante la CLI de AWS.
El objetivo de Threat Stack es alertarlo lo más rápido posible. Pero siéntete libre de modificar la configuración de gravedad y personalizar el filtro de reglas. (Para obtener más información sobre el lenguaje de consulta de Threat Stack utilizado anteriormente, consulte nuestra documentación ).
AWS Systems Manager es una potente herramienta de automatización con una amplia gama de funciones. Dos de esas características ( AWS Systems Manager Session Manager y AWS Systems Manager Run Command ) son particularmente interesantes para fines de auditoría.
Figura 2: Captura de pantalla de la interfaz de usuario de reglas de pila de amenazas para CloudTrail: SSM
Esto es lo que incluyen de fábrica las nuevas reglas de CloudTrail Systems Manager de Threat Stack:
Dado que los valores predeterminados de Sev 3 son generales, prevemos que estas alertas se utilizarán principalmente con fines de auditoría, pero siempre se pueden ajustar para que se adapten mejor a sus necesidades. Veamos la sintaxis de filtro para CloudTrail: Descubrimiento de información de SSM:
event_type = "cloudtrail" y eventSource = "ssm.amazonaws.com" y (eventName empieza con "Describe" o eventName empieza con "List")
Si bien es relativamente sencillo, es un buen ejemplo del operador starts_with
que se admite en el lenguaje de consulta de Threat Stack.
Las alertas personalizadas de CloudTrail son solo una dimensión de las reglas que puedes crear en Threat Stack. Y una vez que estas reglas entren en vigor, probablemente querrás investigar los eventos subyacentes si necesitas realizar una investigación. Consulte esta investigación sobre el cryptojacking de Docker , donde analizamos paso a paso una alerta y sus eventos asociados. ¡Y esté atento a más investigaciones realizadas por los analistas del Programa Threat Stack Cloud SecOps℠ que llegarán a este espacio próximamente!
Threat Stack ahora es F5 Distributed Cloud App Infrastructure Protection (AIP). Comience a utilizar Distributed Cloud AIP con su equipo hoy mismo .