블로그

위협 스택 AWS CloudTrail 규칙 세트에 추가

2020년 8월 10일 업데이트

Threat Stack은 이제 F5 Distributed Cloud App Infrastructure Protection (AIP)입니다. 오늘부터 팀과 함께 분산 클라우드 AIP를 사용해 보세요.

Amazon ECR 및 AWS Systems Manager API 활동에 대한 새로운 규칙

Threat Stack에서는 매일 고객을 위해 수천억 건의 이벤트를 처리합니다. 그렇게 많은 양의 데이터에 대한 통찰력을 통해 AWS 서비스 사용에서 의미 있는 추세를 파악할 수 있는 고유한 관점을 얻을 수 있습니다. 우리가 최근에 관찰한 두 가지 추세는 Amazon Elastic Container Registry(ECR)AWS Systems Manager 사용 증가입니다. 고객이 이러한 서비스를 안전하게 사용할 수 있도록 Threat Stack에 ECR 및 Systems Manager에 대한 기본 알림 규칙을 추가했습니다. 새로운 규칙과 그 필터를 살펴보겠습니다.

아마존 ECR

여러분은 모두 컨테이너 레지스트리가 무엇인지 알고 계실 겁니다. 하지만 Amazon ECR의 장점은 Amazon Elastic Container Service(ECS) 와 매우 잘 통합되어 있다는 것입니다. 물론 Threat Stack은 이미 런타임에 Amazon Linux 2 및 Docker의 세부적인 정보를 ECS 환경에 적용하고 있습니다 . 이제 ECR 내에서 정적 Docker 이미지가 어떻게 소싱되는지에 대한 보안 관찰 기능을 더 강화할 수 있습니다.

Threat Stack의 새로운 CloudTrail ECR 규칙에 기본적으로 포함된 내용은 다음과 같습니다.

  • 클라우드트레일: ECR 저장소 생성(Sev 3)
  • 클라우드트레일: ECR 저장소 삭제(Sev 3)
  • 클라우드트레일: ECR 이미지 스캔 결과 – 심각도 높음(Sev 1)
  • 클라우드트레일: ECR 이미지 스캔 결과 – 심각도 중간(Sev 2)
  • 클라우드트레일: ECR 이미지 넣기(Sev 3)
  • 클라우드트레일: ECR 이미지 스캐닝 구성(Sev 3)
  • 클라우드트레일: ECR 저장소 정책 설정(Sev 3)

특히 CloudTrail 규칙을 살펴보겠습니다. ECR 이미지 스캔 결과 – 심각도 높음.

 

그림 1 : CloudTrail의 Threat Stack Rules UI 스크린샷: 전자문서

여기의 필터 구문은 가장 흥미로운 부분이므로 자세히 살펴보겠습니다.

event_type = "cloudtrail" 및 eventSource = "ecr.amazonaws.com" 및 eventName = "DescribeImageScanFindings" 및 responseElements.imageScanFindings.findingSeverityCounts.HIGH > 0

ECR 이미지 검사 결과에 대한 CloudTrail 이벤트 JSON에는 잠재적으로 긴 CVE 목록이 포함될 수 있으므로, 집계된 findingSeverityCounts 객체를 사용하여 빠르게 살펴봅니다. 그런 다음 AWS 설명서에 따라 Amazon ECR 콘솔이나 AWS CLI를 통해 스캔의 전체 결과에 액세스하세요 .

Threat Stack의 목표는 가능한 한 빨리 알림을 보내는 것입니다. 하지만 심각도 설정을 수정하고 규칙 필터를 사용자 정의하는 것은 자유롭습니다. (위에서 사용된 위협 스택 쿼리 언어에 대한 자세한 내용은 문서를 참조하세요 .)

AWS 시스템 관리자

AWS Systems Manager는 다양한 기능을 갖춘 강력한 자동화 도구입니다. 이러한 기능 중 두 가지( AWS Systems Manager Session ManagerAWS Systems Manager Run Command )는 감사 목적으로 특히 흥미롭습니다.

그림 2: CloudTrail의 Threat Stack Rules UI 스크린샷: 사회복지법인

Threat Stack의 새로운 CloudTrail Systems Manager 규칙에 기본적으로 포함된 내용은 다음과 같습니다.

  • 클라우드트레일: SSM 취소 명령(Sev 3)
  • 클라우드트레일: SSM 구성 요소 생성(Sev 3)
  • 클라우드트레일: SSM 구성 요소 삭제(Sev 3)
  • 클라우드트레일: SSM 정보 발견(Sev 3)
  • 클라우드트레일: SSM 이력서 세션(Sev 3)
  • 클라우드트레일: SSM Send 명령(Sev 3)
  • 클라우드트레일: SSM 세션 종료됨(Sev 3)
  • 클라우드트레일: SSM 자동화 실행 시작(Sev 3)
  • 클라우드트레일: SSM 시작 세션(Sev 3)

모든 부문에서 Sev 3 기본값이 적용되므로 이러한 알림은 주로 감사 목적으로 사용될 것으로 예상하지만 항상 사용자의 요구 사항에 가장 적합하도록 조정할 수 있습니다. CloudTrail의 필터 구문을 살펴보겠습니다. SSM 정보 발견:

event_type = "cloudtrail" 및 eventSource = "ssm.amazonaws.com" 및 (eventName starts_with "Describe" 또는 eventName starts_with "List")

비교적 간단하지만 Threat Stack의 쿼리 언어에서 지원되는 starts_with 연산자의 좋은 예입니다.

규칙에서 이벤트로 이동

사용자 정의 CloudTrail 알림은 Threat Stack에서 만들 수 있는 규칙의 한 측면에 불과합니다. 그리고 이러한 규칙이 적용되면 조사를 실시해야 하는 경우 근본적인 사건을 파헤치고 싶을 것입니다. Docker 크립토재킹 에 대한 조사를 확인해 보세요. 여기에서는 경고와 관련 이벤트를 단계별로 살펴봅니다. 그리고 Threat Stack Cloud SecOps Program℠ 분석가가 수행하는 추가 조사가 곧 이 분야에 적용될 예정입니다!

Threat Stack은 이제 F5 Distributed Cloud App Infrastructure Protection (AIP)입니다. 오늘부터 팀과 함께 분산 클라우드 AIP를 사용해 보세요.