自動化事件回應和鑑識 - AWS 方案指引
Summary先決條件和限制架構工具史詩相關資源其他資訊附件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

自動化事件回應和鑑識

由 Lucas Kauffman (AWS) 和 Tomek Jakubowski (AWS) 建立

程式碼儲存庫: aws-automated-incident-response-and-ensics

環境:生產

技術:安全、身分、合規

AWS 服務:Amazon EC2;AWSLambda;Amazon S3;AWSSecurity Hub; AWS Identity and Access Management

Summary

此模式部署一組使用 AWS Lambda 函數提供下列項目的程序:

  • 以最低知識啟動事件-回應程序的方法

  • 符合AWS安全事件回應指南的自動化、可重複程序

  • 分離帳戶以操作自動化步驟、存放成品和建立鑑識環境

自動化事件回應和鑑識架構遵循標準數位鑑識程序,包含下列階段:

  1. 遏制

  2. 擷取

  3. 檢查

  4. 分析

您可以對靜態資料 (例如,取得的記憶體或磁碟映像) 和作用中但在分離系統上的動態資料執行調查。

如需詳細資訊,請參閱其他資訊一節。

先決條件和限制

先決條件

  • 兩個AWS帳戶:

    • 安全帳戶,可以是現有帳戶,但最好是新的帳戶

    • 鑑識帳戶,最好是新帳戶

  • AWS 設定的組織

  • 在 Organizations 成員帳戶中:

    • Amazon Elastic Compute Cloud (Amazon EC2) 角色必須具有 Amazon Simple Storage Service (Amazon S3) 的取得和清單存取權,且可供 AWS Systems Manager 存取。建議使用 AmazonSSMManagedInstanceCore AWS 受管角色。請注意,啟動事件回應時,此角色會自動附加至EC2執行個體。回應完成後, AWS Identity and Access Management (IAM) 會移除執行個體的所有權利。

    • AWS 成員帳戶和事件回應和分析中的虛擬私有雲端 (VPC) 端點VPCs。這些端點為:S3 Gateway、EC2MessagesSSM、 和 SSM Messages。

  • AWS 安裝在EC2執行個體上的命令列介面 (AWS CLI)。如果EC2執行個體尚未AWSCLI安裝,則需要網際網路存取權,磁碟快照和記憶體擷取才能運作。在此情況下,指令碼會連線到網際網路以下載AWSCLI安裝檔案,並將它們安裝在執行個體上。

限制

  • 此架構不打算產生可視為電子證據的成品,在法庭中可予以取代。

  • 目前,此模式僅支援在 x86 架構上執行的 Linux 型執行個體。

架構

目標技術堆疊

  • AWS CloudFormation

  • AWS CloudTrail

  • AWS 組態

  • IAM

  • Lambda

  • Amazon S3

  • AWS 金鑰管理系統 (AWS KMS)

  • AWS Security Hub

  • Amazon Simple Notification Service (Amazon SNS)

  • AWS Step Functions

目標架構

除了成員帳戶之外,目標環境還包含兩個主要帳戶:安全帳戶和鑑識帳戶。兩個帳戶用於下列原因:

  • 將它們與任何其他客戶帳戶分隔,以便在鑑識分析失敗時減少爆量半徑

  • 協助確保所分析成品的完整性隔離和保護

  • 將調查保密

  • 為了避免威脅發動者可能已使用您遭入侵AWS帳戶立即可用的所有資源,方法是達到服務配額,因此防止您使 Amazon EC2執行個體具實例化以執行調查。 

此外,具有單獨的安全和鑑識帳戶允許建立單獨的角色:用於取得證據的回應者和用於分析證據的調查者。每個角色都可以存取其個別帳戶。

下圖僅顯示帳戶之間的互動。每個帳戶的詳細資訊會顯示在後續圖表中,並連接完整的圖表。

成員、安全和鑑識帳戶與使用者、網際網路和 Slack 之間的互動。

下圖顯示成員帳戶。

具有AWSKMS金鑰、IAM角色、Lambda 函數、端點VPC和兩個EC2執行個體的成員帳戶。

1. 事件會傳送至 Slack Amazon SNS主題。

下圖顯示安全帳戶。

事件回應EC2DdCopyInstance和 VPC LiME 記憶體模組中的 安全帳戶。

2. 安全帳戶中SNS的主題會啟動鑑識事件。

下圖顯示 Forensics 帳戶。

具有鑑識和受害EC2執行個體、分析 VPC和維護 的鑑識帳戶VPC。

安全帳戶是為記憶體和磁碟映像擷取建立兩個主要 AWS Step Functions 工作流程的地方。工作流程執行後,他們會存取涉及事件之EC2執行個體的成員帳戶,並啟動一組 Lambda 函數,收集記憶體傾印或磁碟傾印。然後,這些成品會儲存在 Forensics 帳戶中。

Forensics 帳戶將保留分析成品 S3 儲存貯體中 Step Functions 工作流程所收集的成品。Forensics 帳戶也將具有 EC2 Image Builder 管道,可建置 Forensics 執行個體的 Amazon Machine Image (AMI)。目前,映像是以 SANS SIFT Workstation 為基礎。 

建置程序使用維護 VPC,其可連線至網際網路。該映像稍後可用於分割EC2執行個體,以分析分析分析 中收集的成品VPC。 

分析VPC沒有網際網路連線。根據預設,模式會建立三個私有分析子網路。您最多可以建立 200 個子網路,這是 中子網路數量的配額VPC,但VPC端點需要新增這些子網路, AWS Systems Manager Sessions Manager 才能自動執行其中的命令。

從最佳實務的角度來看,我們建議您使用 AWS CloudTrail 和 AWS Config 來執行下列動作: 

  • 追蹤在您的 Forensics 帳戶中所做的變更

  • 監控存放和分析成品的存取和完整性

工作流程

下圖顯示工作流程的關鍵步驟,其中包含從執行個體遭入侵到分析和包含為止的程序和決策樹。

  1. 是否已使用值 Analyze 設定SecurityIncidentStatus標籤? 如果是,請執行下列動作:

    1. 連接 AWS Systems Manager 和 Amazon S3 的正確IAM設定檔。

    2. 將 Amazon SNS 訊息傳送至 Slack 中的 Amazon SNS佇列。

    3. 將 Amazon SNS 訊息傳送至 SecurityIncident佇列。

    4. 叫用記憶體和磁碟擷取狀態機器。

  2. 是否已取得記憶體和磁碟? 如果否,則表示發生錯誤。

  3. 使用標籤Contain標記EC2執行個體。

  4. 連接IAM角色和安全群組以完全隔離執行個體。

先前列出的工作流程步驟。

自動化和擴展

此模式的目的在於提供可擴展的解決方案,以對單一 AWS Organizations 組織中的多個帳戶執行事件回應和鑑識。

工具

AWS 服務

  • AWS CloudFormation 可協助您設定AWS資源、快速且一致地佈建資源,並在其整個生命週期內跨AWS帳戶和區域進行管理。

  • AWS 命令列介面 (AWS CLI) 是一種開放原始碼工具,可透過命令列 Shell 中的命令與 AWS服務互動。

  • AWS Identity and Access Management (IAM) 透過控制誰經過身分驗證並獲授權使用,協助您安全地管理對AWS資源的存取。

  • AWS Key Management Service (AWS KMS) 可協助您建立和控制密碼編譯金鑰,以保護資料。

  • AWS Lambda 是一種運算服務,可協助您執行程式碼,而不需要佈建或管理伺服器。它只會在需要時執行程式碼並自動擴展,因此您只需支付您使用的運算時間。

  • Amazon Simple Storage Service (Amazon S3) 是一種雲端型物件儲存服務,可協助您儲存、保護和擷取任何數量的資料。

  • AWS Security Hub 提供 中安全狀態的全面檢視AWS。它還可協助您根據安全產業標準和最佳實務來檢查AWS環境。

  • Amazon Simple Notification Service (Amazon SNS) 可協助您協調和管理發佈者和用戶端之間的訊息交換,包括 Web 伺服器和電子郵件地址。

  • AWS Step Functions 是一種無伺服器協調服務,可協助您結合 AWS Lambda 函數和其他AWS服務,以建置業務關鍵型應用程式。 

  • AWS Systems Manager 可協助您管理在 AWS Cloud 中執行的應用程式和基礎設施。它可簡化應用程式和資源管理、縮短偵測和解決操作問題的時間,並協助您大規模安全地管理AWS資源。

Code

如需程式碼和特定實作和使用指南,請參閱 GitHub Automated Incident Response and Forensics Framework 儲存庫。

史詩

任務描述所需的技能

部署 CloudFormation 範本。

CloudFormation 範本會以指令碼名稱的第一個字標示 1 到 7,指出範本需要部署在哪個帳戶。請注意,啟動 CloudFormation 範本的順序很重要。

  • 1-forensic-AnalysisVPCnS3Buckets.yaml:部署在鑑識帳戶中。它建立 S3 儲存貯體和分析 VPC,並啟用 CloudTrail。

  • 2-forensic-MaintenanceVPCnEC2ImageBuilderPipeline.yaml:根據 部署維護VPC和映像建置器管道SANSSIFT。

  • 3-security_IR-Disk_Mem_automation.yaml:部署安全帳戶中啟用磁碟和記憶體擷取的函數。

  • 4-security_LiME_Volatility_Factory.yaml:啟動建置函數,以開始根據指定的 AMI 建立記憶體模組IDs。請注意, 因AWS區域AMIIDs而異。每當您需要新的記憶體模組時,都可以使用新的 AMI 重新執行此指令碼IDs。請考慮將此項目與您的黃金映像AMI建置器管道整合 (如果用於您的環境)。

  • 5-member-IR-automation.yaml:建立成員事件回應自動化函數,以啟動事件回應程序。它允許跨帳戶共用 Amazon Elastic Block Store (Amazon EBS) 磁碟區、在事件回應程序期間自動發佈至 Slack 頻道、啟動鑑識程序,以及在程序完成後隔離執行個體。

  • 6-forensic-artifact-s3-policies.yaml:部署所有指令碼後,此指令碼會修正所有跨帳戶互動所需的許可。

  • 7-security-IR-vpc.yaml:設定VPC用於事件回應磁碟區處理的 。

若要啟動特定EC2執行個體的事件回應架構,請使用 金鑰SecurityIncidentStatus和 值 建立標籤Analyze。這將啟動成員 Lambda 函數,該函數會自動啟動隔離和記憶體,以及磁碟擷取。

AWS 管理員

操作 架構。

Lambda 函數也會在結束時 (或失敗時) 使用 重新標記資產Contain。這會啟動 遏制,這會完全隔離具有無 INBOUND/OUTBOUND 安全群組的執行個體,以及不允許所有存取IAM的角色。

請遵循GitHub 儲存庫 中的步驟。

AWS 管理員
任務描述所需的技能

使用 CloudFormation 範本部署自訂 Security Hub 動作。

若要建立自訂動作,以便您可以使用 Security Hub 中的下拉式清單,請部署 Modules/SecurityHub Custom Actions/SecurityHubCustomActions.yaml CloudFormation 範本。然後修改每個成員帳戶中IRAutomation的角色,以允許執行動作以擔任IRAutomation角色的 Lambda 函數。如需詳細資訊,請參閱GitHub 儲存庫

AWS 管理員

相關資源

其他資訊

透過使用此環境,Security Operations Center (SOC) 團隊可以透過下列方式改善其安全事件回應程序:

  • 能夠在隔離的環境中執行鑑識,以避免意外損害生產資源

  • 具有標準化、可重複的自動化程序來執行遏制和分析。

  • 讓任何帳戶擁有者或管理員能夠啟動事件-回應程序,且對如何使用標籤的了解最少

  • 擁有標準化、乾淨的環境,可用於執行事件分析和鑑識,而不會產生較大環境的噪音

  • 能夠並行建立多個分析環境

  • 將SOC資源集中在事件回應上,而不是雲端鑑識環境的維護和文件記錄

  • 從手動程序轉向自動化程序,以達到可擴展性

  • 使用 CloudFormation 範本保持一致性,並避免可重複的任務

此外,您避免使用持久性基礎設施,並在需要資源時支付費用。

附件

若要存取與本文件相關聯的其他內容,請解壓縮下列檔案: attachment.zip