BLOG

Adições ao Threat Stack AWS CloudTrail Ruleset

Atualizado em 10 de agosto de 2020

O Threat Stack agora é F5 Distributed Cloud App Infrastructure Protection (AIP). Comece a usar o Distributed Cloud AIP com sua equipe hoje mesmo .

Novas regras para atividade da API do Amazon ECR e do AWS Systems Manager

Na Threat Stack, processamos dezenas de bilhões de eventos para clientes todos os dias. A compreensão dessa quantidade de dados nos dá uma perspectiva única para identificar tendências significativas no uso dos serviços da AWS. Duas dessas tendências que observamos recentemente foram o aumento do uso do Amazon Elastic Container Registry (ECR) e do AWS Systems Manager . Para garantir que nossos clientes usem esses serviços com segurança, adicionamos regras de alerta padrão para ECR e Systems Manager ao Threat Stack. Vamos dar uma olhada em algumas das novas regras e seus filtros.

Amazon ECR

Todos vocês sabem o que é um registro de contêiner, mas o melhor do Amazon ECR é sua integração com o Amazon Elastic Container Service (ECS) . É claro que o Threat Stack já instrumenta ambientes ECS com detalhes granulares do Amazon Linux 2 e Docker em tempo de execução. Agora, podemos oferecer mais observabilidade de segurança sobre como as imagens estáticas do Docker são obtidas no ECR.

Aqui está o que as novas regras ECR do CloudTrail do Threat Stack incluem prontas para uso:

  • Trilha da Nuvem: ECR Criar Repositório (Sev 3)
  • Trilha da Nuvem: ECR Delete Repository (Sev 3)
  • Trilha da Nuvem: Resultados da varredura de imagem ECR – Gravidade ALTA (Sev 1)
  • Trilha da Nuvem: Resultados da varredura de imagem ECR – Gravidade MÉDIA (Sev 2)
  • Trilha da Nuvem: ECR Coloque Imagem (Sev 3)
  • Trilha da Nuvem: Configuração de digitalização de imagem ECR Put (Sev 3)
  • Trilha da Nuvem: Política de repositório de conjunto ECR (Sev 3)

Em particular, vamos dar uma olhada na regra CloudTrail: Resultados da varredura de imagem ECR – Gravidade ALTA.

 

Figura 1: Captura de tela da interface do usuário das regras de pilha de ameaças para CloudTrail: ECR

A sintaxe do filtro aqui é a parte mais interessante, então aqui está uma análise mais detalhada:

event_type = "cloudtrail" e eventSource = "ecr.amazonaws.com" e eventName = "DescribeImageScanFindings" e responseElements.imageScanFindings.findingSeverityCounts.HIGH > 0

Como o JSON do evento do CloudTrail para as descobertas da verificação de imagem ECR pode conter uma longa lista de CVEs, usamos o objeto findingSeverityCounts agregado para dar uma olhada rápida. A partir daí, siga a documentação da AWS para acessar as descobertas completas da sua verificação , por meio do console do Amazon ECR ou da AWS CLI.

O objetivo do Threat Stack é alertá-lo o mais rápido possível. Mas sinta-se à vontade para modificar as configurações de gravidade e personalizar o filtro de regras. (Para mais informações sobre a linguagem de consulta do Threat Stack usada acima, consulte nossa documentação .)

Gerente de sistemas da AWS

O AWS Systems Manager é uma ferramenta de automação poderosa com uma ampla variedade de recursos. Dois desses recursos — AWS Systems Manager Session Manager e AWS Systems Manager Run Command — são particularmente interessantes para fins de auditoria.

Figura 2: Captura de tela da interface do usuário das regras de pilha de ameaças para CloudTrail: SSM

Aqui está o que as novas regras do CloudTrail Systems Manager do Threat Stack incluem prontas para uso:

  • Trilha da Nuvem: Comando de cancelamento SSM (Sev 3)
  • Trilha da Nuvem: SSM Criar Componente (Sev 3)
  • Trilha da Nuvem: Componente de exclusão SSM (Sev 3)
  • Trilha da Nuvem: Descoberta de informações SSM (Sev 3)
  • Trilha da Nuvem: Sessão de currículo SSM (Sev 3)
  • Trilha da Nuvem: Comando de envio SSM (Sev 3)
  • Trilha da Nuvem: Sessão SSM encerrada (Sev 3)
  • Trilha da Nuvem: Execução de automação de início do SSM (Sev 3)
  • Trilha da Nuvem: Sessão de Início SSM (Sev 3)

Com os padrões Sev 3 em todos os níveis, prevemos que esses alertas serão usados principalmente para fins de auditoria — mas eles sempre podem ser ajustados para melhor atender às suas necessidades. Vamos dar uma olhada na sintaxe do filtro para CloudTrail: Descoberta de informações do SSM:

event_type = "cloudtrail" e eventSource = "ssm.amazonaws.com" e (eventName starts_with "Descrever" ou eventName starts_with "Listar")

Embora seja relativamente simples, é um bom exemplo do operador starts_with que é suportado na linguagem de consulta do Threat Stack.

Passando de regras para eventos

O alerta personalizado do CloudTrail é apenas uma dimensão das regras que você pode criar no Threat Stack. E quando essas regras forem aplicadas, você provavelmente vai querer investigar os eventos subjacentes se precisar conduzir uma investigação. Confira esta investigação sobre o cryptojacking do Docker , onde analisamos passo a passo um alerta e seus eventos associados. E fique atento a mais investigações conduzidas pelos analistas do Threat Stack Cloud SecOps Program℠ que chegarão a este espaço em breve!

O Threat Stack agora é F5 Distributed Cloud App Infrastructure Protection (AIP). Comece a usar o Distributed Cloud AIP com sua equipe hoje mesmo .