Automatize a resposta a incidentes e forense - Recomendações da AWS
ResumoPré-requisitos e limitaçõesArquiteturaFerramentasÉpicosRecursos relacionadosMais informaçõesAnexos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Automatize a resposta a incidentes e forense

Criado por Lucas Kauffman (AWS) e Tomek Jakubowski () AWS

Repositório de código: -and-forensics aws-automated-incident-response

Ambiente: produção

Tecnologias: segurança, identidade, conformidade

AWSserviços: AmazonEC2; AWS Lambda; Amazon S3; Security AWS Hub; Identity and Access AWS Management

Resumo

Esse padrão implanta um conjunto de processos que usam funções AWS Lambda para fornecer o seguinte:

  • Uma forma de iniciar o processo de resposta a incidentes com o mínimo de conhecimento

  • Processos automatizados e repetíveis que estão alinhados com o Guia de Resposta a Incidentes AWS de Segurança

  • Separação de contas para operar as etapas de automação, armazenar artefatos e criar ambientes forenses

A estrutura de resposta automatizada a incidentes e forense segue um processo forense digital padrão que consiste nas seguintes fases:

  1. Contenção

  2. Aquisição

  3. Examinação

  4. Análise

Você pode realizar investigações em dados estáticos (por exemplo, memória adquirida ou imagens de disco) e em dados dinâmicos ativos, mas em sistemas separados.

Para obter detalhes, consulte a seção Informações adicionais.

Pré-requisitos e limitações

Pré-requisitos

  • Duas AWS contas:

    • Conta de segurança, que pode ser uma conta existente, mas é de preferência nova

    • Conta forense, de preferência nova

  • AWSOrganizações configuradas

  • Nas contas dos membros da Organizações:

    • A função Amazon Elastic Compute Cloud (AmazonEC2) deve ter acesso Get and List ao Amazon Simple Storage Service (Amazon S3) e ser acessível pelo Systems Manager. AWS Recomendamos usar a função AmazonSSMManagedInstanceCore AWS gerenciada. Observe que essa função será automaticamente anexada à EC2 instância quando a resposta ao incidente for iniciada. Depois que a resposta for concluída, AWS Identity and Access Management (IAM) removerá todos os direitos da instância.

    • Endpoints de nuvem privada virtual (VPC) na conta do AWS membro e na Resposta e Análise VPCs de Incidentes. Esses endpoints são: S3 GatewaySSM, EC2 Mensagens e SSM Mensagens.

  • AWSInterface de linha de comando (AWSCLI) instalada nas EC2 instâncias. Se as EC2 instâncias não estiverem AWS CLI instaladas, o acesso à Internet será necessário para que o instantâneo do disco e a aquisição de memória funcionem. Nesse caso, os scripts entrarão em contato com a Internet para baixar os arquivos de AWS CLI instalação e os instalarão nas instâncias.

Limitações

  • Essa estrutura não pretende gerar artefatos que possam ser considerados evidências eletrônicas, submissíveis em juízo.

  • Atualmente, esse padrão é compatível somente a instâncias baseadas em Linux executadas na arquitetura x86.

Arquitetura

Pilha de tecnologias de destino

  • AWS CloudFormation

  • AWS CloudTrail

  • AWSConfig

  • IAM

  • Lambda

  • Amazon S3

  • AWSSistema de gerenciamento de chaves (AWSKMS)

  • Security Hub da AWS

  • Serviço de notificação simples da Amazon (AmazonSNS)

  • AWS Step Functions

Arquitetura de destino

Além da conta do membro, o ambiente de destino consiste em duas contas principais: uma conta de segurança e uma conta forense. Duas contas são usadas pelos seguintes motivos:

  • Para separá-las de quaisquer outras contas de clientes para reduzir o raio de explosão em caso de falha na análise forense

  • Para ajudar a garantir o isolamento e a proteção da integridade dos artefatos que estão sendo analisados

  • Para manter a investigação confidencial

  • Para evitar situações em que os agentes da ameaça possam ter usado todos os recursos imediatamente disponíveis para sua AWS conta comprometida, atingindo as cotas de serviço e impedindo que você instanciasse uma instância da EC2 Amazon para realizar investigações. 

Além disso, ter contas de segurança e forense separadas permite a criação de perfis separados: uma Respondente para adquirir evidências e um Investigador para analisá-las. Cada perfil teria acesso a própria conta separada.

O diagrama a seguir mostra somente a interação entre as contas. Os detalhes de cada conta são mostrados nos diagramas subsequentes e um diagrama completo é anexado.

Interação entre contas e usuários de membros, segurança e forense, a Internet e o Slack.

O diagrama a seguir mostra a conta do membro.

Conta de membro com AWS KMS chave, IAM funções, funções Lambda, endpoints, VPC com duas instâncias. EC2

1. Um evento é enviado para o SNS tópico Slack Amazon.

O diagrama a seguir mostra a conta de segurança.

Conta de segurança com EC2DdCopyInstance a resposta a incidentes VPC e com módulos de memória LiME.

2. O SNS tópico na conta de segurança inicia eventos forenses.

O diagrama a seguir mostra a conta Forensics.

Conta forense com EC2 instâncias forenses e de vítimas, uma análise e uma manutençãoVPC. VPC

A conta Security é onde os dois fluxos de trabalho principais do AWS Step Functions são criados para aquisição de memória e imagem de disco. Depois que os fluxos de trabalho são executados, eles acessam a conta membro que tem as EC2 instâncias envolvidas em um incidente e iniciam um conjunto de funções do Lambda que reunirão um despejo de memória ou um despejo de disco. Esses artefatos são então armazenados na conta forense.

A conta forense armazenará os artefatos coletados pelo fluxo de trabalho Step Functions no bucket S3 de artefatos de análise. A conta Forensics também terá um pipeline do EC2 Image Builder que cria uma Amazon Machine Image (AMI) de uma instância forense. Atualmente, a imagem é baseada na SANS SIFT estação de trabalho. 

O processo de construção usa a ManutençãoVPC, que tem conectividade com a Internet. A imagem pode ser usada posteriormente para acelerar a EC2 instância para análise dos artefatos coletados na Análise. VPC 

A análise VPC não tem conectividade com a Internet. Por padrão, o padrão cria três sub-redes de análise privadas. Você pode criar até 200 sub-redes, que é a cota para o número de sub-redes em umaVPC, mas os VPC endpoints precisam ter essas sub-redes adicionadas para que o Systems AWS Manager Sessions Manager automatize a execução de comandos nelas.

Do ponto de vista das melhores práticas, recomendamos usar o AWS CloudTrail AWS Config para fazer o seguinte: 

  • Rastrear as alterações feitas em sua conta forense

  • Monitorar o acesso e a integridade dos artefatos que são armazenados e analisados

Fluxo de trabalho

O diagrama a seguir mostra as principais etapas de um fluxo de trabalho que inclui o processo e a árvore de decisão desde o momento em que uma instância é comprometida até ser analisada e contida.

  1. A tag SecurityIncidentStatus foi definida com o valor Analyze? Em caso positivo, faça o seguinte:

    1. Anexe os IAM perfis corretos para o AWS Systems Manager e o Amazon S3.

    2. Envie uma SNS mensagem da Amazon para a SNS fila da Amazon no Slack.

    3. Envie uma SNS mensagem da Amazon para a  SecurityIncident fila.

    4. Invoque a máquina de estado de aquisição de memória e disco.

  2. A memória e o disco foram adquiridos? Se não foram, há um erro.

  3. Marque a EC2 instância com a Contain tag.

  4. Anexe a IAM função e o grupo de segurança para isolar totalmente a instância.

Etapas do fluxo de trabalho listadas anteriormente.

Automação e escala

A intenção desse padrão é fornecer uma solução escalável para realizar a resposta a incidentes e a análise forense em várias contas em uma única organização da Organizations. AWS

Ferramentas

AWSServiços

  • AWS CloudFormationajuda você a configurar AWS recursos, provisioná-los de forma rápida e consistente e gerenciá-los durante todo o ciclo de vida em todas AWS as contas e regiões.

  • AWSA interface de linha de comando (AWSCLI) é uma ferramenta de código aberto para interagir com AWS serviços por meio de comandos em seu shell de linha de comando.

  • AWSO Identity and Access Management (IAM) ajuda você a gerenciar com segurança o acesso aos seus AWS recursos controlando quem está autenticado e autorizado a usá-los.

  • AWSO Key Management Service (AWSKMS) ajuda você a criar e controlar chaves criptográficas para proteger seus dados.

  • AWSO Lambda é um serviço de computação que ajuda você a executar código sem precisar provisionar ou gerenciar servidores. Ele executa o código somente quando necessário e dimensiona automaticamente, assim, você paga apenas pelo tempo de computação usado.

  • O Amazon Simple Storage Service (Amazon S3) é um serviço de armazenamento de objetos baseado na nuvem que ajuda você a armazenar, proteger e recuperar qualquer quantidade de dados.

  • AWSO Security Hub fornece uma visão abrangente do seu estado de segurança emAWS. Também ajuda você a verificar seu AWS ambiente de acordo com os padrões e as melhores práticas do setor de segurança.

  • O Amazon Simple Notification Service (AmazonSNS) ajuda você a coordenar e gerenciar a troca de mensagens entre editores e clientes, incluindo servidores web e endereços de e-mail.

  • AWSO Step Functions é um serviço de orquestração sem servidor que ajuda você a combinar funções AWS Lambda e outros AWS serviços para criar aplicativos essenciais para os negócios. 

  • AWSO Systems Manager ajuda você a gerenciar seus aplicativos e infraestrutura em execução na AWS nuvem. Ele simplifica o gerenciamento de aplicativos e recursos, reduz o tempo para detectar e resolver problemas operacionais e ajuda você a gerenciar seus AWS recursos com segurança em grande escala.

Código

Para obter o código e as diretrizes específicas de implementação e uso, consulte o repositório do GitHub Automated Incident Response and Forensics Framework.

Épicos

TarefaDescriçãoHabilidades necessárias

Implante CloudFormation modelos.

Os CloudFormation modelos são marcados de 1 a 7 com a primeira palavra do nome do script indicando em qual conta o modelo precisa ser implantado. Observe que a ordem de lançamento dos CloudFormation modelos é importante.

  • 1-forensic-AnalysisVPCnS3Buckets.yaml: implantado na conta forense. Ele cria os buckets do S3 e a AnáliseVPC, e é ativado. CloudTrail

  • 2-forensic-MaintenanceVPCnEC2ImageBuilderPipeline.yaml: implanta o pipeline de manutenção VPC e criação de imagens com base em. SANS SIFT

  • 3-security_IR-Disk_Mem_automation.yaml: implanta as funções na conta de segurança que permitem a aquisição de disco e memória.

  • 4-security_LiME_Volatility_Factory.yaml: inicia uma função de construção para começar a criar os módulos de memória com base no dado AMIIDs. Observe que AMI IDs são diferentes entre AWS as regiões. Sempre que precisar de novos módulos de memória, você poderá executar novamente esse script com o novo. AMI IDs Considere integrar isso com seus pipelines dourados de AMI criação de imagens (se usado em seu ambiente).

  • 5-member-IR-automation.yaml: cria a função de automação de resposta a incidentes do membro, que inicia o processo de resposta a incidentes. Ele permite compartilhar volumes do Amazon Elastic Block Store (AmazonEBS) entre contas, publicar automaticamente nos canais do Slack durante o processo de resposta a incidentes, iniciar o processo forense e isolar as instâncias após a conclusão do processo.

  • 6-forensic-artifact-s3-policies.yaml: após a implantação de todos os scripts, esse script corrige as permissões necessárias para todas as interações entre contas.

  • 7-security-IR-vpc.yaml: configura um VPC usado para processamento do volume de resposta a incidentes.

Para iniciar a estrutura de resposta a incidentes para uma EC2 instância específica, crie uma tag com a chave SecurityIncidentStatus e o valorAnalyze. Isso inicializará a função do Lambda do membro, que iniciará automaticamente o isolamento e a memória, bem como a aquisição de disco.

AWSadministrador

Opere a estrutura.

A função do Lambda também remarcará o ativo no final (ou em caso de falha) com Contain. Isso inicia a contenção, que isola totalmente a instância com um grupo de OUTBOUND segurança semINBOUND/e com uma IAM função que proíbe todo o acesso.

Siga as etapas no GitHub repositório.

AWSadministrador
TarefaDescriçãoHabilidades necessárias

Implante as ações personalizadas do Security Hub usando um CloudFormation modelo.

Para criar uma ação personalizada para que você possa usar a lista suspensa do Security Hub, implante o Modules/SecurityHub Custom Actions/SecurityHubCustomActions.yaml CloudFormation modelo. Em seguida, modifique o perfil IRAutomation em cada uma das contas dos membros para permitir que a função do Lambda que executa a ação assuma o perfil IRAutomation. Para obter mais informações, consulte o GitHub repositório.

AWSadministrador

Recursos relacionados

Mais informações

Ao usar esse ambiente, uma equipe do Centro de Operações de Segurança (SOC) pode melhorar seu processo de resposta a incidentes de segurança por meio do seguinte:

  • Ter a capacidade de realizar forenses em um ambiente segregado para evitar o comprometimento acidental dos recursos de produção

  • Ter um processo padronizado, repetível e automatizado para fazer contenção e análise.

  • Dar a qualquer proprietário ou administrador da conta a capacidade de iniciar o processo de resposta a incidentes com o mínimo de conhecimento de como usar tags

  • Ter um ambiente padronizado e limpo para realizar análises de incidentes e forenses sem o ruído de um ambiente maior

  • Ter a capacidade de criar vários ambientes de análise em paralelo

  • Concentrando SOC recursos na resposta a incidentes em vez de na manutenção e documentação de um ambiente forense em nuvem

  • Substituição de um processo manual para um automatizado para obter escalabilidade

  • Usando CloudFormation modelos para obter consistência e evitar tarefas repetíveis

Além disso, você evita usar uma infraestrutura persistente e paga pelos recursos quando precisa deles.

Anexos

Para acessar o conteúdo adicional associado a este documento, descompacte o seguinte arquivo: attachment.zip