miércoles, 27 de marzo de 2024

GuardDuty: Bloqueando host sospechosos automáticamente.

Esta entrada no se tratan las bondades de GuardDuty, para conocerlas puedes acceder a la siguiente entrada: AWS GuardDuty, donde detallo las principales características del servicio y en que puede ayudarnos a la hora de reforzar nuestra postura de seguridad dentro de AWS. 


De lo que si hablaré es de generar flujos automatizados que utilicen controles de detección y de respuesta, e incluso de controles preventivos, que ayuden a minimizar y mitigar las amenazas actuales y futuras. 

En función de determinados eventos de origen, podremos automatizar acciones especificas que nos ayuden a remediar los hallazgos, que en este caso nos ofrecerá GuardDuty, como primera línea de acción antes de entrar en un análisis exhaustivo. 

El objetivo de esta entrada es presentar una solución basada en CloudWatch Events que actúe como disparador de funciones Lambda en respuesta a los hallazgos de GuardDuty con objeto de actualizar las WebACLs de AWS WAF y las NACL (a nivel de subnet) en una determinada VPC y bloquear el acceso a las IPs que estén realizando acciones sospechosas o inusuales sobre los servicios desplegados en AWS. 


GuardDuty - WAF - NACL - Lambda

  1. Se genera un hallazgo en GuardDuty con una posible actividad maliciosa.
  2. EventBridge Events filtra los eventos de GuardDuty en busqueda del tipo de patrón de evento configurado. 
  3. El evento EventBridge invoca una función Lambda la cual analiza el hallazgo de GuardDuty.. 
  4. Lambda comprueba la tabla de estado de DynamoDB en busca de una entrada existente que coincida con el host identificado en el tipo de hallazgo configurado en EventBridge. Si no se encuentran datos del host, se crea una nueva entrada en la tabla de estado de DynamoDB.
  5. Si no se encontró el host en DynamoDB, Lamdba genera una regla WebACL en el WAF.
  6. Lambda actualiza la NACL asociada a la subnet donde reside el elemento objeto del hallazgo. 
  7. Se envía una notificación a través de SNS. 

Las plantillas para el despliegue están disponibles en el siguiente repositorio: GitHub - aws-samples/amazon-guardduty-waf-acl: AWS GD2ACL

en
Etiquetas: , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Mis notas sobre AWS Detective: AWS Certified Security - Specialty

Amazon Detective elimina la recopilación y análisis manual de datos. Permite a los equipos de seguridad comprender rápidamente un contexto ...