AWS - GuardDuty Enum

GuardDuty

Kulingana na nyaraka: GuardDuty inachanganya ujifunzaji wa mashine, ugunduzi wa kipekee, ufuatiliaji wa mtandao, na ugunduzi wa faili za uovu, ikatumia vyanzo vya AWS na vyanzo vya tatu vinavyoongoza kwenye tasnia kusaidia kulinda mizigo ya kazi na data kwenye AWS. GuardDuty inaweza kuchambua matukio mabilioni kwenye vyanzo vingi vya data vya AWS, kama vile kumbukumbu za matukio za AWS CloudTrail, Kumbukumbu za Mtiririko wa Amazon Virtual Private Cloud (VPC), Ukaguzi wa Amazon Elastic Kubernetes Service (EKS) na kumbukumbu za kiwango cha mfumo, na kumbukumbu za uchunguzi wa DNS.

Amazon GuardDuty inatambua shughuli isiyo ya kawaida ndani ya akaunti zako, inachambua umuhimu wa usalama wa shughuli hiyo, na hutoa muktadha ambao uliitisha. Hii inaruhusu mwenye kujibu kujua ikiwa wanapaswa kutumia muda zaidi kwa uchunguzi zaidi.

Onyo linatokea kwenye konsoli ya GuardDuty (siku 90) na Matukio ya CloudWatch.

Mfano wa Matokeo

• Uchunguzi: Shughuli inayoonyesha uchunguzi na mshambuliaji, kama vile shughuli isiyo ya kawaida ya API, jaribio la kuingia kwa kutatanisha kwenye database, uchunguzi wa bandari ndani ya VPC, mifumo ya kutatanisha ya ombi la kuingia lililoshindwa, au uchunguzi wa bandari usiozuiliwa kutoka kwa anwani mbaya inayojulikana.

• Kudukua kifaa: Shughuli inayoonyesha kudukua kifaa, kama vile kuchimba sarafu za kidijitali, amri ya mlango wa nyuma na udhibiti (C&C), programu hasidi inayotumia algorithms za kizazi cha kikoa (DGA), shughuli ya kukataa huduma ya nje, kiasi kikubwa cha trafiki ya mtandao, itifaki za mtandao zisizo za kawaida, mawasiliano ya kifaa cha nje na anwani mbaya inayojulikana, vyeti vya muda vya Amazon EC2 vilivyotumiwa na anwani ya IP ya nje, na utoroshaji wa data kwa kutumia DNS.

• Kudukua akaunti: Mifumo ya kawaida inayoonyesha kudukua akaunti ni pamoja na wito wa API kutoka kwa eneo lisilo la kawaida au proksi ya kuficha, jaribio la kulemaza kuingia kwa AWS CloudTrail, mabadiliko yanayodhoofisha sera ya nenosiri la akaunti, uzinduzi wa mifumo au miundombinu isiyo ya kawaida, kuweka miundombinu katika eneo lisilo la kawaida, wizi wa vyeti, shughuli ya kutatanisha ya kuingia kwenye database, na wito wa API kutoka kwa anwani mbaya inayojulikana.

• Kudukua kisanduku: Shughuli inayoonyesha kudukua kisanduku, kama vile mifumo ya ufikiaji wa data inayoonyesha matumizi mabaya ya vyeti, shughuli isiyo ya kawaida ya API ya Amazon S3 kutoka kwa mwenyeji wa mbali, ufikiaji usiohalali wa S3 kutoka kwa anwani mbaya inayojulikana, na wito wa API kuchukua data katika visanduku vya S3 kutoka kwa mtumiaji ambaye hajawahi kutumia sanduku hapo awali au ulioitwa kutoka eneo lisilo la kawaida. Amazon GuardDuty inachunguza na kuchambua matukio ya data ya AWS CloudTrail S3 (k.m. GetObject, ListObjects, DeleteObject) ili kugundua shughuli za kutatanisha kote kwenye visanduku vyako vyote vya Amazon S3.

Matokeo Yote

Pata orodha ya matokeo yote ya GuardDuty hapa: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html

Akaunti nyingi

Kwa Mwaliko

Unaweza kuwaalika akaunti zingine kwenye akaunti tofauti ya AWS GuardDuty ili kila akaunti iwe inafuatiliwa kutoka kwa GuardDuty ile ile. Akaunti ya msingi lazima iwaalike akaunti za wanachama na kisha mwakilishi wa akaunti ya mwanachama lazima akubali mwaliko.

Kupitia Shirika

Unaweza kuteua akaunti yoyote ndani ya shirika kuwa msimamizi aliyeaminiwa wa GuardDuty. Akaunti ya usimamizi wa shirika pekee ndiyo inaweza kuteua msimamizi aliyeaminiwa.

Akaunti inayopewa jukumu la msimamizi aliyeaminiwa inakuwa akaunti ya msimamizi wa GuardDuty, ina GuardDuty kuwezeshwa moja kwa moja katika Eneo lililoteuliwa la AWS, na pia ina ruhusa ya kuwezesha na kusimamia GuardDuty kwa akaunti zote katika shirika hilo ndani ya Eneo hilo. Akaunti zingine katika shirika hilo zinaweza kuonekana na kuongezwa kama akaunti za wanachama wa GuardDuty zinazohusishwa na akaunti hii ya msimamizi aliyeaminiwa.

Urambazaji

# Get Org config
aws guardduty list-organization-admin-accounts #Get Delegated Administrator
aws guardduty describe-organization-configuration --detector-id <id>

# Check external invitations
aws guardduty list-invitations
aws guardduty get-invitations-count

# Detector Information
aws guardduty list-detectors # 1 detector per account with GuardDuty
aws guardduty get-detector --detector-id <id> # Get detector info
aws guardduty get-master-account --detector-id <id>

# Get filters
aws guardduty list-filters --detector-id <id> # Check filters
aws guardduty get-filter --detector-id <id> --filter-name <name>

# Findings
aws guardduty list-findings --detector-id <id> # List findings
aws guardduty get-findings --detector-id <id> --finding-ids <id> # Get details about the finding
aws guardduty get-findings-statistics --detector-id <id> --finding-statistic-types <types>

# Get trusted IP addresses
aws guardduty list-ip-sets --detector-id <id>
aws guardduty get-ip-set --detector-id <id>

# Member accounts of the current AWS GuardDuty master account
aws guardduty list-members --detector-id <id>
aws guardduty get-members --detector-id <id> --account-ids <id>
aws guardduty get-member-detectors --detector-id <id> --account-ids <id>

# Continuously export its findings to an Amazon S3 bucket
aws guardduty list-publishing-destinations --detector-id <id>

# Intelligence sets that you have uploaded to GuardDuty
aws guardduty list-threat-intel-sets --detector-id <id>
aws guardduty get-threat-intel-set --detector-id <id> --threat-intel-set-id <id>

Kupuuza GuardDuty

Mwongozo Mkuu

Jaribu kujua kadri uwezavyo kuhusu tabia ya vyeti utakavyotumia:

• Nyakati inapotumiwa

• Maeneo

• Wateja wa Mtumiaji / Huduma (Inaweza kutumika kutoka awscli, konsoli ya wavuti, lambda...)

• Ruhusa zinazotumiwa mara kwa mara

Ukiwa na habari hii, jaribu kurekebisha kadri iwezekanavyo hali hiyo hiyo ya kutumia ufikiaji:

• Ikiwa ni mtumiaji au jukumu linalotumiwa na mtumiaji, jaribu kutumia wakati sawa, kutoka eneo sawa (hata ISP na IP sawa ikiwezekana)

• Ikiwa ni jukumu linalotumiwa na huduma, tengeneza huduma hiyo hiyo katika eneo sawa na uitumie kutoka hapo katika vipindi sawa vya wakati

• Jaribu daima kutumia ruhusa sawa ambazo msingi huu umetumia

• Ikiwa unahitaji kutumia ruhusa nyingine au kutumia ruhusa vibaya (kwa mfano, kupakua faili 1,000,000 za kumbukumbu za cloudtrail) fanya hivyo polepole na kwa idadi ndogo kabisa ya mwingiliano na AWS (awscli mara nyingine huita APIs kadhaa za kusoma kabla ya ile ya kuandika)

Kuvunja GuardDuty

guardduty:UpdateDetector

Kwa ruhusa hii unaweza kulemaza GuardDuty ili kuepuka kuzindua tahadhari.

aws guardduty update-detector --detector-id <detector-id> --no-enable
aws guardduty update-detector --detector-id <detector-id> --data-sources S3Logs={Enable=false}

guardduty:CreateFilter

Washambuliaji wenye idhini hii wana uwezo wa kutumia vichungi kwa ajili ya kuhifadhi moja kwa moja ya matokeo:

aws guardduty create-filter  --detector-id <detector-id> --name <filter-name> --finding-criteria file:///tmp/criteria.json --action ARCHIVE

iam:PutRolePolicy, (guardduty:CreateIPSet|guardduty:UpdateIPSet)

Washambuliaji wenye mamlaka ya awali wangeweza kuhariri Orodha ya IP Zinazopatikana ya GuardDuty kwa kuongeza anwani yao ya IP na kuepuka kuzalisha tahadhari.

aws guardduty update-ip-set --detector-id <detector-id> --activate --ip-set-id <ip-set-id> --location https://some-bucket.s3-eu-west-1.amazonaws.com/attacker.csv

guardduty:DeletePublishingDestination

Washambuliaji wanaweza kuondoa marudio ili kuzuia kutuma arifa:

aws guardduty delete-publishing-destination --detector-id <detector-id> --destination-id <dest-id>

Mifano ya Kupuuza Ufafanuzi Maalum

Tafadhali kumbuka kuwa kuna matokeo mengi ya GuardDuty, hata hivyo, kama Msimamizi wa Timu Nyekundu sio yote yatakayoathiri wewe, na zaidi ya hayo, una nyaraka kamili ya kila moja katika https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html kwa hivyo tazama kabla ya kuchukua hatua yoyote ili usinaswe.

Hapa kuna mifano michache ya njia za kupuuza matokeo maalum ya GuardDuty:

PenTest:IAMUser/KaliLinux

GuardDuty huchunguza maombi ya API ya AWS kutoka kwa zana za upimaji wa usalama za kawaida na kuzindua PenTest Finding. Inagunduliwa na jina la wakala wa mtumiaji linalopitishwa katika ombi la API. Kwa hivyo, kwa kubadilisha wakala wa mtumiaji inawezekana kuzuia GuardDuty kugundua shambulio.

Ili kuzuia hii unaweza kutafuta kutoka kwenye skripti session.py katika pakiti ya botocore na kubadilisha wakala wa mtumiaji, au weka Burp Suite kama proksi ya AWS CLI na badilisha wakala wa mtumiaji na MitM au tumia mfumo wa uendeshaji kama Ubuntu, Mac au Windows ili kuzuia onyo hili lisizinduliwe.

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration

Kuchota siri za EC2 kutoka kwa huduma ya metadata na kuzitumia nje ya mazingira ya AWS huchochea onyo la UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. Kinyume chake, kutumia siri hizi kutoka kwa kifaa chako cha EC2 huchochea onyo la UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS. Hata hivyo, kutumia siri kwenye kifaa kingine cha EC2 kilichoharibiwa ndani ya akaunti hiyo hiyo hakigunduliwi, hivyo hakuna onyo linalozinduliwa.

Marejeo

• https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html

• https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html

• https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_upload-lists.html

• https://docs.aws.amazon.com/cli/latest/reference/guardduty/delete-publishing-destination.html

• https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#unauthorizedaccess-ec2-torclient

• https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws

• https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#unauthorizedaccess-iam-instancecredentialexfiltrationinsideaws

• https://docs.aws.amazon.com/whitepapers/latest/aws-privatelink/what-are-vpc-endpoints.html