Anotações sobre AWS GuardDuty para ajudar na preparação das certificações AWS.
Até o momento as anotações são para as certificações abaixo:
AWS GuardDuty
Documentação oficial
Definição do serviço
O Amazon GuardDuty é um serviço de detecção de ameaças que monitora continuamente suas contas e workloads da AWS para detectar atividade maliciosa e entrega resultados de segurança detalhados para visibilidade e correção.
Anotações gerais
- Rastreamento e Detecção de ameaças
- S3 Data Plane, EKS Control Plane, DNS Logs, Flow Logs e Cloudtrail Logs
- Monitora o Route53 pelo DNS Logs
- Durante o Setup tem que habilitar o Service Role para analisar o DNS Logs, Flow Logs e Cloudtrail Logs
- Usa Machine Learning
- Categoriza os findings por severidade (Low,Medium,High)
- Update findings notification (6 hours (Padrão) // 1 hour // 15 min)
- É recomendado habilitar em todas as contas
- Pode arquivar e desarquivar um Finding
- Respostas automáticas - CloudWatch Events e Lambda
- 7 a 14 dias para configurar no baseline
- Detecção de Malware em EC2 sem agent
- Os findings são mantidos por até 90 dias
- Analisa credencias comprometidas do IAM
- 30 dias free
- S3 Protection - Veem habilitado por padrão e pode ser desativado
- Não monitora logs do Active Directory DNS
- CloudTrailLoggingDisabled - Importante Finding
- Monitora Port Scans
- SSH brute force attacks
- Não bloqueia IP dentro da VPC
Descobertas por tipo de recurso
- EC2
- IAM
- Kubernetes
- Malware
- S3
Findings details
Export Findings
- Os Finding são enviados automaticamente para o CloudWatch Events
- Você também pode exportar Finding para um bucket do S3.
- Novos Finding são exportados em 5 minutos
- Você pode modificar a frequência dos Finding atualizados abaixo.
Centralizando contas
- Centraliza detecção de multiple accounts em uma única console
- Para que a conta "Member" seja adicionada na "Root" é necessário enviar um convite da conta Root para a conta Member para ser adicionado (Account_ID e e-mail de root)
- Na conta "Member" deve ser aceito o convite
- Pode importar uma lista de contas Membros em .cvs
Criando Whitelist(Trusted List e Threat List)
- Documentação oficial
Como configuro uma lista de endereços IP confiáveis para o GuardDuty?
Formato TXT, STIX, OTX_CSV, ALIEN_VAULT, PROOF_POINT ou FIRE_EYE
Máximo de 2.000 endereços IP e CIDR para cada lista de IPs confiáveis.
Apenas uma lista de IP confiável é permitida por recursos de detector
Cria Whitelist de IP (Trusted List IP) podendo importar uma lista de IP
A lista deve estar em um bucket
Cria Threat List com IP´s maliciosos
Adicionar e ativar uma lista de IPs confiáveis no GuardDuty
- Abra o console do GuardDuty .
- No painel de navegação, escolha Listas.
- Escolha Adicionar uma lista de IPs confiáveis .
- Para Nome da lista, insira um nome que seja significativo para você.
- Para *Location *, insira o local do seu bucket do S3. Por exemplo, https://s3.amazonaws.com/bucket-name/file.txt .
- Escolha o menu suspenso **Formato **e escolha o tipo de arquivo da sua lista.
- Marque a caixa de seleção Concordo e escolha Adicionar lista .
- Em Listas de IPs confiáveis , escolha Ativo para o nome da lista de IPs confiáveis.
Observação: pode levar até 5 minutos para que a lista seja ativada.
DNS de Terceiros
- Se você usar outro DNS Resolver, como OpenDNS ou GoogleDNS, ou se configurar seus próprios DNS Resolvers, GuardDuty não poderá acessar e processar dados dessa fonte de dados.
Permissões de usuários nas contas
Conta Mestre
Os usuários da conta mestra podem configurar o GuardDuty, bem como visualizar e gerenciar as descobertas do GuardDuty para sua própria conta e todas as contas de membro associadas.
Veja a seguir como os usuários de uma conta mestra podem configurar o GuardDuty:
- Podem gerar descobertas de amostra em sua própria conta.
- NÃO PODEM gerar resultados de amostra nas contas dos membros.
- Podem arquivar descobertas em suas próprias contas e em todas as contas de membros.
- Podem fazer upload e gerenciar listas de IP confiáveis e listas de ameaças em sua própria conta.
Contas de membro
Os usuários de contas de membros podem configurar o GuardDuty, bem como visualizar e gerenciar as descobertas do GuardDuty em suas contas.
Veja a seguir como os usuários de uma conta de membro podem configurar o GuardDuty:
- Não podem configurar o GuardDuty ou visualizar ou gerenciar descobertas na conta mestra ou em outras contas de membro.
- Podem gerar descobertas de amostra em sua própria conta de membro. -Não podem gerar resultados de amostra na conta mestra ou em outras contas-membro.
- Não podem arquivar descobertas em sua própria conta ou na conta principal ou em outras contas de membro.
- Não podem carregar e gerenciar listas de IP confiáveis e listas de ameaças.
- As listas de IPs confiáveis e as listas de ameaças que são carregadas pela conta mestra são impostas à funcionalidade do GuardDuty em suas contas de membros. Em outras palavras, em contas de membros, o GuardDuty gera descobertas com base em atividades que envolvem endereços IP maliciosos conhecidos das listas de ameaças do mestre e não gera descobertas com base em atividades que envolvem endereços IP das listas de IP confiáveis do mestre.
Top comments (0)