Personalice CloudWatch las alertas de Amazon para AWS Network Firewall

PDF

Creado por Jason Owens (AWS)

Resumen

El patrón le ayuda a personalizar las CloudWatch alertas de Amazon que genera el Network Firewall de Amazon Web Services (AWS). Puede utilizar reglas predefinidas o crear reglas personalizadas que determinen el mensaje, los metadatos y la gravedad de las alertas. A continuación, puedes actuar en función de estas alertas o automatizar las respuestas de otros servicios de Amazon, como Amazon EventBridge.

En este patrón, se generan reglas de firewall compatibles con Suricata. Suricata es un motor de detección de amenazas de código abierto. Primero debe crear reglas sencillas y, a continuación, probarlas para confirmar que las CloudWatch alertas se han generado y registrado. Una vez que haya probado correctamente las reglas, las modificará para definir los mensajes personalizados, los metadatos y la gravedad y, a continuación, volverá a probarlas para confirmar las actualizaciones.

Requisitos previos y limitaciones

Requisitos previos

• Una cuenta de AWS activa.

• Interfaz de la línea de comandos de AWS (AWS CLI) instalada y configurada en Linux, macOS o estación de trabajo de Windows. Para obtener más información, consulte Installing or updating the latest version of the AWS CLI (Instalar o actualizar la última versión de AWS CLI.

• AWS Network Firewall instalado y configurado para usar CloudWatch registros. Para obtener más información, consulte Logging network traffic from AWS Network Firewall (Registrar el tráfico de red desde AWS Network Firewall).

• Una instancia de Amazon Elastic Compute Cloud (Amazon EC2) en una subred privada de una nube privada virtual (VPC) que está protegida por Network Firewall.

Versiones de producto

• Para la versión 1 de AWS CLI, utilice 1.18.180 o una versión posterior. Para la versión 2 de AWS CLI, utilice 2.1.2 o una versión posterior.

• El archivo classification.config de la versión 5.0.2 de Suricata. Para obtener una copia de este archivo de configuración, consulte la sección Información adicional.

Arquitectura

Pila de tecnología de destino

• Network Firewall

• Amazon CloudWatch Logs

Arquitectura de destino

El diagrama de la arquitectura muestra el flujo de trabajo siguiente:

1. Una EC2 instancia de una subred privada realiza una solicitud mediante curl o Wget.

2. Network Firewall procesa el tráfico y genera una alerta.

3. Network Firewall envía las alertas registradas a CloudWatch Logs.

Herramientas

Servicios de AWS

• Amazon le CloudWatch ayuda a monitorizar las métricas de sus recursos de AWS y las aplicaciones que ejecuta en AWS en tiempo real.

• Amazon CloudWatch Logs le ayuda a centralizar los registros de todos sus sistemas, aplicaciones y servicios de AWS para que pueda supervisarlos y archivarlos de forma segura.

• La interfaz de la línea de comandos de AWS (AWS CLI) es una herramienta de código abierto que le permite interactuar con los servicios de AWS mediante comandos en su intérprete de comandos de línea de comandos.

• AWS Network Firewall es un servicio de detección y prevención de intrusiones gestionado y con estado para nubes privadas virtuales (VPCs) en la nube de AWS. 

Otras herramientas y servicios

• curl: curl es una herramienta y biblioteca de línea de comandos de código abierto.

• Wget: GNU Wget es una herramienta de línea de comandos gratuita.

Epics

Crear las reglas y el grupo de reglas del firewall

Tarea	Descripción	Habilidades requeridas
Cree reglas.	En un editor de texto, cree una lista de reglas que desee agregar al firewall. Cada regla debe estar en una línea independiente. El valor del parámetro classtype proviene del archivo de configuración de clasificación predeterminado de Suricata. Para obtener el archivo de configuración completo, consulte la sección Información adicional. A continuación se muestran dos ejemplos de reglas. alert http any any -> any any (content:"badstuff"; classtype:misc-activity; sid:3; rev:1;) alert http any any -> any any (content:"morebadstuff"; classtype:bad-unknown; sid:4; rev:1;) Guarde las reglas en un archivo denominado custom.rules.	Administrador de sistemas de AWS, administrador de red
Cree un grupo de reglas.	En la AWS CLI, ingrese el comando siguiente. De este modo se crea el grupo de reglas. ❯ aws network-firewall create-rule-group \         --rule-group-name custom --type STATEFUL \         --capacity 10 --rules file://custom.rules \         --tags Key=environment,Value=development El siguiente es un ejemplo de salida. Anote el RuleGroupArn, que necesitará en un paso posterior. {     "UpdateToken": "4f998d72-973c-490a-bed2-fc3460547e23",     "RuleGroupResponse": {         "RuleGroupArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom",         "RuleGroupName": "custom",         "RuleGroupId": "238a8259-9eaf-48bb-90af-5e690cf8c48b",         "Type": "STATEFUL",         "Capacity": 10,         "RuleGroupStatus": "ACTIVE",         "Tags": [             {                 "Key": "environment",                 "Value": "development"             }         ]     }	Administrador de sistemas de AWS

Crear las reglas y el grupo de reglas del firewall

Tarea	Descripción	Habilidades requeridas
Cree reglas.	En un editor de texto, cree una lista de reglas que desee agregar al firewall. Cada regla debe estar en una línea independiente. El valor del parámetro classtype proviene del archivo de configuración de clasificación predeterminado de Suricata. Para obtener el archivo de configuración completo, consulte la sección Información adicional. A continuación se muestran dos ejemplos de reglas. alert http any any -> any any (content:"badstuff"; classtype:misc-activity; sid:3; rev:1;) alert http any any -> any any (content:"morebadstuff"; classtype:bad-unknown; sid:4; rev:1;) Guarde las reglas en un archivo denominado custom.rules.	Administrador de sistemas de AWS, administrador de red
Cree un grupo de reglas.	En la AWS CLI, ingrese el comando siguiente. De este modo se crea el grupo de reglas. ❯ aws network-firewall create-rule-group \         --rule-group-name custom --type STATEFUL \         --capacity 10 --rules file://custom.rules \         --tags Key=environment,Value=development El siguiente es un ejemplo de salida. Anote el RuleGroupArn, que necesitará en un paso posterior. {     "UpdateToken": "4f998d72-973c-490a-bed2-fc3460547e23",     "RuleGroupResponse": {         "RuleGroupArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom",         "RuleGroupName": "custom",         "RuleGroupId": "238a8259-9eaf-48bb-90af-5e690cf8c48b",         "Type": "STATEFUL",         "Capacity": 10,         "RuleGroupStatus": "ACTIVE",         "Tags": [             {                 "Key": "environment",                 "Value": "development"             }         ]     }	Administrador de sistemas de AWS

Actualizar la política de firewall

Tarea	Descripción	Habilidades requeridas
Obtenga el ARN de la política de firewall.	En la AWS CLI, ingrese el comando siguiente. Esto devuelve el nombre de recurso de Amazon (ARN) de la política de firewall. Registre el ARN para su uso posterior en este patrón. ❯ aws network-firewall describe-firewall \     --firewall-name aws-network-firewall-anfw \     --query 'Firewall.FirewallPolicyArn' A continuación se muestra un ejemplo de ARN que devuelve este comando. "arn:aws:network-firewall:us-east-2:1234567890:firewall-policy/firewall-policy-anfw"	Administrador de sistemas de AWS
Actualice la política de firewall.	En un editor de texto, copie y pegue el siguiente código. Reemplace <RuleGroupArn> por el valor que registró en la sección Epics anterior. Guarde el archivo como firewall-policy-anfw.json. {     "StatelessDefaultActions": [         "aws:forward_to_sfe"     ],     "StatelessFragmentDefaultActions": [         "aws:forward_to_sfe"     ],     "StatefulRuleGroupReferences": [         {             "ResourceArn": "<RuleGroupArn>"         }     ] } En la AWS CLI, ingrese el comando siguiente. Este comando requiere un update token (actualizar token) para agregar las nuevas reglas. El token se usa para confirmar que la política no ha cambiado desde la última vez que se recuperó. UPDATETOKEN=(`aws network-firewall describe-firewall-policy \               --firewall-policy-name firewall-policy-anfw \               --output text --query UpdateToken`)    aws network-firewall update-firewall-policy \  --update-token $UPDATETOKEN \  --firewall-policy-name firewall-policy-anfw \  --firewall-policy file://firewall-policy-anfw.json	Administrador de sistemas de AWS
Confirme las actualizaciones de la política.	(Opcional) Si desea confirmar que se agregaron las reglas y ver el formato de la política, ingrese el comando siguiente en la AWS CLI. ❯ aws network-firewall describe-firewall-policy \   --firewall-policy-name firewall-policy-anfw \   --query FirewallPolicy El siguiente es un ejemplo de salida. {     "StatelessDefaultActions": [         "aws:forward_to_sfe"     ],     "StatelessFragmentDefaultActions": [         "aws:forward_to_sfe"     ],     "StatefulRuleGroupReferences": [         {             "ResourceArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom"         }     ] }	Administrador de sistemas de AWS

Actualizar la política de firewall

Tarea	Descripción	Habilidades requeridas
Obtenga el ARN de la política de firewall.	En la AWS CLI, ingrese el comando siguiente. Esto devuelve el nombre de recurso de Amazon (ARN) de la política de firewall. Registre el ARN para su uso posterior en este patrón. ❯ aws network-firewall describe-firewall \     --firewall-name aws-network-firewall-anfw \     --query 'Firewall.FirewallPolicyArn' A continuación se muestra un ejemplo de ARN que devuelve este comando. "arn:aws:network-firewall:us-east-2:1234567890:firewall-policy/firewall-policy-anfw"	Administrador de sistemas de AWS
Actualice la política de firewall.	En un editor de texto, copie y pegue el siguiente código. Reemplace <RuleGroupArn> por el valor que registró en la sección Epics anterior. Guarde el archivo como firewall-policy-anfw.json. {     "StatelessDefaultActions": [         "aws:forward_to_sfe"     ],     "StatelessFragmentDefaultActions": [         "aws:forward_to_sfe"     ],     "StatefulRuleGroupReferences": [         {             "ResourceArn": "<RuleGroupArn>"         }     ] } En la AWS CLI, ingrese el comando siguiente. Este comando requiere un update token (actualizar token) para agregar las nuevas reglas. El token se usa para confirmar que la política no ha cambiado desde la última vez que se recuperó. UPDATETOKEN=(`aws network-firewall describe-firewall-policy \               --firewall-policy-name firewall-policy-anfw \               --output text --query UpdateToken`)    aws network-firewall update-firewall-policy \  --update-token $UPDATETOKEN \  --firewall-policy-name firewall-policy-anfw \  --firewall-policy file://firewall-policy-anfw.json	Administrador de sistemas de AWS
Confirme las actualizaciones de la política.	(Opcional) Si desea confirmar que se agregaron las reglas y ver el formato de la política, ingrese el comando siguiente en la AWS CLI. ❯ aws network-firewall describe-firewall-policy \   --firewall-policy-name firewall-policy-anfw \   --query FirewallPolicy El siguiente es un ejemplo de salida. {     "StatelessDefaultActions": [         "aws:forward_to_sfe"     ],     "StatelessFragmentDefaultActions": [         "aws:forward_to_sfe"     ],     "StatefulRuleGroupReferences": [         {             "ResourceArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom"         }     ] }	Administrador de sistemas de AWS

Probar la funcionalidad de las alertas

Tarea	Descripción	Habilidades requeridas
Genere alertas para las pruebas.	Inicie sesión en una estación de trabajo de prueba dentro de la subred del firewall. Ingrese los comandos que deberían generar alertas. Puede utilizar, por ejemplo wget o curl. wget -U "badstuff" http://www.amazon.com -o /dev/null curl -A "morebadstuff" http://www.amazon.com -o /dev/null	Administrador de sistemas de AWS
Valide que las alertas estén registradas.	Abra la consola en CloudWatch https://console.aws.amazon.com/cloudwatch/ Navegue hasta el grupo de registros y el flujo correctos. Para obtener más información, consulte Ver los datos de registro enviados a CloudWatch Logs (documentación de CloudWatch Logs). Confirme que los eventos de registro son similares a los ejemplos siguientes. Los ejemplos muestran solo la parte relevante de la alerta. Ejemplo 1         "alert": {             "action": "allowed",             "signature_id": 3,             "rev": 1,             "signature": "",             "category": "Misc activity",             "severity": 3         } Ejemplo 2         "alert": {             "action": "allowed",             "signature_id": 4,             "rev": 1,             "signature": "",             "category": "Potentially Bad Traffic",             "severity": 2         }	Administrador de sistemas de AWS

Probar la funcionalidad de las alertas

Tarea	Descripción	Habilidades requeridas
Genere alertas para las pruebas.	Inicie sesión en una estación de trabajo de prueba dentro de la subred del firewall. Ingrese los comandos que deberían generar alertas. Puede utilizar, por ejemplo wget o curl. wget -U "badstuff" http://www.amazon.com -o /dev/null curl -A "morebadstuff" http://www.amazon.com -o /dev/null	Administrador de sistemas de AWS
Valide que las alertas estén registradas.	Abra la consola en CloudWatch https://console.aws.amazon.com/cloudwatch/ Navegue hasta el grupo de registros y el flujo correctos. Para obtener más información, consulte Ver los datos de registro enviados a CloudWatch Logs (documentación de CloudWatch Logs). Confirme que los eventos de registro son similares a los ejemplos siguientes. Los ejemplos muestran solo la parte relevante de la alerta. Ejemplo 1         "alert": {             "action": "allowed",             "signature_id": 3,             "rev": 1,             "signature": "",             "category": "Misc activity",             "severity": 3         } Ejemplo 2         "alert": {             "action": "allowed",             "signature_id": 4,             "rev": 1,             "signature": "",             "category": "Potentially Bad Traffic",             "severity": 2         }	Administrador de sistemas de AWS

Actualizar las reglas y el grupo de reglas del firewall

Tarea	Descripción	Habilidades requeridas
Actualice las reglas del firewall.	Abra el archivo custom.rules en un editor de texto. Cambie la primera regla para que sea similar a la siguiente. Esta regla debe escribirse en una sola línea del archivo. alert http any any -> any any (msg:"Watch out - Bad Stuff!!"; content:"badstuff"; classtype:misc-activity; priority:2; sid:3; rev:2; metadata:custom-field-2 Danger!, custom-field More Info;) De este modo, se realizan los siguientes cambios en la regla: Se agrega una cadena msg (sitio web de Suricata) que proporciona información textual sobre la firma o la alerta. En la alerta generada, esto se asigna a la firma.  Se ajusta la prioridad predeterminada (sitio web de Suricata) de misc-activity, que pasa de 3 a 2. Para ver los valores predeterminados de los distintos classtypes, consulte la sección Información adicional. Se agregan metadatos personalizados (sitio web de Suricata) a la alerta. Se trata de información adicional que se agrega a la firma. Se recomienda utilizar pares clave-valor. Se cambia la rev (sitio web de Suricata) de 1 a 2. Esto representa la versión de la firma.	Administrador de sistemas de AWS
Actualice el grupo de reglas.	Ejecute los comandos siguientes en la AWS CLI. Utilice el ARN de su política de firewall. Estos comandos obtienen un token de actualización y actualizan el grupo de reglas con los cambios de las reglas. ❯ UPDATETOKEN=(`aws network-firewall \                 describe-rule-group \ --rule-group-arn arn:aws:network-firewall:us-east-2:123457890:stateful-rulegroup/custom \ --output text --query UpdateToken`)  ❯ aws network-firewall update-rule-group \   --rule-group-arn arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom \ --rules file://custom.rules \ --update-token $UPDATETOKEN El siguiente es un ejemplo de salida. {     "UpdateToken": "7536939f-6a1d-414c-96d1-bb28110996ed",     "RuleGroupResponse": {         "RuleGroupArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom",         "RuleGroupName": "custom",         "RuleGroupId": "238a8259-9eaf-48bb-90af-5e690cf8c48b",         "Type": "STATEFUL",         "Capacity": 10,         "RuleGroupStatus": "ACTIVE",         "Tags": [             {                 "Key": "environment",                 "Value": "development"             }         ]     } }	Administrador de sistemas de AWS

Actualizar las reglas y el grupo de reglas del firewall

Tarea	Descripción	Habilidades requeridas
Actualice las reglas del firewall.	Abra el archivo custom.rules en un editor de texto. Cambie la primera regla para que sea similar a la siguiente. Esta regla debe escribirse en una sola línea del archivo. alert http any any -> any any (msg:"Watch out - Bad Stuff!!"; content:"badstuff"; classtype:misc-activity; priority:2; sid:3; rev:2; metadata:custom-field-2 Danger!, custom-field More Info;) De este modo, se realizan los siguientes cambios en la regla: Se agrega una cadena msg (sitio web de Suricata) que proporciona información textual sobre la firma o la alerta. En la alerta generada, esto se asigna a la firma.  Se ajusta la prioridad predeterminada (sitio web de Suricata) de misc-activity, que pasa de 3 a 2. Para ver los valores predeterminados de los distintos classtypes, consulte la sección Información adicional. Se agregan metadatos personalizados (sitio web de Suricata) a la alerta. Se trata de información adicional que se agrega a la firma. Se recomienda utilizar pares clave-valor. Se cambia la rev (sitio web de Suricata) de 1 a 2. Esto representa la versión de la firma.	Administrador de sistemas de AWS
Actualice el grupo de reglas.	Ejecute los comandos siguientes en la AWS CLI. Utilice el ARN de su política de firewall. Estos comandos obtienen un token de actualización y actualizan el grupo de reglas con los cambios de las reglas. ❯ UPDATETOKEN=(`aws network-firewall \                 describe-rule-group \ --rule-group-arn arn:aws:network-firewall:us-east-2:123457890:stateful-rulegroup/custom \ --output text --query UpdateToken`)  ❯ aws network-firewall update-rule-group \   --rule-group-arn arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom \ --rules file://custom.rules \ --update-token $UPDATETOKEN El siguiente es un ejemplo de salida. {     "UpdateToken": "7536939f-6a1d-414c-96d1-bb28110996ed",     "RuleGroupResponse": {         "RuleGroupArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom",         "RuleGroupName": "custom",         "RuleGroupId": "238a8259-9eaf-48bb-90af-5e690cf8c48b",         "Type": "STATEFUL",         "Capacity": 10,         "RuleGroupStatus": "ACTIVE",         "Tags": [             {                 "Key": "environment",                 "Value": "development"             }         ]     } }	Administrador de sistemas de AWS

Probar la funcionalidad de la alerta actualizada

Tarea	Descripción	Habilidades requeridas
Genere una alerta para probarla.	Inicie sesión en una estación de trabajo de prueba dentro de la subred del firewall. Ingrese un comando que genere una alerta. Por ejemplo, puede utilizar curl. curl -A "badstuff" http://www.amazon.com -o /dev/null	Administrador de sistemas de AWS
Valide la alerta modificada.	Abra la CloudWatch consola en https://console.aws.amazon.com/cloudwatch/ Navegue hasta el grupo de registros y el flujo correctos. Confirme que el evento de registro sea similar al ejemplo siguiente. El ejemplo solo muestra la parte pertinente de la alerta. "alert": {     "action": "allowed",     "signature_id": 3,     "rev": 2,     "signature": "Watch out - Bad Stuff!!",     "category": "Misc activity",     "severity": 2,     "metadata": {         "custom-field": [             "More Info"         ],         "custom-field-2": [             "Danger!"         ]     } }	Administrador de sistemas de AWS

Probar la funcionalidad de la alerta actualizada

Tarea	Descripción	Habilidades requeridas
Genere una alerta para probarla.	Inicie sesión en una estación de trabajo de prueba dentro de la subred del firewall. Ingrese un comando que genere una alerta. Por ejemplo, puede utilizar curl. curl -A "badstuff" http://www.amazon.com -o /dev/null	Administrador de sistemas de AWS
Valide la alerta modificada.	Abra la CloudWatch consola en https://console.aws.amazon.com/cloudwatch/ Navegue hasta el grupo de registros y el flujo correctos. Confirme que el evento de registro sea similar al ejemplo siguiente. El ejemplo solo muestra la parte pertinente de la alerta. "alert": {     "action": "allowed",     "signature_id": 3,     "rev": 2,     "signature": "Watch out - Bad Stuff!!",     "category": "Misc activity",     "severity": 2,     "metadata": {         "custom-field": [             "More Info"         ],         "custom-field-2": [             "Danger!"         ]     } }	Administrador de sistemas de AWS

Recursos relacionados

Referencias

• Send alerts from AWS Network Firewall to a Slack channel (Enviar alertas desde AWS Network Firewall a un canal de Slack) (Recomendaciones de AWS)

• Scaling threat prevention on AWS with Suricata (Escalar la prevención de amenazas en AWS con Suricata) (entrada del blog de AWS)

• Deployment models for AWS Network Firewall (Modelos de implementación para AWS Network Firewall) (entrada del blog de AWS)

• Suricata meta keyworks (Claves meta de Suricata) (documentación de Suricata)

Tutoriales y videos

• Taller de AWS Network Firewall

Información adicional

A continuación se muestra el archivo de configuración de clasificación de Suricata 5.0.2. Estas clasificaciones se utilizan al crear las reglas de firewall.

# config classification:shortname,short description,priority
 
config classification: not-suspicious,Not Suspicious Traffic,3
config classification: unknown,Unknown Traffic,3
config classification: bad-unknown,Potentially Bad Traffic, 2
config classification: attempted-recon,Attempted Information Leak,2
config classification: successful-recon-limited,Information Leak,2
config classification: successful-recon-largescale,Large Scale Information Leak,2
config classification: attempted-dos,Attempted Denial of Service,2
config classification: successful-dos,Denial of Service,2
config classification: attempted-user,Attempted User Privilege Gain,1
config classification: unsuccessful-user,Unsuccessful User Privilege Gain,1
config classification: successful-user,Successful User Privilege Gain,1
config classification: attempted-admin,Attempted Administrator Privilege Gain,1
config classification: successful-admin,Successful Administrator Privilege Gain,1
 
# NEW CLASSIFICATIONS
config classification: rpc-portmap-decode,Decode of an RPC Query,2
config classification: shellcode-detect,Executable code was detected,1
config classification: string-detect,A suspicious string was detected,3
config classification: suspicious-filename-detect,A suspicious filename was detected,2
config classification: suspicious-login,An attempted login using a suspicious username was detected,2
config classification: system-call-detect,A system call was detected,2
config classification: tcp-connection,A TCP connection was detected,4
config classification: trojan-activity,A Network Trojan was detected, 1
config classification: unusual-client-port-connection,A client was using an unusual port,2
config classification: network-scan,Detection of a Network Scan,3
config classification: denial-of-service,Detection of a Denial of Service Attack,2
config classification: non-standard-protocol,Detection of a non-standard protocol or event,2
config classification: protocol-command-decode,Generic Protocol Command Decode,3
config classification: web-application-activity,access to a potentially vulnerable web application,2
config classification: web-application-attack,Web Application Attack,1
config classification: misc-activity,Misc activity,3
config classification: misc-attack,Misc Attack,2
config classification: icmp-event,Generic ICMP event,3
config classification: inappropriate-content,Inappropriate Content was Detected,1
config classification: policy-violation,Potential Corporate Privacy Violation,1
config classification: default-login-attempt,Attempt to login by a default username and password,2
 
# Update
config classification: targeted-activity,Targeted Malicious Activity was Detected,1
config classification: exploit-kit,Exploit Kit Activity Detected,1
config classification: external-ip-check,Device Retrieving External IP Address Detected,2
config classification: domain-c2,Domain Observed Used for C2 Detected,1
config classification: pup-activity,Possibly Unwanted Program Detected,2
config classification: credential-theft,Successful Credential Theft Detected,1
config classification: social-engineering,Possible Social Engineering Attempted,2
config classification: coin-mining,Crypto Currency Mining Activity Detected,2
config classification: command-and-control,Malware Command and Control Activity Detected,1