Bewährte AWS-Sicherheitspraktiken, Auditing und Alarm-Anwendungsfälle

Wenn Ihr Unternehmen in einer Amazon Web Services (AWS)-Umgebung arbeitet, stehen Sie möglicherweise vor einer Reihe einzigartiger Sicherheitsherausforderungen, um sensible Daten zu schützen und Compliance-Vorgaben einzuhalten. Um das Risiko zu verringern, müssen Sie Ihre Sicherheitsabläufe kontinuierlich verbessern und mit den bewährten AWS-Sicherheitsverfahren Schritt halten.

In diesem Blog gehe ich auf häufige Herausforderungen ein, mit denen Sicherheitsteams konfrontiert sind, auf die Überwachung von CloudTrail- und GuardDuty-Protokollen und auf drei AWS-Sicherheitsanwendungsfälle, die Sie für eine bessere Transparenz und einen besseren Schutz in Ihrer Cloud-Umgebung implementieren können.

Bewältigung von AWS-Sicherheitsherausforderungen

Bei einem Modell der geteilten Verantwortung, bei dem AWS für die Sicherheit der Cloud-Infrastruktur verantwortlich ist, ist der Kunde für die Sicherung seiner Daten und Anwendungen innerhalb der Cloud zuständig. Die Sicherheitsteams müssen sich ihrer Verantwortung bewusst sein und geeignete Sicherheitskontrollen implementieren.

Der Schutz von AWS-Umgebungen ist eine Herausforderung, da sie aus mehreren Services, Konfigurationen und Abhängigkeiten bestehen. Insbesondere in Bereitstellungen mit mehreren Konten oder Regionen haben Sicherheitsteams Schwierigkeiten, einen vollständigen Einblick in ihre AWS-Ressourcen zu erhalten und Sicherheitsrichtlinien effektiv durchzusetzen. Die Bewältigung dieser Herausforderungen erfordert eine Kombination aus Technologie, Prozessen und Fachwissen.

Sicherheitsteams benötigen eine Möglichkeit, Daten an einem Ort zu konsolidieren, um besser zu verstehen, was in der gesamten Umgebung geschieht, und um Protokolldaten für die Einhaltung von AWS-Sicherheitsrichtlinien einfach zu überprüfen.
Mit manuellen Prozessen lässt sich die Aufgabe nicht schnell und effektiv erledigen, und sie lassen Raum für menschliche Fehler. Um mit der Angriffsfläche Schritt zu halten, sollten Security Operations Center (SOCs) Automatisierungs- und Orchestrierungs-Tools nutzen, um die Sicherheitsabläufe zu optimieren, z. B. durch die Automatisierung des Sicherheitskonfigurationsmanagements, der Reaktion auf Vorfälle und der Konformitätsprüfungen.

Sicherheitsteams müssen einen proaktiven und ganzheitlichen Sicherheitsansatz verfolgen, indem sie bewährte Verfahren, optimierte Prozesse und vertrauenswürdige Sicherheitspartnerschaften nutzen, um ihre AWS-Umgebungen effektiv zu schützen.

Überwachung von CloudTrail- und AWS GuardDuty-Protokollen

Ein Sicherheitsinformations- und Ereignismanagement (SIEM) ist eine nützliche Lösung für Sicherheitsteams, um Daten in der gesamten Umgebung zentral zu sammeln und anzureichern, Prüfungs- und Compliance-Standards zu erfüllen und Cyberbedrohungen besser zu erkennen, zu untersuchen und darauf zu reagieren.

Bei den bewährten AWS-Sicherheitspraktiken gehe ich auf die Bedeutung der Überwachung von AWS CloudTrail- und GuardDuty-Protokollen ein und zeige anhand von Beispielen, wie dies mit LogRhythm Axon, einer Cloud-nativen SIEM-Plattform, erfolgen kann.

Überwachung von AWS CloudTrail-Protokollen

AWS CloudTrail zeichnet API-Aufrufe auf, die über Ihr AWS-Konto getätigt werden, und erfasst Details wie den Absender der Anfrage, den Zeitpunkt der Anfrage und die IP-Adresse, von der sie ausging.

Durch die Protokollierung aller API-Aufrufe können Sicherheitsteams Einblicke in die Personen gewinnen, die auf AWS-Ressourcen zugreifen, welche Aktionen sie durchführen und woher diese Aktionen stammen.

CloudTrail-Überwachung mit LogRhythm Axon

CloudTrail bietet einen Prüfpfad für alle Aktionen, die innerhalb Ihrer AWS-Umgebung durchgeführt werden. LogRhythm Axon kann diese Protokolle einlesen, um Benutzeraktivitäten, Ressourcenänderungen und Sicherheitsereignisse zu überwachen und zu analysieren. Dies hilft Ihrem Team bei:

Forensik und Untersuchung: Wenn Vorfälle auftreten, helfen CloudTrail-Protokolle den Ermittlern, Aktionen zurückzuverfolgen, die Quelle von Sicherheitsverletzungen zu identifizieren und den Kontext zu verstehen.
Einhaltung von Vorschriften und Governance: CloudTrail-Protokolle sind für Compliance-Audits unerlässlich, um die Einhaltung von Sicherheitsrichtlinien und gesetzlichen Anforderungen zu gewährleisten.

Durch die Weiterleitung von CloudTrail-Protokollen an LogRhythm Axon erhalten Sie Echtzeiteinsicht in AWS-Aktivitäten und können so proaktiv Bedrohungen erkennen und auf Vorfälle reagieren.

Erfahren Sie hier mehr über die Protokollierung mit CloudTrail.

Überwachung von AWS GuardDuty-Protokollen

Amazon Guard Duty ist ein verwalteter Service zur Erkennung von Bedrohungen, der Ihre AWS-Konten und -Arbeitslasten kontinuierlich auf bösartiges oder nicht autorisiertes Verhalten überwacht.

Die Aufnahme von GuardDuty-Protokollen in eine SIEM-Lösung bietet mehrere Vorteile.

GuardDuty-Überwachung mit LogRhythm Axon

Erkennung von Bedrohungen: GuardDuty analysiert den Netzwerkverkehr, DNS-Daten und AWS CloudTrail-Protokolle, um verdächtige Aktivitäten, gefährdete Instanzen und potenzielle Bedrohungen zu erkennen.
Automatisierte Warnungen: GuardDuty generiert Erkenntnisse auf der Grundlage von Bedrohungsdaten und Anomalieerkennung. Diese Erkenntnisse können von Ihrem SIEM zur weiteren Analyse und Alarmierung aufgenommen werden.

Durch die Weiterleitung von GuardDuty-Protokollen an LogRhythm Axon erhalten Sie in Echtzeit Einblick in verdächtige AWS-Aktivitäten und können so proaktiv Bedrohungen erkennen und auf Vorfälle reagieren.

Erfahren Sie hier mehr über GuardDuty-Integrationen.

Wie LogRhythm helfen kann, Ihre AWS-Umgebung zu schützen

LogRhythm Axon bietet eine nahtlose Visualisierung von AWS-Daten, einschließlich CloudTrail-Bedrohungen, GuardDuty-Ereignissen, Kubernetes-Aktivitäten und mehr.

Nutzen Sie ein benutzerdefiniertes AWS-Dashboard

Mit dem Cloud-nativen SIEM können Sie die Vorteile eines AWS-Dashboards nutzen, um Benutzeraktionen – wie das Aktivieren von Konten, das Löschen von Knoten und die Verwaltung von Benutzern – schnell zu verstehen und so Ihre AWS-Sicherheitslage zu verbessern.

*Figure 1: LogRhythm Axon AWS Dashboard.*

Drei AWS-Alarm-Anwendungsfälle

Lassen Sie uns drei AWS-Alarmanwendungsfälle untersuchen, die Ihnen dabei helfen können, die AWS-Sicherheitsüberwachung zu verbessern und Ihre Verteidigung zu stärken.

1. AWS GuardDuty Zugriff verweigert

Wenn GuardDuty eine unbefugte oder verdächtige Aktivität feststellt, wird ein Ereignisprotokoll erstellt. Im folgenden Beispiel wird ein Szenario untersucht, in dem der Zugriff verweigert wird und wie Sie diese potenzielle Bedrohung erkennen können.

Log-Beispiel:

“eventTime”: “2024-04-17T00:50:00.016097Z”,

“eventSource”: “guardduty.amazonaws.com”,

“eventName”: “EnableOrganizationAdminAccount”, – User Is Attempting to Enable an Admin Account

“awsRegion”: “us-xxxx-x”,

“sourceIPAddress”: “x.x.x.x”,

“userAgent”: “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.122 Safari/537.36”,

“errorCode”: “AccessDenied”,

“errorMessage”: “User is not authorized to perform this action.”, Access is Denied

“requestParameters”: {

“adminAccountId”: “xxxxxxxxxxxx”

Sie können diese Bedrohung in LogRhythm Axon erkennen und einen Fall erstellen lassen, um sie weiter zu untersuchen. Unten sehen Sie ein Beispiel für einen Regelblock, der einen Alarm für diese Aktivität erzeugt.

*Figure 2: Rule for observing GuardDuty logs in LogRhythm Axon.*

In Abbildung 3 sehen Sie, wie die Verfolgung dieser Aktivität mit dem Case Management und dem Single Screen Investigation Workflow von LogRhythm Axon im Detail aussieht. Diese Funktion hilft Ihnen bei der weiteren Aufschlüsselung und zeigt kontextbezogene Einblicke in Protokolle, Beobachtungen, Sicherheitsanalysen und Rohmetadaten – alles in einer Ansicht.

*Figure 3: LogRhythm Axon’s Case Management workflow for AWS GuardDuty – Access Denied Alarm.*

2. AWS Kubernetes Unbefugter Löschversuch

Unerlaubte Löschversuche in Amazon Elastic Kubernetes Service (EKS) können auftreten, wenn eine Entität oder ein Benutzer versucht, auf Ressourcen zuzugreifen, ohne die entsprechende Berechtigung zu besitzen. Im folgenden Beispiel wird ein Szenario untersucht, das einen unautorisierten Versuch beinhaltet und wie Sie diesen erkennen können.

Protokollbeispiel:

“eks.amazonaws.com”,

“eventName”: “DeleteNodegroup”,

“awsRegion”: “us-xxx-x”,

“sourceIPAddress”: “x.x.x.x”,

“userAgent”: “eks-security.audit.amazonaws.com”,

“errorCode”: “UnauthorizedAttempt”, Unauthorized Attempt error code

“errorMessage”: “User attempted unauthorized deletion of a node group“, – Error Message

Hier ist ein Beispiel für einen Regelblock, der einen Alarm für diese Aktivität erzeugt.

*Figure 4: LogRhythm Axon Alarm details for an AWS Unauthorized Attempt.*

Sicherheitsanalysten können den Fall genauer untersuchen, um diese Bedrohung zu erkennen. Abbildung 5 zeigt die wichtigsten Erkenntnisse darüber, wer versucht hat, den Host, von dem die Anfrage ausging, unberechtigt zu löschen.

*Figure 5: LogRhythm Axon’s Single Investigation Workflow for AWS unauthorized attempt.*

3. AWS CloudTrail-Warnungen mit hohem Schweregrad

LogRhythm Axon wendet nahtlose und innovative Analysetechniken für alle aufgenommenen Ereignisse an. Insbesondere bei AWS CloudTrail-Protokollen konzentrieren wir uns auf die Identifizierung erkannter Bedrohungen. Diese Protokolle werden sorgfältig beschriftet und auf einer Skala von 0 bis 10 mit einem Schweregrad versehen. Mithilfe dieser Schweregradinformationen können Sie Alarme einrichten, um CloudTrail-Warnungen mit hohem Schweregrad auszulösen.

*Figure 6: Formatting AWS CloudTrail logs in LogRhythm Axon.*

Abbildung 6 zeigt ein Beispiel für die Formatierung von AWS CloudTrail-Protokollen und die Zuweisung eines Bedrohungsschweregrads.

Sie können in LogRhythm Axon darauf hinweisen und einen Fall erstellen lassen. Siehe den Regelblock in Abbildung 7.

*Figure 7: LogRhythm Axon Alarm that triggers based on threat severity of AWS CloudTrail Logs.*

Hier finden Sie Details zum Fall, Sie können relevante Metadaten wie den beteiligten Benutzer oder Host analysieren.

*Figure 8: Investigating a Critical Severity AWS CloudTrail alert in LogRhythm Axon.*

Optimieren Sie Ihre AWS-Sicherheitsüberwachung

In der dynamischen Landschaft des Cloud Computing sind robuste Best Practices für die AWS-Sicherheit nicht verhandelbar. Durch die Befolgung dieser Best Practices können Unternehmen die Sicherheit ihrer AWS-Umgebungen stärken und ihre Daten, Anwendungen und Infrastruktur besser vor Sicherheitsbedrohungen und Schwachstellen schützen.

Cybersicherheit ist eine anspruchsvolle Aufgabe, und es gibt einen Mangel an Cybersicherheitsexperten mit Fachwissen über Cloud-Sicherheit und AWS. Es kann schwierig sein, qualifiziertes Personal einzustellen und zu halten, um AWS-Umgebungen effektiv zu schützen.

Durch die Integration von LogRhythm Axon in Ihre AWS-Umgebung erhalten Sie die Möglichkeit, Bedrohungen zu erkennen und alle Daten an einem Ort zu visualisieren, um die Sicherheit und Compliance zu verbessern.

Wenn Sie mehr darüber erfahren möchten, wie LogRhythm Ihre Herausforderungen bei der AWS-Sicherheitsüberwachung verbessern kann, fordern Sie weitere Informationen an.