GuardDuty Temuan uji di akun khusus

Gunakan dokumen ini untuk menjalankan skrip penguji yang menghasilkan GuardDuty temuan Akun AWS yang Anda gunakan secara khusus untuk tujuan ini. Anda dapat melakukan langkah-langkah ini ketika Anda ingin memahami dan mempelajari tentang jenis GuardDuty temuan tertentu. Pengalaman ini berbeda dengan menghasilkanSampel temuan. Untuk informasi lebih lanjut tentang pengalaman pengujian GuardDuty temuan, lihatPertimbangan.

Pertimbangan

Sebelum Anda melanjutkan, pertimbangkan pertimbangan berikut:

• GuardDuty merekomendasikan penerapan skrip penguji di non-produksi khusus Akun AWS atau lingkungan yang terisolasi. Dengan menjalankan skrip tester, GuardDuty akan menyebarkan AWS sumber daya tertentu di akun ini. Ini juga akan membantu Anda mengidentifikasi temuan simulasi ini.

• Skrip tester menghasilkan lebih dari 100 GuardDuty temuan dengan kombinasi AWS sumber daya yang berbeda. Saat ini, ini tidak termasuk semua. Tipe temuan Untuk daftar jenis pencarian yang dapat Anda hasilkan dengan skrip penguji ini, lihatGuardDuty temuan skrip tester dapat menghasilkan.

• Skrip tester memvalidasi status GuardDuty konfigurasi di akun khusus Anda. Jika akun ini tidak GuardDuty diaktifkan, skrip akan meminta Anda untuk mengaktifkannya saat Anda melakukanLangkah 3 - Jalankan skrip penguji. Skrip penguji akan meminta izin Anda untuk mengaktifkan rencana perlindungan tertentu yang diperlukan untuk menghasilkan temuan.

  Mengaktifkan GuardDuty untuk pertama kalinya

  Ketika GuardDuty diaktifkan di akun khusus Anda untuk pertama kalinya di Wilayah tertentu, akun Anda akan secara otomatis terdaftar dalam uji coba gratis 30 hari.

  GuardDuty menawarkan paket perlindungan opsional. Pada saat memungkinkan GuardDuty, paket perlindungan tertentu juga diaktifkan dan termasuk dalam uji coba gratis GuardDuty 30 hari. Untuk informasi selengkapnya, lihat Menggunakan uji GuardDuty coba gratis 30 hari.

  GuardDuty sudah diaktifkan di akun Anda sebelum menjalankan skrip penguji

  Ketika sudah GuardDuty diaktifkan, maka berdasarkan parameter, skrip tester akan memeriksa status konfigurasi rencana perlindungan tertentu dan pengaturan tingkat akun lainnya yang diperlukan untuk menghasilkan temuan.

  Dengan menjalankan skrip penguji ini, paket perlindungan tertentu mungkin diaktifkan untuk pertama kalinya di akun khusus Anda di Wilayah. Ini akan memulai uji coba gratis 30 hari untuk rencana perlindungan itu. Untuk informasi tentang uji coba gratis yang terkait dengan setiap paket perlindungan, lihatMenggunakan uji GuardDuty coba gratis 30 hari.

• Setelah skrip penguji selesai, akun khusus Anda akan mengembalikan ke konfigurasi dan pengaturan paket perlindungan aslinya.

GuardDuty temuan skrip tester dapat menghasilkan

Saat ini, skrip penguji menghasilkan jenis temuan berikut yang terkait dengan log audit Amazon EC2, Amazon EKS, Amazon S3, IAM, dan EKS:

• Backdoor:EC2/C&CActivity.B!DNS

• Backdoor:EC2/DenialOfService.Dns

• Backdoor:EC2/DenialOfService.Udp

• CryptoCurrency:EC2/BitcoinTool.B!DNS

• Impact:EC2/AbusedDomainRequest.Reputation

• Impact:EC2/BitcoinDomainRequest.Reputation

• Impact:EC2/MaliciousDomainRequest.Reputation

• Impact:EC2/SuspiciousDomainRequest.Reputation

• Recon:EC2/Portscan

• Trojan:EC2/BlackholeTraffic!DNS

• Trojan:EC2/DGADomainRequest.C!DNS

• Trojan:EC2/DNSDataExfiltration

• Trojan:EC2/DriveBySourceTraffic!DNS

• Trojan:EC2/DropPoint!DNS

• Trojan:EC2/PhishingDomainRequest!DNS

• UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

• UnauthorizedAccess:EC2/RDPBruteForce

• UnauthorizedAccess:EC2/SSHBruteForce

• PenTest:IAMUser/KaliLinux

• Recon:IAMUser/MaliciousIPCaller.Custom

• Recon:IAMUser/TorIPCaller

• Stealth:IAMUser/CloudTrailLoggingDisabled

• Stealth:IAMUser/PasswordPolicyChange

• UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

• UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

• UnauthorizedAccess:IAMUser/TorIPCaller

• Discovery:Kubernetes/MaliciousIPCaller.Custom

• Discovery:Kubernetes/SuccessfulAnonymousAccess

• Discovery:Kubernetes/TorIPCaller

• Execution:Kubernetes/ExecInKubeSystemPod

• Impact:Kubernetes/MaliciousIPCaller.Custom

• Persistence:Kubernetes/ContainerWithSensitiveMount

• Policy:Kubernetes/AdminAccessToDefaultServiceAccount

• Policy:Kubernetes/AnonymousAccessGranted

• PrivilegeEscalation:Kubernetes/PrivilegedContainer

• UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom

• Discovery:S3/MaliciousIPCaller.Custom

• Discovery:S3/TorIPCaller

• PenTest:S3/KaliLinux

• Policy:S3/AccountBlockPublicAccessDisabled

• Policy:S3/BucketAnonymousAccessGranted

• Policy:S3/BucketBlockPublicAccessDisabled

• Policy:S3/BucketPublicAccessGranted

• Stealth:S3/ServerAccessLoggingDisabled

• UnauthorizedAccess:S3/MaliciousIPCaller.Custom

• UnauthorizedAccess:S3/TorIPCaller

• Backdoor:Runtime/C&CActivity.B!DNS

• CryptoCurrency:Runtime/BitcoinTool.B!DNS

• DefenseEvasion:Runtime/ProcessInjection.Ptrace

• DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

• Execution:Runtime/ReverseShell

• Impact:Runtime/AbusedDomainRequest.Reputation

• Impact:Runtime/BitcoinDomainRequest.Reputation

• Impact:Runtime/MaliciousDomainRequest.Reputation

• Impact:Runtime/SuspiciousDomainRequest.Reputation

• PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

• PrivilegeEscalation:Runtime/DockerSocketAccessed

• Trojan:Runtime/BlackholeTraffic!DNS

• Trojan:Runtime/DGADomainRequest.C!DNS

• Trojan:Runtime/DriveBySourceTraffic!DNS

• Trojan:Runtime/DropPoint!DNS

• Trojan:Runtime/PhishingDomainRequest!DNS

Tampilkan lebih banyakTampilkan lebih sedikit

Langkah 1 - Prasyarat

Untuk mempersiapkan lingkungan pengujian Anda, Anda memerlukan item berikut:

• Git — Instal alat baris perintah git berdasarkan sistem operasi yang Anda gunakan. Ini diperlukan untuk mengkloning amazon-guardduty-testerrepositori.

• AWS Command Line Interface— Alat open source yang memungkinkan Anda berinteraksi Layanan AWS dengan menggunakan perintah di shell baris perintah Anda. Untuk informasi selengkapnya, lihat Memulai AWS CLI di Panduan AWS Command Line Interface Pengguna.

• AWS Systems Manager— Untuk memulai sesi Session Manager dengan node terkelola Anda dengan menggunakan AWS CLI Anda harus menginstal plugin Session Manager di mesin lokal Anda. Untuk informasi selengkapnya, lihat Plugin Install Session Manager AWS CLI di Panduan AWS Systems Manager Pengguna.

• Node Package Manager (NPM) - Instal NPM untuk menginstal semua dependensi.

• Docker — Anda harus menginstal Docker. Untuk petunjuk penginstalan, lihat situs web Docker.

  Untuk memverifikasi bahwa Docker telah diinstal, jalankan perintah berikut dan konfirmasikan ada output yang mirip dengan output berikut:

  $ docker --version
  Docker version 19.03.1

• Berlangganan gambar Kali Linux di AWS Marketplace.

Langkah 2 - Menyebarkan sumber daya AWS

Bagian ini menyediakan daftar konsep kunci dan langkah-langkah untuk menyebarkan AWS sumber daya tertentu di akun khusus Anda.

Konsep

Daftar berikut menyediakan konsep kunci yang terkait dengan perintah yang membantu Anda menyebarkan sumber daya:

• AWS Cloud Development Kit (AWS CDK)CDK adalah kerangka pengembangan perangkat lunak open-source untuk mendefinisikan infrastruktur cloud dalam kode dan menyediakannya. AWS CloudFormation CDK mendukung beberapa bahasa pemrograman untuk mendefinisikan komponen cloud yang dapat digunakan kembali yang dikenal sebagai konstruksi. Anda dapat menyusun ini bersama-sama ke tumpukan dan aplikasi. Kemudian, Anda dapat menerapkan aplikasi CDK Anda AWS CloudFormation untuk menyediakan atau memperbarui sumber daya Anda. Untuk informasi lebih lanjut, lihat Apa itu AWS CDK? di Panduan AWS Cloud Development Kit (AWS CDK) Pengembang.

• Bootstrapping — Ini adalah proses mempersiapkan AWS lingkungan Anda untuk digunakan dengan. AWS CDK Sebelum Anda menyebarkan tumpukan CDK ke lingkungan, AWS lingkungan harus di-bootstrap terlebih dahulu. Proses penyediaan AWS sumber daya tertentu di lingkungan Anda yang digunakan oleh AWS CDK adalah bagian dari langkah-langkah yang akan Anda lakukan di bagian berikutnya -. Langkah-langkah untuk menyebarkan sumber daya AWS

  Untuk informasi selengkapnya tentang cara kerja bootstrap, lihat Bootstrapping di Panduan Pengembang.AWS Cloud Development Kit (AWS CDK)

Langkah-langkah untuk menyebarkan sumber daya AWS

Lakukan langkah-langkah berikut untuk mulai menerapkan sumber daya:

1. Siapkan akun AWS CLI default dan Wilayah kecuali variabel Wilayah akun khusus diatur secara manual dalam bin/cdk-gd-tester.ts file. Untuk informasi selengkapnya, lihat Lingkungan di Panduan AWS Cloud Development Kit (AWS CDK) Pengembang.

2. Jalankan perintah berikut untuk menyebarkan sumber daya:

   git clone https://github.com/awslabs/amazon-guardduty-tester && cd amazon-guardduty-tester
   npm install
   cdk bootstrap
   cdk deploy

   Perintah terakhir (cdk deploy) membuat AWS CloudFormation tumpukan atas nama Anda. Nama tumpukan ini adalah GuardDutyTesterStack.

   Sebagai bagian dari skrip ini, GuardDuty buat sumber daya baru untuk menghasilkan GuardDuty temuan di akun Anda. Ini juga menambahkan pasangan kunci tag berikut: nilai ke instance Amazon EC2:

   CreatedBy:GuardDuty Test Script

   Instans Amazon EC2 juga menyertakan instans EC2 yang menampung node EKS dan kluster ECS.

   Tipe instans

   GuardDuty membuat t3.micro untuk semua sumber daya dengan pengecualian untuk grup simpul Amazon EKS. Karena EKS membutuhkan setidaknya 2 core, node EKS memiliki tipe t3.medium instance. Untuk informasi selengkapnya tentang jenis instans, lihat Ukuran yang tersedia di Panduan Jenis Instans Amazon EC2.

Langkah 3 - Jalankan skrip penguji

Ini adalah proses dua langkah di mana Anda pertama-tama perlu memulai sesi dengan driver uji dan kemudian, jalankan skrip untuk menghasilkan GuardDuty temuan dengan kombinasi sumber daya tertentu.

Bagian A - Mulai sesi dengan driver tes

1. Setelah resource Anda di-deploy, simpan kode Region ke variabel di sesi terminal Anda saat ini. Gunakan perintah berikut dan ganti us-east-1 dengan kode Region tempat Anda menerapkan sumber daya:

   $ REGION=us-east-1

2. Script tester hanya tersedia melalui AWS Systems Manager (SSM). Untuk memulai shell interaktif pada instance host tester, kueri host InstanceId.

3. Gunakan perintah berikut untuk memulai sesi Anda untuk skrip tester:

   aws ssm start-session 
     --region $REGION 
     --document-name AWS-StartInteractiveCommand 
     --parameters command="cd /home/ssm-user/py_tester && bash -l" 
     --target $(aws ec2 describe-instances 
       --region $REGION 
       --filters "Name=tag:Name,Values=Driver-GuardDutyTester" 
       --query "Reservations[].Instances[?State.Name=='running'].InstanceId" 
       --output text)

Bagian B - Menghasilkan temuan

Skrip tester adalah program berbasis Python yang secara dinamis membangun skrip bash untuk menghasilkan temuan berdasarkan masukan Anda. Anda memiliki fleksibilitas untuk menghasilkan temuan berdasarkan satu atau lebih jenis AWS sumber daya, rencana GuardDuty perlindungan, Tujuan Ancaman (taktik)Sumber data dasar, atauGuardDuty temuan skrip tester dapat menghasilkan.

Gunakan contoh perintah berikut sebagai referensi, dan jalankan satu atau beberapa perintah untuk menghasilkan temuan yang ingin Anda jelajahi:

python3 guardduty_tester.py 
python3 guardduty_tester.py --all 
python3 guardduty_tester.py --s3 
python3 guardduty_tester.py --tactics discovery 
python3 guardduty_tester.py --ec2 --eks --tactics backdoor policy execution 
python3 guardduty_tester.py --eks --runtime only 
python3 guardduty_tester.py --ec2 --runtime only --tactics impact 
python3 guardduty_tester.py --log-source dns vpc-flowlogs 
python3 guardduty_tester.py --finding 'CryptoCurrency:EC2/BitcoinTool.B!DNS'

Untuk informasi lebih lanjut tentang parameter yang valid, Anda dapat menjalankan perintah bantuan berikut:

python3 guardduty_tester.py --help

Bagian C - Tinjau temuan yang dihasilkan

Pilih metode yang disukai untuk melihat temuan yang dihasilkan di akun Anda.

GuardDuty console

1. Masuk ke AWS Management Console dan buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

2. Di panel navigasi, pilih Temuan.

3. Dari tabel temuan, pilih temuan yang ingin Anda lihat detailnya. Ini akan membuka panel detail temuan. Untuk informasi, lihat Memahami GuardDuty temuan Amazon.

4. Jika Anda ingin memfilter temuan ini, gunakan kunci dan nilai tag sumber daya. Misalnya, untuk memfilter temuan yang dihasilkan untuk instans Amazon EC2, gunakanCreatedBy: GuardDuty Test Script tag key:value pair untuk kunci tag Instance dan kunci tag Instance.

API

• Jalankan ListFindingsuntuk melihat temuan untuk ID detektor tertentu. Anda dapat menentukan parameter untuk memfilter temuan.

  Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

AWS CLI

• Jalankan AWS CLI perintah berikut untuk melihat temuan yang dihasilkan dan ganti us-east-1 dan 12abc34d567e8fa901bc2d34Example dengan nilai yang sesuai:

  aws guardduty list-findings --region us-east-1 --detector-id 12abc34d567e8fa901bc2d34EXAMPLE

  Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

  Untuk informasi selengkapnya tentang parameter yang dapat Anda gunakan untuk memfilter temuan, lihat daftar-temuan di Referensi AWS CLI Perintah.

Langkah 4 - Bersihkan sumber daya AWS tes

Pengaturan tingkat akun dan pembaruan status konfigurasi lainnya yang dibuat selama Langkah 3 - Jalankan skrip penguji kembali ke keadaan semula saat skrip penguji selesai.

Setelah Anda menjalankan skrip tester, Anda dapat memilih untuk membersihkan sumber daya AWS pengujian. Anda dapat memilih untuk melakukan ini dengan menggunakan salah satu metode berikut:

• Jalankan perintah berikut:

  cdk destroy

• Hapus AWS CloudFormation tumpukan dengan nama GuardDutyTesterStack. Untuk selengkapnya tentang langkah-langkah, lihat Menghapus tumpukan di AWS CloudFormation konsol.

Memecahkan masalah umum

GuardDuty telah mengidentifikasi masalah umum dan merekomendasikan langkah-langkah pemecahan masalah:

• Cloud assembly schema version mismatch— Perbarui AWS CDK CLI ke versi yang kompatibel dengan versi perakitan cloud yang diperlukan, atau ke versi terbaru yang tersedia. Untuk informasi selengkapnya, lihat AWS CDK Kompatibilitas CLI.

• Docker permission denied— Tambahkan pengguna akun khusus ke pengguna buruh pelabuhan sehingga akun khusus dapat menjalankan perintah. Untuk informasi selengkapnya tentang langkah-langkah, lihat Akses Docker ditolak.

• Your requested instance type is not supported in your requested Availability Zone— Beberapa zona Ketersediaan tidak mendukung jenis instance tertentu. Untuk mengidentifikasi zona ketersediaan mana yang mendukung jenis instans pilihan Anda dan mencoba kembali menerapkan AWS sumber daya, lakukan langkah-langkah berikut:

  1. Pilih metode yang disukai untuk menentukan zona Ketersediaan mana yang mendukung jenis instans Anda:

     Console

     Untuk mengidentifikasi Availability zone yang mendukung tipe instans pilihan

     1. Masuk ke AWS Management Console dan buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

     2. Dengan menggunakan pemilih AWS Region di sudut kanan atas halaman, pilih Wilayah tempat Anda ingin meluncurkan instance.

     3. Di panel navigasi, di bawah Instance, pilih Jenis Instance.

     4. Dari tabel tipe Instance, pilih jenis instance yang disukai.

     5. Di bawah Jaringan, lihat Wilayah yang tercantum di bawah Availability zone.

        Berdasarkan informasi ini, Anda mungkin perlu memilih Wilayah baru tempat Anda dapat menyebarkan sumber daya.

     AWS CLI

     Jalankan perintah berikut untuk melihat daftar Availability zone. Pastikan untuk menentukan jenis instans pilihan Anda dan Region (us-east-1).

     aws ec2 describe-instance-type-offerings --location-type availability-zone  --filters Name=instance-type,Values=Preferred instance type --region us-east-1 --output table

     Untuk informasi selengkapnya tentang perintah ini, lihat describe-instance-type-offeringsdi Referensi AWS CLI Perintah.

     Saat menjalankan perintah ini, jika Anda menerima kesalahan, pastikan Anda menggunakan versi terbaru AWS CLI. Untuk informasi selengkapnya, lihat Pemecahan Masalah di AWS Command Line Interface Panduan Pengguna.

  2. Coba gunakan sumber AWS daya lagi dan tentukan zona Ketersediaan yang mendukung jenis instans pilihan Anda.

     Untuk mencoba kembali menyebarkan sumber daya AWS

     1. Siapkan Region default dalam bin/cdk-gd-tester.ts file.

     2. Untuk menentukan zona ketersediaan, buka amazon-guardduty-tester/lib/common/network/vpc.ts file.

     3. Dalam file ini, ganti maxAzs: 2, dengan availabilityZones: ['us-east-1a', 'us-east-1c'], tempat Anda harus menentukan zona Ketersediaan untuk jenis instans Anda.

     4. Lanjutkan dengan langkah-langkah yang tersisa di bawahLangkah-langkah untuk menyebarkan sumber daya AWS.