Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

03) Limits, Facts - DevOps > GuardDuty, Macie, Detective > Flashcards

GuardDuty, Macie, Detective Flashcards

1
Q

GuardDuty
Зачем нужен этот сервис?
С какими сервисами он интегрируется?
Что GuardDuty может делать с S3?

A

Мониторит (threat detection) malicious активность с данными в логах
- CloudTrail Events Logs (включая и S3 data-events)
- VPC Flow Logs (неожиданный внутренний трафик, неожиданные IP)
- DNS Logs
- S3, EKS, RDS, Lambda, EBS - все логируемые события в этих сервисах

GuardDuty может мониторить malicious активность в логах S3
- касательно данных S3
- касательно операций с S3 объектами, настройками

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Как GuardDuty интегрируется с API-сервисами?
CloudFront, API Gateway, ALB

A

GuardDuty НЕ интегрируется с этими API-сервисами
Хотя у них есть свои логи, так что это НЕ очевидно…

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Что такое finding?
Где и через что GuardDuty их обнаруживает?
Что такое finding severity?

A

GuardDuty использует ML и 3-rd party данные для поиска своих findings в логах

Finding (в контексте GuardDuty) - это потенциальный security issue,
найденный в malicious event’ах, произошедших в AWS

Каждому finding’у даётся severity от 0.1 до 8+ (high, medium, low)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Что такое Delegated Administrator for GuardDuty?
Что может настраивать GuardDuty Administrator?

A

В AWS организации администратором GuardDuty может быть НЕ обязательно Organization Management аккаунт.
Администратором GuardDuty может быть и обычный Member аккаунт.
Это называется “delegated administrator”

В AWS организации только GuardDuty администратор может управлять Trusted IP List и Thread IP List.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q
  1. GuardDuty зафиксировал попытку SSH с незнакомого IP адреса (SSHBruteForce)
    Как можно автоматизировать Remediation для этой проблемы?
    Какие сервисы нужно для этого использовать?
A
  1. GuardDuty выпустил соответствующий event в EventBridge
  2. EventBridge отправил письмо администратору через SNS
  3. EventBridge приказал Lambda функции добавить этот IP адрес в block-list сервиса WAF
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Есть Trusted IP List и Thread IP List
Что будет делать с ними GuardDuty?
Что будет делать с ними WAF?

A

GuardDuty НЕ будет создавать findings для Trusted IP, обнаруженного в логах.
WAF будет блокировать запросы от Thread IP list

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Чем отличается GuardDuty и Macie для S3?

A
  • GuardDuty - monitor malicious activity в S3
  • Macie - поиск sensitive данных в S3
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Что делает Macie?
Объяснить типы данных в Macie:
- Financial
- CustomIdentifier
- Personal
- Credentials

A

Machine-learning сервис, который ищет sensitive данные в S3 бакетах

  • financial information about customers
  • кастомный идентификатор
  • PII personally identifiable information
  • AWS secret access key, private key
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Amazon Detective
Зачем нужен этот сервис?
Как он связан с Macie и GuardDuty?

A

GuardDuty, Macie, Security Hub - это сервисы для обнаружения Security Issues, findings

После обнаружения угрозы обычно следует этап поиска причины - root cause
Amazon Detective (дословно, “детектив”) - это сервис для поиска root cause
Amazon Detective нарисует визуализацию, отражающую источник угрозы

How well did you know this?
1
Not at all
2
3
4
5
Perfectly

03) Limits, Facts - DevOps (39 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions