TecTop
|
|
Con Amazon Detective, puede analizar y visualizar datos de seguridad para investigar posibles problemas de seguridad. Detective recopila y analiza eventos que describen el tráfico de IP, las operaciones de administración de AWS y la actividad maliciosa o no autorizada de los registros de AWS CloudTrail, los registros de flujo de Amazon Virtual Private Cloud (Amazon VPC), los hallazgos de Amazon GuardDuty y, desde el año pasado, Amazon Elastic Kubernetes Service ( EKS) registros de auditoría. Con estos datos, Detective construye un modelo de gráfico que destila datos de registro mediante el aprendizaje automático, el análisis estadístico y la teoría de gráficos para crear un conjunto de datos vinculados para sus investigaciones de seguridad.
A partir de hoy, Detective ofrece soporte de investigación para hallazgos en AWS Security Hub además de los detectados por GuardDuty. Security Hub es un servicio que le brinda una vista de su estado de seguridad en AWS y lo ayuda a comparar su entorno con los estándares y las mejores prácticas de la industria de la seguridad. Si ha activado Security Hub y otros servicios de seguridad integrados de AWS, esos servicios comenzarán a enviar los resultados a Security Hub.
Con esta nueva capacidad, es más fácil usar Detective para determinar la causa y el impacto de los hallazgos provenientes de nuevas fuentes, como el Analizador de acceso de AWS Identity and Access Management (IAM), Amazon Inspector y Amazon Macie. Todos los servicios de AWS que envían hallazgos a Security Hub ahora son compatibles.
Veamos cómo funciona esto en la práctica.
Habilitación de los hallazgos de seguridad de AWS en Amazon Detective Console
Cuando habilita Detective por primera vez, Detective ahora identifica los hallazgos provenientes de GuardDuty y Security Hub, y automáticamente comienza a ingerirlos junto con otras fuentes de datos. Tenga en cuenta que no necesita habilitar o publicar estas fuentes de registro para que Detective comience su análisis porque Detective lo administra directamente.
Si ya es cliente de Detective, puede habilitar la investigación de los hallazgos de seguridad de AWS como fuente de datos con un solo clic en la Consola de administración de Detective. Ya tengo habilitado Detective, así que agrego el paquete fuente.
En la consola de Detective, en el Ajustes sección del panel de navegación, elijo General. ahí elijo Editar en el Paquetes fuente opcionales sección para habilitar Detective para hallazgos de seguridad de AWS.
Una vez habilitado, Detective comienza a analizar todos los datos relevantes para identificar conexiones entre eventos y actividades dispares. Para comenzar su proceso de investigación, puede obtener una visualización de estas conexiones, incluido el comportamiento y las actividades de los recursos. Las líneas base históricas, que puede usar para proporcionar comparaciones con la actividad reciente, se establecen después de dos semanas.
Investigación de los hallazgos de seguridad de AWS en Amazon Detective Console
Comienzo en la consola de Security Hub y elijo Recomendaciones en el panel de navegación. Allí, filtro los resultados para ver solo aquellos en los que el Nombre del producto es Inspector y Etiqueta de gravedad es ALTO.
El primero parece sospechoso, así que elijo su Título (CVE-2020-36223 – openldap). La consola de Security Hub me proporciona información sobre el identificador de vulnerabilidades y exposiciones comunes (CVE) correspondiente y dónde y cómo se encontró. En la parte inferior, tengo la opción de Investigar en Amazon Detective. yo sigo el Investigar hallazgo enlace, y la consola de Detective se abre en otra pestaña del navegador.
Aquí veo las entidades relacionadas con este hallazgo del Inspector. Primero, abro el perfil de la cuenta de AWS para ver todos los hallazgos asociados con este recurso, el volumen general de llamadas a la API emitidas por este recurso y los clústeres de contenedores en esta cuenta.
Por ejemplo, observo las llamadas API exitosas y fallidas para tener una mejor comprensión del impacto de este hallazgo.
Luego, abro el perfil de la imagen del contenedor. Allí, veo las imágenes que están relacionadas con esta imagen (porque tienen el mismo repositorio o registro que esta imagen), los contenedores que se ejecutan desde esta imagen durante el tiempo de alcance (administrado por Amazon EKS) y los hallazgos asociados con este recurso. .
Según el hallazgo, Detective me ayuda a correlacionar información de diferentes fuentes, como registros de CloudTrail, registros de flujo de VPC y registros de auditoría de EKS. Esta información facilita la comprensión del impacto del hallazgo y si el riesgo se ha convertido en incidente. Para Security Hub, Detective solo ingiere los resultados de las comprobaciones de configuración que fallaron. Debido a que las comprobaciones de configuración que pasaron tienen poco valor de seguridad, estamos filtrando estas salidas.
Disponibilidad y precios
El soporte de investigación de Amazon Detective para AWS Security Findings está disponible hoy para todos los clientes nuevos y existentes de Detective en todas las regiones de AWS donde Detective está disponible, incluidas las regiones de AWS GovCloud (EE. UU.). Para obtener más información, consulte la Lista de servicios regionales de AWS.
El precio de Amazon Detective se basa en el volumen de datos ingeridos. Al habilitar la investigación de los hallazgos de seguridad de AWS, puede aumentar el volumen de datos ingeridos. Para obtener más información, consulte los precios de Amazon Detective.
Cuando GuardDuty y Security Hub brindan un hallazgo, también sugieren la corrección. Además de eso, Detective me ayuda a investigar si la vulnerabilidad ha sido explotada, por ejemplo, utilizando registros y tráfico de red como prueba.
Actualmente, los hallazgos provenientes de Security Hub no están incluidos en el Encontrar grupos sección de la consola de Detective. Nuestro plan es ampliar Encontrar grupos para cubrir los servicios de seguridad de AWS recientemente integrados. ¡Manténganse al tanto!
Comience a usar Amazon Detective para investigar posibles problemas de seguridad.
— Danilo
