GuardDuty Risultati dei test in account dedicati

Utilizzate questo documento per eseguire uno script di tester che genera GuardDuty risultati in un Account AWS ambiente utilizzato specificamente per questo scopo. È possibile eseguire questi passaggi quando si desidera comprendere e apprendere determinati tipi di GuardDuty risultati. Questa esperienza è diversa dalla generazioneRisultati di esempio. Per ulteriori informazioni sull'esperienza acquisita con GuardDuty i risultati dei test, vedereConsiderazioni.

Considerazioni

Prima di procedere, tenete conto delle seguenti considerazioni:

• GuardDuty consiglia di distribuire lo script del tester in un ambiente dedicato, non di produzione Account AWS o isolato. Eseguendo lo script tester, GuardDuty distribuirà determinate AWS risorse in questo account. Questo ti aiuterà anche a identificare questi risultati simulati.

• Lo script tester genera oltre 100 GuardDuty risultati con diverse combinazioni di AWS risorse. Attualmente, questo non include tutti i. Tipi di esiti Per un elenco dei tipi di ricerca che puoi generare con questo script di test, vedi. GuardDuty lo script del tester dei risultati può generare

• Lo script tester convalida lo stato della GuardDuty configurazione nel tuo account dedicato. Se questo account non è GuardDuty abilitato, lo script richiederà di abilitarlo al momento dell'esecuzione. Fase 3 - Esegui gli script dei tester Lo script tester richiederà l'autorizzazione dell'utente per abilitare determinati piani di protezione necessari per generare i risultati.

  Attivazione GuardDuty per la prima volta

  Quando GuardDuty viene abilitato per la prima volta nel tuo account dedicato in una regione specifica, il tuo account verrà automaticamente registrato a una prova gratuita di 30 giorni.

  GuardDuty offre piani di protezione opzionali. Al momento dell'attivazione GuardDuty, vengono attivati anche alcuni piani di protezione, inclusi nella versione di prova gratuita di GuardDuty 30 giorni. Per ulteriori informazioni, consulta Utilizzo della GuardDuty prova gratuita di 30 giorni.

  GuardDuty è già abilitato nel tuo account prima di eseguire lo script tester

  Se GuardDuty è già abilitato, in base ai parametri, lo script tester controllerà lo stato di configurazione di determinati piani di protezione e altre impostazioni a livello di account necessarie per generare i risultati.

  Eseguendo questo script di test, alcuni piani di protezione potrebbero essere abilitati per la prima volta nell'account dedicato in una regione. Verrà così avviata la prova gratuita di 30 giorni per quel piano di protezione. Per informazioni sulla prova gratuita associata a ciascun piano di protezione, consultaUtilizzo della GuardDuty prova gratuita di 30 giorni.

• Al termine dello script del tester, l'account dedicato ripristinerà la configurazione e le impostazioni originali del piano di protezione.

GuardDuty lo script del tester dei risultati può generare

Attualmente, lo script tester genera i seguenti tipi di risultati relativi ad Amazon, AmazonEKS, EC2 Amazon S3 e ai log di IAM controllo: EKS

• Backdoor:EC2/C&CActivity.B!DNS

• Backdoor:EC2/DenialOfService.Dns

• Backdoor:EC2/DenialOfService.Udp

• CryptoCurrency:EC2/BitcoinTool.B!DNS

• Impact:EC2/AbusedDomainRequest.Reputation

• Impact:EC2/BitcoinDomainRequest.Reputation

• Impact:EC2/MaliciousDomainRequest.Reputation

• Impact:EC2/SuspiciousDomainRequest.Reputation

• Recon:EC2/Portscan

• Trojan:EC2/BlackholeTraffic!DNS

• Trojan:EC2/DGADomainRequest.C!DNS

• Trojan:EC2/DNSDataExfiltration

• Trojan:EC2/DriveBySourceTraffic!DNS

• Trojan:EC2/DropPoint!DNS

• Trojan:EC2/PhishingDomainRequest!DNS

• UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

• UnauthorizedAccess:EC2/RDPBruteForce

• UnauthorizedAccess:EC2/SSHBruteForce

• PenTest:IAMUser/KaliLinux

• Recon:IAMUser/MaliciousIPCaller.Custom

• Recon:IAMUser/TorIPCaller

• Stealth:IAMUser/CloudTrailLoggingDisabled

• Stealth:IAMUser/PasswordPolicyChange

• UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

• UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

• UnauthorizedAccess:IAMUser/TorIPCaller

• Discovery:Kubernetes/MaliciousIPCaller.Custom

• Discovery:Kubernetes/SuccessfulAnonymousAccess

• Discovery:Kubernetes/TorIPCaller

• Execution:Kubernetes/ExecInKubeSystemPod

• Impact:Kubernetes/MaliciousIPCaller.Custom

• Persistence:Kubernetes/ContainerWithSensitiveMount

• Policy:Kubernetes/AdminAccessToDefaultServiceAccount

• Policy:Kubernetes/AnonymousAccessGranted

• PrivilegeEscalation:Kubernetes/PrivilegedContainer

• UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom

• Discovery:S3/MaliciousIPCaller.Custom

• Discovery:S3/TorIPCaller

• PenTest:S3/KaliLinux

• Policy:S3/AccountBlockPublicAccessDisabled

• Policy:S3/BucketAnonymousAccessGranted

• Policy:S3/BucketBlockPublicAccessDisabled

• Policy:S3/BucketPublicAccessGranted

• Stealth:S3/ServerAccessLoggingDisabled

• UnauthorizedAccess:S3/MaliciousIPCaller.Custom

• UnauthorizedAccess:S3/TorIPCaller

• Backdoor:Runtime/C&CActivity.B!DNS

• CryptoCurrency:Runtime/BitcoinTool.B!DNS

• DefenseEvasion:Runtime/ProcessInjection.Ptrace

• DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

• Execution:Runtime/ReverseShell

• Impact:Runtime/AbusedDomainRequest.Reputation

• Impact:Runtime/BitcoinDomainRequest.Reputation

• Impact:Runtime/MaliciousDomainRequest.Reputation

• Impact:Runtime/SuspiciousDomainRequest.Reputation

• PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

• PrivilegeEscalation:Runtime/DockerSocketAccessed

• Trojan:Runtime/BlackholeTraffic!DNS

• Trojan:Runtime/DGADomainRequest.C!DNS

• Trojan:Runtime/DriveBySourceTraffic!DNS

• Trojan:Runtime/DropPoint!DNS

• Trojan:Runtime/PhishingDomainRequest!DNS

Mostra piùMostra meno

Fase 1 - Prerequisiti

Per preparare l'ambiente di test, sono necessari i seguenti elementi:

• Git: installa lo strumento da riga di comando git in base al sistema operativo che utilizzi. Questo è necessario per clonare il amazon-guardduty-testerrepository.

• AWS Command Line Interface— Uno strumento open source che consente di interagire Servizi AWS utilizzando i comandi della shell della riga di comando. Per ulteriori informazioni, consulta la Guida introduttiva AWS CLI nella Guida per l'AWS Command Line Interface utente.

• AWS Systems Manager— Per avviare sessioni di Session Manager con i nodi gestiti utilizzando, AWS CLI è necessario installare il plug-in Session Manager sul computer locale. Per ulteriori informazioni, consulta Installa il plug-in Session Manager AWS CLI nella Guida per l'AWS Systems Manager utente.

• Node Package Manager (NPM) — NPM Installa per installare tutte le dipendenze.

• Docker: è necessario che Docker sia installato. Per istruzioni sull'installazione, consulta il sito Web Docker.

  Per verificare che Docker sia stato installato, esegui il comando seguente e conferma che esista un output simile al seguente:

  $ docker --version
  Docker version 19.03.1

• Iscriviti all'immagine di Kali Linux in. Marketplace AWS

Fase 2 - Implementazione delle risorse AWS

Questa sezione fornisce un elenco di concetti chiave e i passaggi per distribuire determinate AWS risorse nel tuo account dedicato.

Concetti

L'elenco seguente fornisce i concetti chiave relativi ai comandi che consentono di distribuire le risorse:

• AWS Cloud Development Kit (AWS CDK)— CDK è un framework di sviluppo software open source per definire l'infrastruttura cloud in codice e fornirla tramite. AWS CloudFormation CDKsupporta un paio di linguaggi di programmazione per definire componenti cloud riutilizzabili noti come costrutti. Puoi comporli insieme in pile e app. Quindi, puoi distribuire CDK le tue applicazioni per AWS CloudFormation fornire o aggiornare le tue risorse. Per ulteriori informazioni, consulta Cos'è il AWS CDK? nella Guida per gli AWS Cloud Development Kit (AWS CDK) sviluppatori.

• Bootstrap: è il processo di preparazione dell' AWS ambiente per l'utilizzo con. AWS CDK Prima di distribuire uno CDK stack in un AWS ambiente, è necessario avviare l'ambiente. Questo processo di provisioning di AWS risorse specifiche nell'ambiente utilizzate da AWS CDK fa parte dei passaggi che verranno eseguiti nella prossima sezione -. Passaggi per distribuire le risorse AWS

  Per ulteriori informazioni su come funziona il bootstrap, consulta Bootstrapping nella Developer Guide.AWS Cloud Development Kit (AWS CDK)

Passaggi per distribuire le risorse AWS

Esegui i passaggi seguenti per iniziare a distribuire le risorse:

1. Configura l'account e la regione AWS CLI predefiniti, a meno che le variabili Region dell'account dedicato non vengano impostate manualmente nel bin/cdk-gd-tester.ts file. Per ulteriori informazioni, consulta Environments nella AWS Cloud Development Kit (AWS CDK) Developer Guide.

2. Esegui i seguenti comandi per distribuire le risorse:

   git clone https://github.com/awslabs/amazon-guardduty-tester && cd amazon-guardduty-tester
   npm install
   cdk bootstrap
   cdk deploy

   L'ultimo comando (cdk deploy) crea uno AWS CloudFormation stack per tuo conto. Il nome di questo stack è. GuardDutyTesterStack

   Come parte di questo script, GuardDuty crea nuove risorse per generare GuardDuty risultati nel tuo account. Aggiunge inoltre la seguente coppia di tag key:value alle istanze AmazonEC2:

   CreatedBy:GuardDuty Test Script

   Le EC2 istanze Amazon includono anche le EC2 istanze che ospitano EKS nodi e ECS cluster.

   Tipi di istanza

   GuardDuty crea t3.micro per tutte le risorse ad eccezione del gruppo di EKS nodi Amazon. Poiché EKS richiede almeno 2 core, il EKS nodo ha un tipo di t3.medium istanza. Per ulteriori informazioni sui tipi di istanze, consulta le dimensioni disponibili nella Amazon EC2 Instances Types Guide.

Fase 3 - Esegui gli script dei tester

Si tratta di un processo in due fasi in cui è necessario prima avviare una sessione con il test driver e quindi eseguire script per generare GuardDuty risultati con combinazioni di risorse specifiche.

Parte A - Inizia la sessione con il test driver

1. Dopo aver distribuito le risorse, salvate il codice regionale in una variabile nella sessione di terminale corrente. Utilizzate il seguente comando e sostituite us-east-1 con il codice regionale in cui hai distribuito le risorse:

   $ REGION=us-east-1

2. Lo script tester è disponibile solo tramite AWS Systems Manager ()SSM. Per avviare una shell interattiva sull'istanza dell'host del tester, interroga l'host. InstanceId

3. Utilizzate il seguente comando per iniziare la sessione per lo script tester:

   aws ssm start-session 
     --region $REGION 
     --document-name AWS-StartInteractiveCommand 
     --parameters command="cd /home/ssm-user/py_tester && bash -l" 
     --target $(aws ec2 describe-instances 
       --region $REGION 
       --filters "Name=tag:Name,Values=Driver-GuardDutyTester" 
       --query "Reservations[].Instances[?State.Name=='running'].InstanceId" 
       --output text)

Parte B - Generazione di risultati

Lo script tester è un programma basato su Python che crea dinamicamente uno script bash per generare risultati in base al tuo input. Hai la flessibilità necessaria per generare risultati basati su uno o più tipi di AWS risorse, piani di GuardDuty protezione, (tattiche) o. Scopi delle minacce Origini dati fondamentali GuardDuty lo script del tester dei risultati può generare

Utilizza i seguenti esempi di comandi come riferimento ed esegui uno o più comandi per generare risultati da esplorare:

python3 guardduty_tester.py 
python3 guardduty_tester.py --all 
python3 guardduty_tester.py --s3 
python3 guardduty_tester.py --tactics discovery 
python3 guardduty_tester.py --ec2 --eks --tactics backdoor policy execution 
python3 guardduty_tester.py --eks --runtime only 
python3 guardduty_tester.py --ec2 --runtime only --tactics impact 
python3 guardduty_tester.py --log-source dns vpc-flowlogs 
python3 guardduty_tester.py --finding 'CryptoCurrency:EC2/BitcoinTool.B!DNS'

Per ulteriori informazioni sui parametri validi, puoi eseguire il seguente comando help:

python3 guardduty_tester.py --help

Parte C - Esamina i risultati generati

Scegli un metodo preferito per visualizzare i risultati generati nel tuo account.

GuardDuty console

1. Accedi AWS Management Console e apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

2. Nel riquadro di navigazione, seleziona Esiti.

3. Dalla tabella dei risultati, seleziona un risultato di cui desideri visualizzare i dettagli. Si aprirà il pannello dei dettagli del risultato. Per informazioni, consultare Comprendere i GuardDuty risultati di Amazon.

4. Se desideri filtrare questi risultati, usa la chiave e il valore del tag di risorsa. Ad esempio, per filtrare i risultati generati per le EC2 istanze Amazon, usaCreatedBy: GuardDuty Test Script tag key:value pair per Instance tag key e Instance tag key.

API

• Esegui ListFindingsper visualizzare i risultati relativi a uno specifico ID del rilevatore. È possibile filtrare i risultati con parametri specifici.

  Per trovare i detectorId dati relativi al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.

AWS CLI

• Esegui il AWS CLI comando seguente per visualizzare i risultati generati e sostituirli us-east-1 e 12abc34d567e8fa901bc2d34EXAMPLE con valori adeguati:

  aws guardduty list-findings --region us-east-1 --detector-id 12abc34d567e8fa901bc2d34EXAMPLE

  Per trovare le detectorId impostazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.

  Per ulteriori informazioni sui parametri che puoi utilizzare per filtrare i risultati, consulta list-findings nel AWS CLI Command Reference.

Fase 4 - Pulisci le risorse di test AWS

Le impostazioni a livello di account e gli altri aggiornamenti dello stato di configurazione effettuati durante il Fase 3 - Esegui gli script dei tester ripristino dello stato originale al termine dello script del tester.

Dopo aver eseguito lo script del tester, puoi scegliere di ripulire le risorse del test. AWS Puoi scegliere di eseguire questa operazione utilizzando uno dei seguenti metodi:

• Esegui il comando seguente:

  cdk destroy

• Eliminare lo AWS CloudFormation stack con il nome GuardDutyTesterStack. Per informazioni sui passaggi, vedi Eliminazione di uno stack sulla console. AWS CloudFormation

Risoluzione dei problemi più comuni

GuardDuty ha identificato i problemi più comuni e consiglia le procedure per la risoluzione dei problemi:

• Cloud assembly schema version mismatch— Esegui l'aggiornamento AWS CDK CLI a una versione compatibile con la versione di cloud assembly richiesta o all'ultima versione disponibile. Per ulteriori informazioni, vedi AWS CDK CLIcompatibilità.

• Docker permission denied— Aggiungi l'utente dell'account dedicato agli utenti docker in modo che l'account dedicato possa eseguire i comandi. Per ulteriori informazioni sui passaggi, vedi Accesso negato a Docker.

• Your requested instance type is not supported in your requested Availability Zone— Alcune zone di disponibilità non supportano particolari tipi di istanze. Per identificare quali zone di disponibilità supportano il tipo di istanza preferito e tentare nuovamente di distribuire AWS le risorse, procedi nel seguente modo:

  1. Scegli un metodo preferito per determinare quali zone di disponibilità supportano il tuo tipo di istanza:

     Console

     Per identificare le zone di disponibilità che supportano il tipo di istanza preferito

     1. Accedi a AWS Management Console e apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

     2. Utilizzando il selettore AWS della regione nell'angolo in alto a destra della pagina, scegli la regione in cui desideri avviare l'istanza.

     3. Nel riquadro di navigazione, in Istanze, scegli Tipi di istanze.

     4. Dalla tabella Tipi di istanze, scegli un tipo di istanza preferito.

     5. In Rete, visualizza le regioni elencate in Zone di disponibilità.

        In base a queste informazioni, potrebbe essere necessario scegliere una nuova regione in cui distribuire le risorse.

     AWS CLI

     Esegui il comando seguente per visualizzare un elenco di zone di disponibilità. Assicurati di specificare il tipo di istanza preferito e la regione (us-east-1).

     aws ec2 describe-instance-type-offerings --location-type availability-zone  --filters Name=instance-type,Values=Preferred instance type --region us-east-1 --output table

     Per ulteriori informazioni su questo comando, vedete describe-instance-type-offeringsnella Guida di riferimento ai AWS CLI comandi.

     Quando esegui questo comando, se ricevi un errore, assicurati di utilizzare la versione più recente di AWS CLI. Per ulteriori informazioni, consulta la sezione Risoluzione dei problemi nella Guida per l'utente di AWS Command Line Interface .

  2. Prova a distribuire nuovamente le AWS risorse e specifica una zona di disponibilità che supporti il tipo di istanza preferito.

     Per riprovare a distribuire le risorse AWS

     1. Imposta la regione predefinita nel file. bin/cdk-gd-tester.ts

     2. Per specificare la zona di disponibilità, apri il amazon-guardduty-tester/lib/common/network/vpc.ts file.

     3. In questo file, maxAzs: 2, sostituiscilo con availabilityZones: ['us-east-1a', 'us-east-1c'], dove devi specificare le zone di disponibilità per il tipo di istanza.

     4. Continua con i passaggi rimanenti riportati di seguitoPassaggi per distribuire le risorse AWS.