DEV Community

Rodrigo Fernandes
Rodrigo Fernandes

Posted on • Edited on

Amazon GuardDuty

Anotações sobre Amazon GuardDuty para ajudar na preparação das certificações AWS.

Até o momento as anotações são para as certificações abaixo:

Image description

Amazon GuardDuty

Documentação oficial


Definição do serviço

O Amazon GuardDuty é um serviço de detecção de ameaças que monitora continuamente suas contas e workloads da AWS para detectar atividade maliciosa e entrega resultados de segurança detalhados para visibilidade e correção.


Anotações gerais

  • Rastreamento e Detecção de ameaças
  • S3 Data Plane, EKS Control Plane, DNS Logs, Flow Logs e Cloudtrail Logs
  • Monitora o Route53 pelo DNS Logs
  • Durante o Setup tem que habilitar o Service Role para analisar o DNS Logs, Flow Logs e Cloudtrail Logs
  • Usa Machine Learning
  • Categoriza os findings por severidade (Low,Medium,High)
  • Update findings notification (6 hours (Padrão) // 1 hour // 15 min)
  • É recomendado habilitar em todas as contas
  • Pode arquivar e desarquivar um Finding
  • Respostas automáticas - CloudWatch Events e Lambda
  • 7 a 14 dias para configurar no baseline
  • Detecção de Malware em EC2 sem agent
  • Os findings são mantidos por até 90 dias
  • Analisa credencias comprometidas do IAM
  • 30 dias free
  • S3 Protection - Veem habilitado por padrão e pode ser desativado
  • Não monitora logs do Active Directory DNS
  • CloudTrailLoggingDisabled - Importante Finding
  • Monitora Port Scans
  • SSH brute force attacks
  • Não bloqueia IP dentro da VPC

Descobertas por tipo de recurso

Documentação oficial

  • EC2
  • IAM
  • Kubernetes
  • Malware
  • S3

Findings details

Documentação oficial


Export Findings

Documentação oficial

  • Os Finding são enviados automaticamente para o CloudWatch Events
  • Você também pode exportar Finding para um bucket do S3.
  • Novos Finding são exportados em 5 minutos
  • Você pode modificar a frequência dos Finding atualizados abaixo.

Image description


Centralizando contas

Documentação oficial

  • Centraliza detecção de multiple accounts em uma única console
  • Para que a conta "Member" seja adicionada na "Root" é necessário enviar um convite da conta Root para a conta Member para ser adicionado (Account_ID e e-mail de root)
  • Na conta "Member" deve ser aceito o convite
  • Pode importar uma lista de contas Membros em .cvs

Criando Whitelist(Trusted List e Threat List)

Adicionar e ativar uma lista de IPs confiáveis ​​no GuardDuty

  1. Abra o console do GuardDuty .
  2. No painel de navegação, escolha Listas.
  3. Escolha Adicionar uma lista de IPs confiáveis .
  4. Para Nome da lista, insira um nome que seja significativo para você.
  5. Para *Location *, insira o local do seu bucket do S3. Por exemplo, https://s3.amazonaws.com/bucket-name/file.txt .
  6. Escolha o menu suspenso **Formato **e escolha o tipo de arquivo da sua lista.
  7. Marque a caixa de seleção Concordo e escolha Adicionar lista .
  8. Em Listas de IPs confiáveis ​​, escolha Ativo para o nome da lista de IPs confiáveis.

Observação: pode levar até 5 minutos para que a lista seja ativada.


DNS de Terceiros

Documentação oficial

  • Se você usar outro DNS Resolver, como OpenDNS ou GoogleDNS, ou se configurar seus próprios DNS Resolvers, GuardDuty não poderá acessar e processar dados dessa fonte de dados.

Permissões de usuários nas contas

Conta Mestre
Os usuários da conta mestra podem configurar o GuardDuty, bem como visualizar e gerenciar as descobertas do GuardDuty para sua própria conta e todas as contas de membro associadas.

Veja a seguir como os usuários de uma conta mestra podem configurar o GuardDuty:

  • Podem gerar descobertas de amostra em sua própria conta.
  • NÃO PODEM gerar resultados de amostra nas contas dos membros.
  • Podem arquivar descobertas em suas próprias contas e em todas as contas de membros.
  • Podem fazer upload e gerenciar listas de IP confiáveis ​​e listas de ameaças em sua própria conta.

Contas de membro
Os usuários de contas de membros podem configurar o GuardDuty, bem como visualizar e gerenciar as descobertas do GuardDuty em suas contas.

Veja a seguir como os usuários de uma conta de membro podem configurar o GuardDuty:

  • Não podem configurar o GuardDuty ou visualizar ou gerenciar descobertas na conta mestra ou em outras contas de membro.
  • Podem gerar descobertas de amostra em sua própria conta de membro. -Não podem gerar resultados de amostra na conta mestra ou em outras contas-membro.
  • Não podem arquivar descobertas em sua própria conta ou na conta principal ou em outras contas de membro.
  • Não podem carregar e gerenciar listas de IP confiáveis ​​e listas de ameaças.
  • As listas de IPs confiáveis ​​e as listas de ameaças que são carregadas pela conta mestra são impostas à funcionalidade do GuardDuty em suas contas de membros. Em outras palavras, em contas de membros, o GuardDuty gera descobertas com base em atividades que envolvem endereços IP maliciosos conhecidos das listas de ameaças do mestre e não gera descobertas com base em atividades que envolvem endereços IP das listas de IP confiáveis ​​do mestre.

Referências

Top comments (0)