Présentation de la prise en charge de Threat Stack pour AWS Fargate
Threat Stack est désormais F5 Distributed Cloud App Infrastructure Protection (AIP). Commencez à utiliser Distributed Cloud AIP avec votre équipe dès aujourd'hui .
Alors que les clients évaluent et conçoivent de nouvelles formes d'architectures de conteneurs gérés, Threat Stack sera là pour fournir une vue détaillée des systèmes en cours d'exécution qui peuvent accélérer les cas d'utilisation avancés de conformité et de recherche de menaces. Aujourd’hui, nous présentons la disponibilité générale de Threat Stack Container Security Monitoring pour AWS Fargate, élargissant ainsi notre vision sur l’ensemble de la pile de sécurité cloud.
Dans cet article, nous décrirons comment la nouvelle prise en charge Fargate de Threat Stack peut renforcer vos contrôles de sécurité AWS existants, et nous examinerons également rapidement comment fonctionnent les alertes et la recherche d'événements pour les métadonnées Fargate au sein de Threat Stack Cloud Security Platform®.
Nouvel agent de pile de menaces Fargate
En tant que client, les mêmes mécanismes de base de vos flux de travail Threat Stack s'appliquent aux métadonnées AWS Fargate pour la génération d'alertes, la personnalisation des règles, la recherche de menaces, etc. Déployez simplement l'agent, assurez la connectivité réseau et les données de sécurité commencent à circuler dans votre plateforme Threat Stack.
Notre agent Fargate fonctionne en tant que side-car et est défini dans le cadre de votre définition de tâche Fargate sur Amazon ECS . L'agent surveille deux aspects clés de votre environnement d'exécution Fargate :
- Activité de processus à l'intérieur des conteneurs Fargate
- Données de flux réseau au sein et en dehors des tâches Fargate
Threat Stack fournit un contexte supplémentaire sur Fargate avec une vue complète et en temps réel des journaux AWS CloudTrail . Les applications prises en charge par les tâches Fargate bénéficient d'une protection d'exécution supplémentaire via Threat Stack Application Security Monitoring pour le code Node.js, Python et Ruby. Alors que nous consolidons votre vue de ces données sur la plateforme Threat Stack, elles s'ajoutent aux contrôles de sécurité AWS natifs pour vos autorisations Amazon VPC et AWS IAM .
Métadonnées Fargate dans la plateforme Threat Stack
Threat Stack fournit des détections par défaut pour les activités Fargate, notamment :
- Séances interactives
- Binaires SSHD
- Tentatives d'exfiltration de données
- Connexions réseau inattendues
Ces règles de détection déclenchent des alertes en temps réel, telles que les suivantes, pour une connexion réseau entrante inattendue :
La logique sous-jacente à cette règle est facilement personnalisable. Voici un exemple simplifié :
event_type = "hostlessNetflow" et taskDst = "true" et srcIp != "10.0.0.0/8"
Threat Stack fournit également une fenêtre détaillée sur toutes les données d'événement pour soutenir les enquêtes médico-légales. Par exemple, les clients peuvent facilement affiner leurs recherches pour voir toutes les activités de processus pour une tâche donnée dans une période définie :
event_type = "hostlessProcess" ET agent_id = "7dd63b2d-a41d-11ea-92f9-2741263fc82a" ET event_time <
"1594402575809" ET event_time > "1594402565610"
Chaque événement est accompagné de détails complémentaires que les utilisateurs peuvent afficher dans l'interface utilisateur. Par exemple, vous pouvez explorer le premier événement dans l'image ci-dessus pour voir l'événement complet au format JSON :
Essayez-le par vous-même
Veuillez contacter votre responsable de la réussite client ou votre représentant commercial Threat Stack pour planifier une démonstration. Les clients existants peuvent également évaluer l'agent Fargate pendant une période limitée en y accédant via https://registry.hub.docker.com/u/threatstack .
Threat Stack est désormais F5 Distributed Cloud App Infrastructure Protection (AIP). Commencez à utiliser Distributed Cloud AIP avec votre équipe dès aujourd'hui .