Habilite Amazon de GuardDuty forma condicional mediante plantillas de AWS CloudFormation

Creado por Ram Kandaswamy (AWS)

Entorno: producción

Tecnologías: seguridad, identidad, cumplimiento; operaciones DevOps

Servicios de AWS: AWS CloudFormation; Amazon GuardDuty; AWS Lambda; AWS Identity and Access Management

Resumen

Puede activar Amazon GuardDuty en una cuenta de Amazon Web Services (AWS) mediante una CloudFormation plantilla de AWS. De forma predeterminada, si ya GuardDuty está habilitada cuando intentas CloudFormation activarla, se produce un error en la implementación de la pila. Sin embargo, puedes usar las condiciones de tu CloudFormation plantilla para comprobar si ya GuardDuty está habilitada. CloudFormation admite el uso de condiciones que comparen valores estáticos; no admite el uso de la salida de otra propiedad de recurso dentro de la misma plantilla. Para obtener más información, consulte las condiciones en la guía CloudFormation del usuario.

En este patrón, utiliza un recurso CloudFormation personalizado respaldado por una función de AWS Lambda para habilitarlo de forma condicional GuardDuty si aún no está habilitada. Si GuardDuty está habilitada, la pila captura el estado y lo registra en la sección de salida de la pila. Si no GuardDuty está activado, la pila lo habilita.

Requisitos previos y limitaciones

Requisitos previos 

• Una cuenta de AWS activa

• Un rol de AWS Identity and Access Management (IAM) con permisos para crear, actualizar y eliminar pilas CloudFormation

Limitaciones

• Si se GuardDuty ha desactivado manualmente para una cuenta o región de AWS, este patrón no se habilita GuardDuty para esa cuenta o región de destino.

Arquitectura

Pila de tecnología de destino

El patrón utiliza CloudFormation Infrastructure as Code (IaC). Utiliza un recurso CloudFormation personalizado respaldado por una función Lambda para lograr la capacidad de habilitación dinámica de servicios.

Arquitectura de destino

El siguiente diagrama de arquitectura de alto nivel muestra el proceso de habilitación GuardDuty mediante la implementación de una plantilla: CloudFormation

1. Se despliega una CloudFormation plantilla para crear una CloudFormation pila.

2. La pila crea un rol de IAM y una función de Lambda.

3. La función de Lambda asume el rol de IAM.

4. Si aún no GuardDuty está habilitada en la cuenta de AWS de destino, la función Lambda la habilita.

Automatizar y escalar

Puede utilizar la CloudFormation StackSet función de AWS para extender esta solución a varias cuentas y regiones de AWS. Para obtener más información, consulte Trabajar con AWS CloudFormation StackSets en la guía del CloudFormation usuario.

Herramientas

• La interfaz de la línea de comandos de AWS (AWS CLI) es una herramienta de código abierto que le permite interactuar con los servicios de AWS mediante comandos en su intérprete de comandos de línea de comandos.

• AWS le CloudFormation ayuda a configurar los recursos de AWS, aprovisionarlos de forma rápida y coherente y gestionarlos durante todo su ciclo de vida en todas las cuentas y regiones de AWS.

• Amazon GuardDuty es un servicio de supervisión continua de la seguridad que analiza y procesa los registros para identificar actividades inesperadas y potencialmente no autorizadas en su entorno de AWS.

• AWS Identity and Access Management (IAM) le permite administrar de forma segura el acceso a los recursos de AWS mediante el control de quién está autenticado y autorizado a utilizarlos.

• AWS Lambda es un servicio de computación que ayuda a ejecutar código sin necesidad de aprovisionar ni administrar servidores. Ejecuta el código solo cuando es necesario y amplía la capacidad de manera automática, por lo que solo pagará por el tiempo de procesamiento que utilice.

Epics

Cree la CloudFormation plantilla e implemente la pila

Tarea	Descripción	Habilidades requeridas
Crea la CloudFormation plantilla.	Copia el código de la CloudFormation plantilla en la sección de información adicional. Pegue el código en un editor de texto. Guarde el archivo como sample.yaml en su terminal de trabajo.	AWS DevOps
Crea la CloudFormation pila.	En la CLI de AWS, ingrese el comando siguiente. Esto crea una nueva CloudFormation pila con el sample.yaml archivo. Para obtener más información, consulte Creación de una pila en la guía del CloudFormation usuario. aws cloudformation create-stack \ --stack-name guardduty-cf-stack \ --template-body file://sample.yaml Confirme que el siguiente valor aparezca en la CLI de AWS. Este valor indica que la pila se ha creado correctamente. El tiempo necesario para crear la pila puede variar. "StackStatus": "CREATE_COMPLETE",	AWS DevOps
Valide que GuardDuty esté habilitado para la cuenta de AWS.	Inicie sesión en la consola de administración de AWS y abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/. Compruebe que el GuardDuty servicio esté habilitado.	Administrador de la nube, administrador de AWS
Configure cuentas o regiones de AWS adicionales.	Según sea necesario para su caso de uso, utilice la CloudFormation StackSet función de AWS para extender esta solución a varias cuentas de AWS y regiones de AWS. Para obtener más información, consulte Trabajar con AWS CloudFormation StackSets en la guía del CloudFormation usuario.	Administrador de la nube, administrador de AWS

Recursos relacionados

Referencias

• CloudFormation Documentación de AWS

• Referencia del tipo de recurso de AWS Lambda

• CloudFormation tipo de recurso: AWS::IAM::Role

• CloudFormation tipo de recurso: AWS::GuardDuty::Detector

• Cuatro formas de recuperar cualquier propiedad de un servicio de AWS mediante AWS CloudFormation (blog)

Tutoriales y videos

• Simplifique la administración de la infraestructura con AWS CloudFormation (tutorial)

• Utilice Amazon GuardDuty y AWS Security Hub para proteger varias cuentas (AWS re:Invent 2020)

• Prácticas recomendadas para la creación de AWS CloudFormation (AWS re:Invent 2019)

• Detección de amenazas en AWS: introducción a Amazon GuardDuty (AWS Re:inForce 2019)

Información adicional

CloudFormation plantilla

AWSTemplateFormatVersion: 2010-09-09
Resources:
  rLambdaLogGroup:
    Type: 'AWS::Logs::LogGroup'
    DeletionPolicy: Delete
    Properties:
      RetentionInDays: 7
      LogGroupName: /aws/lambda/resource-checker
  rLambdaCheckerLambdaRole:
    Type: 'AWS::IAM::Role'
    Properties:
      RoleName: !Sub 'resource-checker-lambda-role-${AWS::Region}'
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              Service: lambda.amazonaws.com
            Action: 'sts:AssumeRole'
      Path: /
      Policies:
        - PolicyName: !Sub 'resource-checker-lambda-policy-${AWS::Region}'
          PolicyDocument:
            Version: 2012-10-17
            Statement:
              - Sid: CreateLogGroup
                Effect: Allow
                Action:
                  - 'logs:CreateLogGroup'
                  - 'logs:CreateLogStream'
                  - 'logs:PutLogEvents'
                  - 'iam:CreateServiceLinkedRole'
                  - 'cloudformation:CreateStack'
                  - 'cloudformation:DeleteStack'
                  - 'cloudformation:Desc*'
                  - 'guardduty:CreateDetector'
                  - 'guardduty:ListDetectors'
                  - 'guardduty:DeleteDetector'
                Resource: '*'
  resourceCheckerLambda:
    Type: 'AWS::Lambda::Function'
    Properties:
      Description: Checks for resource type enabled and possibly name to exist
      FunctionName: resource-checker
      Handler: index.lambda_handler
      Role: !GetAtt 
        - rLambdaCheckerLambdaRole
        - Arn
      Runtime: python3.8
      MemorySize: 128
      Timeout: 180
      Code:
        ZipFile: |
          import boto3
          import os
          import json
          from botocore.exceptions import ClientError
          import cfnresponse


          guardduty=boto3.client('guardduty')
          cfn=boto3.client('cloudformation')


          def lambda_handler(event, context):
              print('Event: ', event)
              if 'RequestType' in event:    
                if event['RequestType'] in ["Create","Update"]:
                    enabled=False
                    try:  
                      response=guardduty.list_detectors()
                      if "DetectorIds" in response and len(response["DetectorIds"])>0:
                        enabled="AlreadyEnabled"
                      elif "DetectorIds" in response and len(response["DetectorIds"])==0:
                        cfn_response=cfn.create_stack(
                          StackName='guardduty-cfn-stack',
                          TemplateBody='{ "AWSTemplateFormatVersion": "2010-09-09",    "Description": "A sample template",    "Resources": { "IRWorkshopGuardDutyDetector": {  "Type": "AWS::GuardDuty::Detector",    "Properties": {   "Enable": true  }   } } }'
                          )
                        enabled="True"
                    except Exception as e:
                        print("Exception: ",e)
                    responseData = {}
                    responseData['status'] = enabled
                    cfnresponse.send(event, context, cfnresponse.SUCCESS, responseData, "CustomResourcePhysicalID" )
                elif event['RequestType'] == "Delete":
                    cfn_response=cfn.delete_stack(
                            StackName='guardduty-cfn-stack')
                    cfnresponse.send(event, context, cfnresponse.SUCCESS, {})
  CheckResourceExist:
    Type: 'Custom::LambdaCustomResource'
    Properties:
      ServiceToken: !GetAtt 
        - resourceCheckerLambda
        - Arn
Outputs:
  status:
    Value: !GetAtt 
      - CheckResourceExist
      - status

Opción de código alternativa para el recurso Lambda

La CloudFormation plantilla proporcionada utiliza código en línea para hacer referencia al recurso de Lambda, a fin de facilitar la consulta y la orientación. Como alternativa, puede colocar el código Lambda en un bucket de Amazon Simple Storage Service (Amazon S3) y hacer referencia a él en la plantilla. CloudFormation El código en línea no admite bibliotecas ni dependencias de paquetes. Para respaldarlas, coloque el código Lambda en un bucket de S3 y haga referencia a él en la plantilla. CloudFormation

Sustituya las siguientes líneas de código:

Code:
         ZipFile: |

con las siguientes líneas de código:

Code:
      S3Bucket: <bucket name>
      S3Key: <python file name>
      S3ObjectVersion: <version>

La propiedad S3ObjectVersion se puede omitir si no usa control de versiones en su bucket de S3. Para más información, consulte Uso de control de versiones en buckets de S3 en la guía de usuario de Amazon S3.