GuardDuty, Macie, Detective

Question 1

GuardDuty
Зачем нужен этот сервис?
С какими сервисами он интегрируется?
Что GuardDuty может делать с S3?

Answer 1

Мониторит (threat detection) malicious активность с данными в логах
- CloudTrail Events Logs (включая и S3 data-events)
- VPC Flow Logs (неожиданный внутренний трафик, неожиданные IP)
- DNS Logs
- S3, EKS, RDS, Lambda, EBS - все логируемые события в этих сервисах

GuardDuty может мониторить malicious активность в логах S3
- касательно данных S3
- касательно операций с S3 объектами, настройками

Question 2

Как GuardDuty интегрируется с API-сервисами?
CloudFront, API Gateway, ALB

Answer 2

GuardDuty НЕ интегрируется с этими API-сервисами
Хотя у них есть свои логи, так что это НЕ очевидно…

Question 3

Что такое finding?
Где и через что GuardDuty их обнаруживает?
Что такое finding severity?

Answer 3

GuardDuty использует ML и 3-rd party данные для поиска своих findings в логах

Finding (в контексте GuardDuty) - это потенциальный security issue,
найденный в malicious event’ах, произошедших в AWS

Каждому finding’у даётся severity от 0.1 до 8+ (high, medium, low)

Question 4

Что такое Delegated Administrator for GuardDuty?
Что может настраивать GuardDuty Administrator?

Answer 4

В AWS организации администратором GuardDuty может быть НЕ обязательно Organization Management аккаунт.
Администратором GuardDuty может быть и обычный Member аккаунт.
Это называется “delegated administrator”

В AWS организации только GuardDuty администратор может управлять Trusted IP List и Thread IP List.

Question 5

1. GuardDuty зафиксировал попытку SSH с незнакомого IP адреса (SSHBruteForce)
   Как можно автоматизировать Remediation для этой проблемы?
   Какие сервисы нужно для этого использовать?

Answer 5

2. GuardDuty выпустил соответствующий event в EventBridge
3. EventBridge отправил письмо администратору через SNS
4. EventBridge приказал Lambda функции добавить этот IP адрес в block-list сервиса WAF

Question 6

Есть Trusted IP List и Thread IP List
Что будет делать с ними GuardDuty?
Что будет делать с ними WAF?

Answer 6

GuardDuty НЕ будет создавать findings для Trusted IP, обнаруженного в логах.
WAF будет блокировать запросы от Thread IP list

Question 7

Чем отличается GuardDuty и Macie для S3?

Answer 7

• GuardDuty - monitor malicious activity в S3
• Macie - поиск sensitive данных в S3

Question 8

Что делает Macie?
Объяснить типы данных в Macie:
- Financial
- CustomIdentifier
- Personal
- Credentials

Answer 8

Machine-learning сервис, который ищет sensitive данные в S3 бакетах

• financial information about customers
• кастомный идентификатор
• PII personally identifiable information
• AWS secret access key, private key

Question 9

Amazon Detective
Зачем нужен этот сервис?
Как он связан с Macie и GuardDuty?

Answer 9

GuardDuty, Macie, Security Hub - это сервисы для обнаружения Security Issues, findings

После обнаружения угрозы обычно следует этап поиска причины - root cause
Amazon Detective (дословно, “детектив”) - это сервис для поиска root cause
Amazon Detective нарисует визуализацию, отражающую источник угрозы