BLOG

Ajouts au jeu de règles Threat Stack AWS CloudTrail

Mise à jour le 10 août 2020

Threat Stack est désormais F5 Distributed Cloud App Infrastructure Protection (AIP). Commencez à utiliser Distributed Cloud AIP avec votre équipe dès aujourd'hui .

Nouvelles règles pour l'activité des API Amazon ECR et AWS Systems Manager

Chez Threat Stack, nous traitons chaque jour des dizaines de milliards d'événements pour nos clients. L’analyse de cette quantité de données nous donne une perspective unique pour identifier les tendances significatives dans l’utilisation des services AWS. Deux de ces tendances que nous avons récemment observées sont l’utilisation accrue d’ Amazon Elastic Container Registry (ECR) et d’AWS Systems Manager . Pour garantir que nos clients utilisent ces services en toute sécurité, nous avons ajouté des règles d'alerte par défaut pour ECR et Systems Manager à Threat Stack. Regardons certaines des nouvelles règles et leurs filtres.

Amazon ECR

Vous savez tous ce qu'est un registre de conteneurs, mais ce qui est génial avec Amazon ECR, c'est son intégration à Amazon Elastic Container Service (ECS) . Bien entendu, Threat Stack instrumente déjà les environnements ECS avec des détails granulaires d'Amazon Linux 2 et de Docker lors de l'exécution. Nous pouvons désormais offrir une meilleure observabilité de la sécurité sur la manière dont les images Docker statiques sont générées dans ECR.

Voici ce que les nouvelles règles CloudTrail ECR de Threat Stack incluent dès la sortie de la boîte :

  • CloudTrail : Créer un référentiel ECR (Sev 3)
  • CloudTrail : Supprimer le référentiel ECR (Sev 3)
  • CloudTrail : Résultats de l'examen d'imagerie ECR – Gravité ÉLEVÉE (Sev 1)
  • CloudTrail : Résultats de l'examen d'imagerie ECR – Gravité MOYENNE (Gravité 2)
  • CloudTrail : Image de mise en place ECR (Sev 3)
  • CloudTrail : Configuration de numérisation d'image ECR (Sev 3)
  • CloudTrail : Politique de dépôt de l'ensemble ECR (Sev 3)

En particulier, examinons la règle CloudTrail : Résultats de l’analyse d’image ECR – Gravité ÉLEVÉE.

 

Figure 1 : Capture d'écran de l'interface utilisateur des règles de la pile de menaces pour CloudTrail : ECR

La syntaxe du filtre est ici la partie la plus intéressante, alors voici un aperçu plus détaillé :

event_type = "cloudtrail" et eventSource = "ecr.amazonaws.com" et eventName = "DescribeImageScanFindings" et responseElements.imageScanFindings.findingSeverityCounts.HIGH > 0

Étant donné que l' événement JSON CloudTrail pour les résultats de l'analyse d'image ECR peut potentiellement contenir une longue liste de CVE, nous utilisons l'objet findingSeverityCounts agrégé pour y jeter un œil rapide. À partir de là, suivez la documentation AWS pour accéder aux résultats complets de votre analyse , soit via la console Amazon ECR, soit via l'AWS CLI.

L'objectif de Threat Stack est de vous alerter le plus rapidement possible. Mais n'hésitez pas à modifier les paramètres de gravité et à personnaliser le filtre de règle. (Pour en savoir plus sur le langage de requête Threat Stack utilisé ci-dessus, consultez notre documentation .)

Responsable des systèmes AWS

AWS Systems Manager est un outil d'automatisation puissant doté d'une large gamme de fonctionnalités. Deux de ces fonctionnalités — AWS Systems Manager Session Manager et AWS Systems Manager Run Command — sont particulièrement intéressantes à des fins d’audit.

Figure 2 : Capture d'écran de l'interface utilisateur des règles de la pile de menaces pour CloudTrail : SSM

Voici ce que les nouvelles règles CloudTrail Systems Manager de Threat Stack incluent dès la sortie de la boîte :

  • CloudTrail : Commande d'annulation SSM (Sev 3)
  • CloudTrail : Créer un composant SSM (Sev 3)
  • CloudTrail : Suppression du composant SSM (Sev 3)
  • CloudTrail : Découverte d'informations SSM (Sev 3)
  • CloudTrail : Session de reprise SSM (Sev 3)
  • CloudTrail : Commande d'envoi SSM (Sev 3)
  • CloudTrail : Session SSM terminée (Sev 3)
  • CloudTrail : Exécution de l'automatisation de démarrage SSM (Sev 3)
  • CloudTrail : Session de démarrage SSM (Sev 3)

Avec des paramètres par défaut Sev 3 à tous les niveaux, nous prévoyons que ces alertes seront principalement utilisées à des fins d'audit, mais elles peuvent toujours être ajustées pour répondre au mieux à vos besoins. Examinons la syntaxe du filtre pour CloudTrail : Découverte d'informations SSM :

event_type = "cloudtrail" et eventSource = "ssm.amazonaws.com" et (eventName commence par "Décrire" ou eventName commence par "Liste")

Bien que relativement simple, c'est un bon exemple de l'opérateur starts_with pris en charge dans le langage de requête de Threat Stack.

Passer des règles aux événements

Les alertes CloudTrail personnalisées ne sont qu'une dimension des règles que vous pouvez créer dans Threat Stack. Et une fois que ces règles s'appliquent, vous voudrez probablement approfondir les événements sous-jacents si vous devez mener une enquête. Consultez cette enquête sur le cryptojacking Docker , où nous examinons étape par étape une alerte et ses événements associés. Et soyez à l’affût d’autres enquêtes menées par les analystes du programme Threat Stack Cloud SecOps℠ qui arriveront bientôt dans cet espace !

Threat Stack est désormais F5 Distributed Cloud App Infrastructure Protection (AIP). Commencez à utiliser Distributed Cloud AIP avec votre équipe dès aujourd'hui .