O Threat Stack agora é F5 Distributed Cloud App Infrastructure Protection (AIP). Comece a usar o Distributed Cloud AIP com sua equipe hoje mesmo .
Na Threat Stack, processamos dezenas de bilhões de eventos para clientes todos os dias. A compreensão dessa quantidade de dados nos dá uma perspectiva única para identificar tendências significativas no uso dos serviços da AWS. Duas dessas tendências que observamos recentemente foram o aumento do uso do Amazon Elastic Container Registry (ECR) e do AWS Systems Manager . Para garantir que nossos clientes usem esses serviços com segurança, adicionamos regras de alerta padrão para ECR e Systems Manager ao Threat Stack. Vamos dar uma olhada em algumas das novas regras e seus filtros.
Todos vocês sabem o que é um registro de contêiner, mas o melhor do Amazon ECR é sua integração com o Amazon Elastic Container Service (ECS) . É claro que o Threat Stack já instrumenta ambientes ECS com detalhes granulares do Amazon Linux 2 e Docker em tempo de execução. Agora, podemos oferecer mais observabilidade de segurança sobre como as imagens estáticas do Docker são obtidas no ECR.
Aqui está o que as novas regras ECR do CloudTrail do Threat Stack incluem prontas para uso:
Em particular, vamos dar uma olhada na regra CloudTrail: Resultados da varredura de imagem ECR – Gravidade ALTA.
Figura 1: Captura de tela da interface do usuário das regras de pilha de ameaças para CloudTrail: ECR
A sintaxe do filtro aqui é a parte mais interessante, então aqui está uma análise mais detalhada:
event_type = "cloudtrail" e eventSource = "ecr.amazonaws.com" e eventName = "DescribeImageScanFindings" e responseElements.imageScanFindings.findingSeverityCounts.HIGH > 0
Como o JSON do evento do CloudTrail para as descobertas da verificação de imagem ECR pode conter uma longa lista de CVEs, usamos o objeto findingSeverityCounts
agregado para dar uma olhada rápida. A partir daí, siga a documentação da AWS para acessar as descobertas completas da sua verificação , por meio do console do Amazon ECR ou da AWS CLI.
O objetivo do Threat Stack é alertá-lo o mais rápido possível. Mas sinta-se à vontade para modificar as configurações de gravidade e personalizar o filtro de regras. (Para mais informações sobre a linguagem de consulta do Threat Stack usada acima, consulte nossa documentação .)
O AWS Systems Manager é uma ferramenta de automação poderosa com uma ampla variedade de recursos. Dois desses recursos — AWS Systems Manager Session Manager e AWS Systems Manager Run Command — são particularmente interessantes para fins de auditoria.
Figura 2: Captura de tela da interface do usuário das regras de pilha de ameaças para CloudTrail: SSM
Aqui está o que as novas regras do CloudTrail Systems Manager do Threat Stack incluem prontas para uso:
Com os padrões Sev 3 em todos os níveis, prevemos que esses alertas serão usados principalmente para fins de auditoria — mas eles sempre podem ser ajustados para melhor atender às suas necessidades. Vamos dar uma olhada na sintaxe do filtro para CloudTrail: Descoberta de informações do SSM:
event_type = "cloudtrail" e eventSource = "ssm.amazonaws.com" e (eventName starts_with "Descrever" ou eventName starts_with "Listar")
Embora seja relativamente simples, é um bom exemplo do operador starts_with
que é suportado na linguagem de consulta do Threat Stack.
O alerta personalizado do CloudTrail é apenas uma dimensão das regras que você pode criar no Threat Stack. E quando essas regras forem aplicadas, você provavelmente vai querer investigar os eventos subjacentes se precisar conduzir uma investigação. Confira esta investigação sobre o cryptojacking do Docker , onde analisamos passo a passo um alerta e seus eventos associados. E fique atento a mais investigações conduzidas pelos analistas do Threat Stack Cloud SecOps Program℠ que chegarão a este espaço em breve!
O Threat Stack agora é F5 Distributed Cloud App Infrastructure Protection (AIP). Comece a usar o Distributed Cloud AIP com sua equipe hoje mesmo .