Amazon GuardDuty

Anotações sobre Amazon GuardDuty para ajudar na preparação das certificações AWS.

Até o momento as anotações são para as certificações abaixo:

Amazon GuardDuty

Documentação oficial

• Link do produto
• Amazon GuardDuty FAQs

---

Definição do serviço

O Amazon GuardDuty é um serviço de detecção de ameaças que monitora continuamente suas contas e workloads da AWS para detectar atividade maliciosa e entrega resultados de segurança detalhados para visibilidade e correção.

---

Anotações gerais

• Rastreamento e Detecção de ameaças
• S3 Data Plane, EKS Control Plane, DNS Logs, Flow Logs e Cloudtrail Logs
• Monitora o Route53 pelo DNS Logs
• Durante o Setup tem que habilitar o Service Role para analisar o DNS Logs, Flow Logs e Cloudtrail Logs
• Usa Machine Learning
• Categoriza os findings por severidade (Low,Medium,High)
• Update findings notification (6 hours (Padrão) // 1 hour // 15 min)
• É recomendado habilitar em todas as contas
• Pode arquivar e desarquivar um Finding
• Respostas automáticas - CloudWatch Events e Lambda
• 7 a 14 dias para configurar no baseline
• Detecção de Malware em EC2 sem agent
• Os findings são mantidos por até 90 dias
• Analisa credencias comprometidas do IAM
• 30 dias free
• S3 Protection - Veem habilitado por padrão e pode ser desativado
• Não monitora logs do Active Directory DNS
• CloudTrailLoggingDisabled - Importante Finding
• Monitora Port Scans
• SSH brute force attacks
• Não bloqueia IP dentro da VPC

---

Descobertas por tipo de recurso

Documentação oficial

• EC2
• IAM
• Kubernetes
• Malware
• S3

---

Findings details

Documentação oficial

---

Export Findings

Documentação oficial

• Os Finding são enviados automaticamente para o CloudWatch Events
• Você também pode exportar Finding para um bucket do S3.
• Novos Finding são exportados em 5 minutos
• Você pode modificar a frequência dos Finding atualizados abaixo.

---

Centralizando contas

Documentação oficial

• Centraliza detecção de multiple accounts em uma única console
• Para que a conta "Member" seja adicionada na "Root" é necessário enviar um convite da conta Root para a conta Member para ser adicionado (Account_ID e e-mail de root)
• Na conta "Member" deve ser aceito o convite
• Pode importar uma lista de contas Membros em .cvs

---

Criando Whitelist(Trusted List e Threat List)

• Documentação oficial

• Como configuro uma lista de endereços IP confiáveis ​​para o GuardDuty?

• Formato TXT, STIX, OTX_CSV, ALIEN_VAULT, PROOF_POINT ou FIRE_EYE

• Máximo de 2.000 endereços IP e CIDR para cada lista de IPs confiáveis.

• Apenas uma lista de IP confiável é permitida por recursos de detector

• Cria Whitelist de IP (Trusted List IP) podendo importar uma lista de IP

• A lista deve estar em um bucket

• Cria Threat List com IP´s maliciosos

Adicionar e ativar uma lista de IPs confiáveis ​​no GuardDuty

1. Abra o console do GuardDuty .
2. No painel de navegação, escolha Listas.
3. Escolha Adicionar uma lista de IPs confiáveis .
4. Para Nome da lista, insira um nome que seja significativo para você.
5. Para *Location *, insira o local do seu bucket do S3. Por exemplo, https://s3.amazonaws.com/bucket-name/file.txt .
6. Escolha o menu suspenso **Formato **e escolha o tipo de arquivo da sua lista.
7. Marque a caixa de seleção Concordo e escolha Adicionar lista .
8. Em Listas de IPs confiáveis ​​, escolha Ativo para o nome da lista de IPs confiáveis.

Observação: pode levar até 5 minutos para que a lista seja ativada.

---

DNS de Terceiros

Documentação oficial

• Se você usar outro DNS Resolver, como OpenDNS ou GoogleDNS, ou se configurar seus próprios DNS Resolvers, GuardDuty não poderá acessar e processar dados dessa fonte de dados.

---

Permissões de usuários nas contas

Conta Mestre
Os usuários da conta mestra podem configurar o GuardDuty, bem como visualizar e gerenciar as descobertas do GuardDuty para sua própria conta e todas as contas de membro associadas.

Veja a seguir como os usuários de uma conta mestra podem configurar o GuardDuty:

• Podem gerar descobertas de amostra em sua própria conta.
• NÃO PODEM gerar resultados de amostra nas contas dos membros.
• Podem arquivar descobertas em suas próprias contas e em todas as contas de membros.
• Podem fazer upload e gerenciar listas de IP confiáveis ​​e listas de ameaças em sua própria conta.

Contas de membro
Os usuários de contas de membros podem configurar o GuardDuty, bem como visualizar e gerenciar as descobertas do GuardDuty em suas contas.

Veja a seguir como os usuários de uma conta de membro podem configurar o GuardDuty:

• Não podem configurar o GuardDuty ou visualizar ou gerenciar descobertas na conta mestra ou em outras contas de membro.
• Podem gerar descobertas de amostra em sua própria conta de membro. -Não podem gerar resultados de amostra na conta mestra ou em outras contas-membro.
• Não podem arquivar descobertas em sua própria conta ou na conta principal ou em outras contas de membro.
• Não podem carregar e gerenciar listas de IP confiáveis ​​e listas de ameaças.
• As listas de IPs confiáveis ​​e as listas de ameaças que são carregadas pela conta mestra são impostas à funcionalidade do GuardDuty em suas contas de membros. Em outras palavras, em contas de membros, o GuardDuty gera descobertas com base em atividades que envolvem endereços IP maliciosos conhecidos das listas de ameaças do mestre e não gera descobertas com base em atividades que envolvem endereços IP das listas de IP confiáveis ​​do mestre.

---

Referências

• Tutorial DOJO - Amazon GuardDuty