博客

威胁堆栈 AWS CloudTrail 规则集的新增内容

2020 年 8 月 10 日更新

Threat Stack 现在是F5 分布式云应用基础设施保护(AIP)。 立即开始与您的团队一起使用分布式云 AIP。

Amazon ECR 和 AWS Systems Manager API 活动的全新规则

在 Threat Stack,我们每天为客户处理数百亿个事件。 深入了解这些数据为我们提供了独特的视角来识别 AWS 服务使用情况中有意义的趋势。 我们最近观察到的两个趋势是Amazon Elastic Container Registry (ECR)AWS Systems Manager的使用量增加。 为了确保我们的客户安全地使用这些服务,我们已将 ECR 和 Systems Manager 的默认警报规则添加到 Threat Stack。 让我们看一些新规则及其过滤器。

亚马逊 ECR

大家都知道什么是容器注册表,但 Amazon ECR 的精彩之处在于它与Amazon Elastic Container Service (ECS)的集成。 当然, Threat Stack 已经在运行时使用来自 Amazon Linux 2 和 Docker 的详细信息来监测 ECS 环境。 现在,我们可以提供更多有关在 ECR 中获取静态 Docker 镜像的安全可观察性。

以下是 Threat Stack 的新 CloudTrail ECR 规则所包含的现成内容:

  • 云轨迹: ECR 创建存储库(严重性 3)
  • 云轨迹: ECR 删除存储库(严重性 3)
  • 云轨迹: ECR 图像扫描结果 – 严重程度高 (Sev 1)
  • 云轨迹: ECR 图像扫描结果 - 严重程度中等 (Sev 2)
  • 云轨迹: ECR 放置图像(严重性 3)
  • 云轨迹: ECR 放置图像扫描配置(严重性 3)
  • 云轨迹: ECR 设置存储库策略(严重性 3)

具体来说,我们来看一下 CloudTrail 规则: ECR 图像扫描结果 — 严重程度高。

 

图 1: CloudTrail 的威胁堆栈规则 UI 的屏幕截图: 回流电阻

这里的过滤器语法是最有趣的部分,我们来仔细看一下:

event_type =“cloudtrail”且 eventSource =“ecr.amazonaws.com”且 eventName =“DescribeImageScanFindings”且 responseElements.imageScanFindings.findingSeverityCounts.HIGH > 0

由于ECR 图像扫描结果的 CloudTrail 事件 JSON可能包含一长串 CVE,因此我们使用聚合的findingSeverityCounts对象进行快速查看。 从那里,按照AWS 文档通过 Amazon ECR 控制台或 AWS CLI 访问扫描的完整结果

Threat Stack 的目标是尽快向您发出警报。 但请随意修改严重性设置,并自定义规则过滤器。 (有关上面使用的威胁堆栈查询语言的更多信息,请参阅我们的文档。)

AWS 系统管理器

AWS Systems Manager 是一款功能强大的自动化工具,具有广泛的功能。 其中两个功能( AWS Systems Manager Session ManagerAWS Systems Manager Run Command )对于审计目的特别有用。

图 2: CloudTrail 的威胁堆栈规则 UI 的屏幕截图: 卫星扫描模块

以下是 Threat Stack 的新 CloudTrail Systems Manager 规则所包含的现成内容:

  • 云轨迹: SSM 取消命令(严重性 3)
  • 云轨迹: SSM 创建组件(严重性 3)
  • 云轨迹: SSM 删除组件(严重性 3)
  • 云轨迹: SSM 信息发现(Sev 3)
  • 云轨迹: SSM 恢复会议(严重性 3)
  • 云轨迹: SSM 发送命令(严重性 3)
  • 云轨迹: SSM 会话终止(严重性 3)
  • 云轨迹: SSM 开始自动化执行(严重性 3)
  • 云轨迹: SSM 启动会话(严重性 3)

由于 Sev 3 全面违约,我们预计这些警报将主要用于审计目的 - 但它们始终可以进行调整以最适合您的需求。 让我们看一下 CloudTrail 的过滤语法: SSM 信息发现:

event_type =“cloudtrail”和eventSource =“ssm.amazonaws.com”和(eventName starts_with“Describe”或eventName starts_with“List”)

虽然它相对简单,但它是 Threat Stack 查询语言支持的starts_with运算符的一个很好的例子。

从规则到事件

自定义 CloudTrail 警报只是您可以在 Threat Stack 中创建的规则的一个维度。 一旦这些规则生效,如果您需要进行调查,您可能需要深入研究潜在事件。 查看对Docker 加密劫持的调查,我们将逐步介绍警报及其相关事件。 请关注 Threat Stack Cloud SecOps Program℠ 分析师即将在此领域开展的更多调查!

Threat Stack 现在是F5 分布式云应用基础设施保护(AIP)。 立即开始与您的团队一起使用分布式云 AIP。