GuardDuty

Kulingana na nyaraka: GuardDuty inachanganya ujifunzaji wa mashine, ugunduzi wa kutofautisha, ufuatiliaji wa mtandao, na ugunduzi wa faili za uovu, ikitumia vyanzo vya AWS na vya tatu vinavyoongoza kwenye tasnia kusaidia kulinda mizigo ya kazi na data kwenye AWS. GuardDuty inaweza kuchambua matukio mabilioni kote kwenye vyanzo vingi vya data vya AWS, kama vile logs za matukio za AWS CloudTrail, Amazon Virtual Private Cloud (VPC) Flow Logs, ukaguzi wa Amazon Elastic Kubernetes Service (EKS) na logs za kiwango cha mfumo, na logs za uchunguzi wa DNS.

Amazon GuardDuty inatambua shughuli isiyo ya kawaida ndani ya akaunti zako, inachambua umuhimu wa usalama wa shughuli hiyo, na inatoa muktadha ambao uliitisha shughuli hiyo. Hii inamruhusu mtu wa kujibu kujua ikiwa wanapaswa kutumia muda zaidi kwa uchunguzi zaidi.

Onyo linatokea kwenye konsoli ya GuardDuty (siku 90) na CloudWatch Events.

Mfano wa Matokeo

• Uchunguzi: Shughuli inayoonyesha uchunguzi na mshambuliaji, kama vile shughuli isiyo ya kawaida ya API, jaribio la kuingia kwa database la shaka, uchunguzi wa bandari ndani ya-VPC, mifumo ya kushindwa ya kuingia isiyokuwa ya kawaida, au uchunguzi wa bandari usiozuiliwa kutoka kwa anwani mbaya inayojulikana.

• Kudukuliwa kwa Kifaa: Shughuli inayoonyesha kudukuliwa kwa kifaa, kama vile madini ya sarafu, amri ya kudhibiti na udhibiti wa nyuma (C&C), programu hasidi inayotumia algorithms za kizazi cha kikoa (DGA), shughuli ya kukataa huduma ya nje, kiasi kikubwa cha trafiki ya mtandao, itifaki za mtandao zisizo za kawaida, mawasiliano ya kifaa cha nje na anwani mbaya inayojulikana, vyeti vya muda vya Amazon EC2 vilivyotumiwa na anwani ya IP ya nje, na utoroshaji wa data kwa kutumia DNS.

• Kudukuliwa kwa Akaunti: Mifumo ya kawaida inayoonyesha kudukuliwa kwa akaunti ni pamoja na wito wa API kutoka eneo lisilo la kawaida au proxy ya kuficha, jaribio la kulemaza kuingia kwa AWS CloudTrail logging, mabadiliko yanayopunguza sera ya nenosiri la akaunti, uzinduzi wa mifumo au miundombinu isiyo ya kawaida, kuweka miundombinu katika eneo lisilo la kawaida, wizi wa vyeti, shughuli ya kuingia ya database ya shaka, na wito wa API kutoka kwa anwani mbaya inayojulikana.

• Kudukuliwa kwa Kikapu: Shughuli inayoonyesha kudukuliwa kwa kikapu, kama vile mifumo ya ufikiaji wa data ya shaka inayoonyesha matumizi mabaya ya vyeti, shughuli isiyo ya kawaida ya API ya Amazon S3 kutoka kwa mwenyeji wa mbali, ufikiaji usiohalali wa S3 kutoka kwa anwani mbaya inayojulikana, na wito wa API kuchukua data katika vikapu vya S3 kutoka kwa mtumiaji ambaye hajawahi kutumia kikapu hicho hapo awali au ulioitwa kutoka eneo lisilo la kawaida. Amazon GuardDuty inachunguza na kuchambua matukio ya data ya AWS CloudTrail S3 (k.m. GetObject, ListObjects, DeleteObject) ili kugundua shughuli za shaka kote kwenye vikapu vyako vyote vya Amazon S3.

Matokeo Yote

Pata orodha ya matokeo yote ya GuardDuty katika: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html

Akaunti Zaidi

Kwa Mwaliko

Unaweza kuwaalika akaunti zingine kwenye akaunti tofauti ya AWS GuardDuty ili kila akaunti iwe inafuatiliwa kutoka kwa GuardDuty ile ile. Akaunti ya msingi lazima iwaalike akaunti za wanachama na kisha mwakilishi wa akaunti ya mwanachama lazima akubali mwaliko.

Kupitia Shirika

Unaweza kuteua akaunti yoyote ndani ya shirika kuwa msimamizi aliyeaminiwa wa GuardDuty. Akaunti ya usimamizi wa shirika pekee ndiyo inaweza kuteua msimamizi aliyeaminiwa.

Akaunti inayopewa jukumu la msimamizi aliyeaminiwa inakuwa akaunti ya msimamizi wa GuardDuty, ina GuardDuty kuwezeshwa moja kwa moja katika Mkoa ulioteuliwa wa AWS, na pia ina idhini ya kuwezesha na kusimamia GuardDuty kwa akaunti zote katika shirika hilo ndani ya Mkoa huo. Akaunti zingine katika shirika hilo zinaweza kuonekana na kuongezwa kama akaunti za wanachama wa GuardDuty zinazohusishwa na akaunti hii ya msimamizi aliyeaminiwa.

Urambazaji

# Get Org config
aws guardduty list-organization-admin-accounts #Get Delegated Administrator
aws guardduty describe-organization-configuration --detector-id <id>

# Check external invitations
aws guardduty list-invitations
aws guardduty get-invitations-count

# Detector Information
aws guardduty list-detectors # 1 detector per account with GuardDuty
aws guardduty get-detector --detector-id <id> # Get detector info
aws guardduty get-master-account --detector-id <id>

# Get filters
aws guardduty list-filters --detector-id <id> # Check filters
aws guardduty get-filter --detector-id <id> --filter-name <name>

# Findings
aws guardduty list-findings --detector-id <id> # List findings
aws guardduty get-findings --detector-id <id> --finding-ids <id> # Get details about the finding
aws guardduty get-findings-statistics --detector-id <id> --finding-statistic-types <types>

# Get trusted IP addresses
aws guardduty list-ip-sets --detector-id <id>
aws guardduty get-ip-set --detector-id <id>

# Member accounts of the current AWS GuardDuty master account
aws guardduty list-members --detector-id <id>
aws guardduty get-members --detector-id <id> --account-ids <id>
aws guardduty get-member-detectors --detector-id <id> --account-ids <id>

# Continuously export its findings to an Amazon S3 bucket
aws guardduty list-publishing-destinations --detector-id <id>

# Intelligence sets that you have uploaded to GuardDuty
aws guardduty list-threat-intel-sets --detector-id <id>
aws guardduty get-threat-intel-set --detector-id <id> --threat-intel-set-id <id>

Kizuizi cha GuardDuty

Mwongozo Mkuu

Jaribu kujua kadri uwezavyo kuhusu tabia ya vyeti utakavyotumia:

• Nyakati zinazotumiwa

• Maeneo

• Wateja wa Mtumiaji / Huduma (Inaweza kutumika kutoka awscli, konsoli ya wavuti, lambda...)

• Ruhusa zinazotumiwa mara kwa mara

Kwa habari hizi, jaribu kurekebisha kadri iwezekanavyo hali hiyo hiyo ya kutumia ufikiaji:

• Ikiwa ni mtumiaji au jukumu linalotumiwa na mtumiaji, jaribu kutumia wakati sawa, kutoka eneo sawa (hata ISP na IP sawa ikiwezekana)

• Ikiwa ni jukumu linalotumiwa na huduma, tengeneza huduma hiyo hiyo katika eneo sawa na uitumie kutoka hapo katika vipindi sawa vya wakati

• Jaribu daima kutumia ruhusa sawa ambazo msingi huu umetumia

• Ikiwa unahitaji kutumia ruhusa nyingine au kutumia ruhusa vibaya (kwa mfano, kupakua faili za kumbukumbu za cloudtrail 1.000.000) fanya hivyo polepole na kwa idadi ndogo kabisa ya mwingiliano na AWS (awscli mara nyingine huita APIs kadhaa za kusoma kabla ya ile ya kuandika)

Kuvunja GuardDuty

guardduty:UpdateDetector

Kwa ruhusa hii unaweza kulemaza GuardDuty ili kuepuka kuzindua tahadhari.

aws guardduty update-detector --detector-id <detector-id> --no-enable
aws guardduty update-detector --detector-id <detector-id> --data-sources S3Logs={Enable=false}

guardduty:CreateFilter

Washambuliaji wenye idhini hii wana uwezo wa kutumia vichungi kwa ajili ya kuhifadhi moja kwa moja ya matokeo:

aws guardduty create-filter  --detector-id <detector-id> --name <filter-name> --finding-criteria file:///tmp/criteria.json --action ARCHIVE

iam:PutRolePolicy, (guardduty:CreateIPSet|guardduty:UpdateIPSet)

Washambuliaji wenye mamlaka ya awali wangeweza kurekebisha Orodha ya IP Zinazotegemewa ya GuardDuty kwa kuongeza anwani yao ya IP na kuepuka kuzalisha tahadhari.

aws guardduty update-ip-set --detector-id <detector-id> --activate --ip-set-id <ip-set-id> --location https://some-bucket.s3-eu-west-1.amazonaws.com/attacker.csv

guardduty:DeletePublishingDestination

Mashambulizi wanaweza kuondoa marudio ili kuzuia kutoa tahadhari:

aws guardduty delete-publishing-destination --detector-id <detector-id> --destination-id <dest-id>

Mifano ya Kupuuza Matokeo Maalum

Tambua kuwa kuna matokeo mengi ya GuardDuty, hata hivyo, kama Msimamizi wa Timu Nyekundu sio yote yatakayoathiri wewe, na zaidi ya hayo, una nyaraka kamili ya kila moja katika https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html kwa hivyo tazama kabla ya kuchukua hatua yoyote ili usinaswe.

Hapa kuna mifano michache ya njia za kupuuza matokeo maalum ya GuardDuty:

PenTest:IAMUser/KaliLinux

GuardDuty huchunguza maombi ya API ya AWS kutoka kwa zana za upimaji wa usalama za kawaida na kuzindua PenTest Finding. Inagunduliwa na jina la wakala wa mtumiaji linalopitishwa katika ombi la API. Kwa hivyo, kwa kubadilisha wakala wa mtumiaji inawezekana kuzuia GuardDuty kugundua shambulio.

Ili kuzuia hii unaweza kutafuta kutoka kwenye skripti session.py katika pakiti ya botocore na kubadilisha wakala wa mtumiaji, au weka Burp Suite kama proksi ya AWS CLI na badilisha wakala wa mtumiaji na MitM au tumia mfumo wa uendeshaji kama Ubuntu, Mac au Windows ili kuzuia onyo hili lisizinduliwe.

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration

Kuchota siri za EC2 kutoka kwa huduma ya metadata na kuzitumia nje ya mazingira ya AWS huchochea onyo la UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. Kinyume chake, kutumia siri hizi kutoka kwa kifaa chako cha EC2 huchochea onyo la UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS. Hata hivyo, kutumia siri kwenye kifaa kingine cha EC2 kilichoharibiwa ndani ya akaunti hiyo hiyo hakigunduliwi, hivyo hakuna onyo linalozinduliwa.

Marejeo

• https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html

• https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html

• https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_upload-lists.html

• https://docs.aws.amazon.com/cli/latest/reference/guardduty/delete-publishing-destination.html

• https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#unauthorizedaccess-ec2-torclient

• https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws

• https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#unauthorizedaccess-iam-instancecredentialexfiltrationinsideaws

• https://docs.aws.amazon.com/whitepapers/latest/aws-privatelink/what-are-vpc-endpoints.html