AWS Logs for Incident Response
- Vinicius Souza
- Cloud , Monitoração , Segurança da informação
- 14 de novembro de 2023
Qual a idéia? Queremos fazer um post simples e direto ao ponto sobre os principais logs da AWS que ajudam na resposta à incidentes de segurança. Quais logs podem te ajudar a analisar uma invasão ou problema? Qual fonte de logs pode te ajudar a configurar alertas? Confira esse post sobre AWS Logs for Incident Response!
Para um analista de Resposta à incidentes o acesso aos logs é primordial! Sem logs você não:
- … consegue investigar;
- … consegue criar e gerar alertas;
- … protege seu ambiente de forma eficaz;
- … previne casos maliciosos.
Principais fontes de logs na AWS que apoiam um analista de segurança a responder um incidente:
1- AWS CloudTrail Logs:
Nestes logs você encontrará o registro de todas as atividades da sua conta AWS, incluindo quem realizou uma ação, quando e qual serviço utilizou.
Algumas opções disponíveis:
- Modificações de políticas;
- Desativação de logs;
- Acessos a console com sucesso e falha.
2- CloudWatch Logs:
Nestes logs encontraremos logs de aplicativos e sistemas, o que nos permite análise e monitoramento em tempo real.
Algumas opções disponíveis:
- Consumo de recursos;
- Tentativas de login.
3- VPC Flow Logs:
Com o VPC Flow Logs é registrado informações sobre o tráfego de rede na VPC, com oriem, destino, portas e protocolos.
Algumas opções disponíveis:
- Comunicações entre instâncias;
- Comunicações
4- Amazon GuardDuty
Não é uma fonte de logs em si, porém é um serviço da AWS que detecta ameaças analisando alguns eventos de log como cloudtrail e vpc flow logs em busca de ações suspeitas. Com ele você pode alertar automaticamente atividades suspeitas, comportamento de máquinas invadidas, etc. Ele possuí alertas prontos para resposta a incidentes.
Exemplos de alertas que podem criar utilizando os logs
1. Tentativas de brute force
Log source: CloudTrail
Lógica: eventName=CredentialVerification=Sucesso e count maior que X (X você define o que faz sentido)
2. Desativação do AWS config em contas
Log source: CloudTrail
Lógica: monitorar o eventName=StopConfigurationRecorder
3. Monitorar grupos
Log source: CloudTrail
Lógica: monitorar os eventName= ‘AddUserToGroup’ ‘AttachGroupPolicy’ ‘PutGroupPolicy’
4. Monitorar parada de detecções do Guardduty
Log source: CloudTrail
Lógica: monitorar o eventSource=guardduty.amazonaws.com e eventName= ‘DeleteMembers’ ‘DisassociateMembers’ ‘StopMoritoringMembers’ ‘DisassociateFromMasterAccount’
Agradecemos a leitura e esperamos que este post tenha te ajudado de alguma maneira! Caso tenha alguma dúvida, entre em contato conosco pelo Telegram , Facebook ou Instagram ! Veja mais posts no IronLinux !
