Threat Stack est désormais F5 Distributed Cloud App Infrastructure Protection (AIP). Commencez à utiliser Distributed Cloud AIP avec votre équipe dès aujourd'hui .
Chez Threat Stack, nous traitons chaque jour des dizaines de milliards d'événements pour nos clients. L’analyse de cette quantité de données nous donne une perspective unique pour identifier les tendances significatives dans l’utilisation des services AWS. Deux de ces tendances que nous avons récemment observées sont l’utilisation accrue d’ Amazon Elastic Container Registry (ECR) et d’AWS Systems Manager . Pour garantir que nos clients utilisent ces services en toute sécurité, nous avons ajouté des règles d'alerte par défaut pour ECR et Systems Manager à Threat Stack. Regardons certaines des nouvelles règles et leurs filtres.
Vous savez tous ce qu'est un registre de conteneurs, mais ce qui est génial avec Amazon ECR, c'est son intégration à Amazon Elastic Container Service (ECS) . Bien entendu, Threat Stack instrumente déjà les environnements ECS avec des détails granulaires d'Amazon Linux 2 et de Docker lors de l'exécution. Nous pouvons désormais offrir une meilleure observabilité de la sécurité sur la manière dont les images Docker statiques sont générées dans ECR.
Voici ce que les nouvelles règles CloudTrail ECR de Threat Stack incluent dès la sortie de la boîte :
En particulier, examinons la règle CloudTrail : Résultats de l’analyse d’image ECR – Gravité ÉLEVÉE.
Figure 1 : Capture d'écran de l'interface utilisateur des règles de la pile de menaces pour CloudTrail : ECR
La syntaxe du filtre est ici la partie la plus intéressante, alors voici un aperçu plus détaillé :
event_type = "cloudtrail" et eventSource = "ecr.amazonaws.com" et eventName = "DescribeImageScanFindings" et responseElements.imageScanFindings.findingSeverityCounts.HIGH > 0
Étant donné que l' événement JSON CloudTrail pour les résultats de l'analyse d'image ECR peut potentiellement contenir une longue liste de CVE, nous utilisons l'objet findingSeverityCounts
agrégé pour y jeter un œil rapide. À partir de là, suivez la documentation AWS pour accéder aux résultats complets de votre analyse , soit via la console Amazon ECR, soit via l'AWS CLI.
L'objectif de Threat Stack est de vous alerter le plus rapidement possible. Mais n'hésitez pas à modifier les paramètres de gravité et à personnaliser le filtre de règle. (Pour en savoir plus sur le langage de requête Threat Stack utilisé ci-dessus, consultez notre documentation .)
AWS Systems Manager est un outil d'automatisation puissant doté d'une large gamme de fonctionnalités. Deux de ces fonctionnalités — AWS Systems Manager Session Manager et AWS Systems Manager Run Command — sont particulièrement intéressantes à des fins d’audit.
Figure 2 : Capture d'écran de l'interface utilisateur des règles de la pile de menaces pour CloudTrail : SSM
Voici ce que les nouvelles règles CloudTrail Systems Manager de Threat Stack incluent dès la sortie de la boîte :
Avec des paramètres par défaut Sev 3 à tous les niveaux, nous prévoyons que ces alertes seront principalement utilisées à des fins d'audit, mais elles peuvent toujours être ajustées pour répondre au mieux à vos besoins. Examinons la syntaxe du filtre pour CloudTrail : Découverte d'informations SSM :
event_type = "cloudtrail" et eventSource = "ssm.amazonaws.com" et (eventName commence par "Décrire" ou eventName commence par "Liste")
Bien que relativement simple, c'est un bon exemple de l'opérateur starts_with
pris en charge dans le langage de requête de Threat Stack.
Les alertes CloudTrail personnalisées ne sont qu'une dimension des règles que vous pouvez créer dans Threat Stack. Et une fois que ces règles s'appliquent, vous voudrez probablement approfondir les événements sous-jacents si vous devez mener une enquête. Consultez cette enquête sur le cryptojacking Docker , où nous examinons étape par étape une alerte et ses événements associés. Et soyez à l’affût d’autres enquêtes menées par les analystes du programme Threat Stack Cloud SecOps℠ qui arriveront bientôt dans cet espace !
Threat Stack est désormais F5 Distributed Cloud App Infrastructure Protection (AIP). Commencez à utiliser Distributed Cloud AIP avec votre équipe dès aujourd'hui .