Otomatiskan respons insiden dan forensik - AWS Prescriptive Guidance
RingkasanPrasyarat dan batasanArsitekturAlatEpikSumber daya terkaitInformasi tambahanLampiran

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Otomatiskan respons insiden dan forensik

Lucas Kauffman dan Tomek Jakubowski, Amazon Web Services

Ringkasan

Pola ini menyebarkan serangkaian proses yang menggunakan AWS Lambda fungsi untuk menyediakan hal-hal berikut:

  • Cara untuk memulai proses respons insiden dengan pengetahuan minimum

  • Proses otomatis dan berulang yang selaras dengan Panduan Respons Insiden AWS Keamanan

  • Pemisahan akun untuk mengoperasikan langkah-langkah otomatisasi, menyimpan artefak, dan menciptakan lingkungan forensik

Kerangka Respon Insiden Otomatis dan Forensik mengikuti proses forensik digital standar yang terdiri dari tahapan berikut:

  1. Penahanan

  2. Akuisisi

  3. Pemeriksaan

  4. Analisis

Anda dapat melakukan investigasi pada data statis (misalnya, memori yang diperoleh atau gambar disk) dan pada data dinamis yang hidup tetapi pada sistem yang terpisah.

Untuk detail selengkapnya, lihat bagian Informasi tambahan.

Prasyarat dan batasan

Prasyarat

  • Dua Akun AWS:

    • Akun keamanan, yang bisa menjadi akun yang sudah ada, tetapi lebih disukai baru

    • Akun forensik, sebaiknya yang baru

  • AWS Organizations mengatur

  • Di akun anggota Organizations:

    • Peran Amazon Elastic Compute Cloud (Amazon EC2) harus memiliki akses Dapatkan dan Daftar ke Amazon Simple Storage Service (Amazon S3) dan dapat diakses oleh. AWS Systems Manager Kami merekomendasikan menggunakan peran yang AmazonSSMManagedInstanceCore AWS dikelola. Perhatikan bahwa peran ini akan secara otomatis dilampirkan ke EC2 instance Amazon saat respons insiden dimulai. Setelah respons selesai, AWS Identity and Access Management (IAM) akan menghapus semua hak atas instance.

    • Titik akhir virtual private cloud (VPC) di akun AWS anggota dan dalam Respons dan Analisis Insiden. VPCs Titik akhir tersebut adalah: S3 Gateway, EC2 Messages, SSM, dan SSM Messages.

  • AWS Command Line Interface (AWS CLI) diinstal pada EC2 instans Amazon. Jika EC2 instans Amazon belum AWS CLI diinstal, akses internet akan diperlukan agar snapshot disk dan akuisisi memori berfungsi. Dalam hal ini, skrip akan menjangkau internet untuk mengunduh file AWS CLI instalasi dan akan menginstalnya pada instance.

Batasan

  • Kerangka kerja ini tidak bermaksud menghasilkan artefak yang dapat dianggap sebagai bukti elektronik, dapat diajukan di pengadilan.

  • Saat ini, pola ini hanya mendukung instance berbasis Linux yang berjalan pada arsitektur x86.

Arsitektur

Arsitektur target

Selain akun anggota, lingkungan target terdiri dari dua akun utama: akun Keamanan dan akun Forensik. Dua akun digunakan karena alasan berikut:

  • Untuk memisahkannya dari akun pelanggan lain untuk mengurangi radius ledakan jika terjadi analisis forensik yang gagal

  • Untuk membantu memastikan isolasi dan perlindungan integritas artefak yang sedang dianalisis

  • Untuk menjaga kerahasiaan investigasi

  • Untuk menghindari situasi di mana pelaku ancaman mungkin telah menggunakan semua sumber daya yang segera tersedia untuk Anda yang disusupi Akun AWS dengan menekan kuota layanan dan dengan demikian mencegah Anda membuat instance EC2 Amazon untuk melakukan penyelidikan. 

Selain itu, memiliki akun Keamanan dan Forensik yang terpisah memungkinkan untuk membuat peran terpisah — Responder untuk memperoleh bukti dan Investigator untuk menganalisisnya. Setiap peran akan memiliki akses ke akun terpisah.

Diagram berikut hanya menunjukkan interaksi antara akun. Rincian setiap akun ditampilkan dalam diagram berikutnya, dan diagram lengkap dilampirkan.

Interaksi antara akun anggota, keamanan, dan forensik dan pengguna, internet, dan Slack.

Diagram berikut menunjukkan akun anggota.

Akun anggota dengan kunci AWS KMS, peran IAM, fungsi Lambda, titik akhir, VPC dengan dua instance. EC2

1. Sebuah acara dikirim ke topik Slack Amazon Simple Notification Service (Amazon SNS).

Diagram berikut menunjukkan akun Keamanan.

Akun keamanan dengan EC2 DdCopyInstance VPC respons insiden dan dengan modul memori LiME.

2. Topik Amazon SNS di akun Keamanan memulai peristiwa Forensik.

Diagram berikut menunjukkan akun Forensik.

Akun forensik dengan forensik dan contoh korban, VPC Analisis EC2 , dan VPC Pemeliharaan.

Akun Keamanan adalah tempat dua AWS Step Functions alur kerja utama dibuat untuk memori dan akuisisi gambar disk. Setelah alur kerja berjalan, mereka mengakses akun anggota yang memiliki EC2 instans Amazon yang terlibat dalam insiden, dan mereka memulai serangkaian fungsi Lambda yang akan mengumpulkan dump memori atau dump disk. Artefak tersebut kemudian disimpan di akun Forensik.

Akun Forensik akan menyimpan artefak yang dikumpulkan oleh alur kerja Step Functions di bucket artefak Analisis Amazon S3. Akun Forensik juga akan memiliki pipeline Amazon EC2 Image Builder yang membangun Amazon Machine Image (AMI) dari instance Forensik. Saat ini, gambar didasarkan pada SANS SIFT Workstation. 

Proses build menggunakan Maintenance VPC, yang memiliki konektivitas ke internet. Gambar tersebut nantinya dapat digunakan untuk memutar EC2 instance Amazon untuk analisis artefak yang dikumpulkan di VPC Analisis. 

VPC Analisis tidak memiliki konektivitas internet. Secara default, pola menciptakan tiga subnet analisis pribadi. Anda dapat membuat hingga 200 subnet, yang merupakan kuota untuk jumlah subnet dalam VPC, tetapi titik akhir VPC perlu menambahkan subnet tersebut untuk mengotomatiskan perintah yang sedang berjalan di dalamnya. AWS Systems Manager Session Manager

Dari perspektif praktik terbaik, kami sarankan untuk menggunakan AWS CloudTrail dan AWS Config melakukan hal berikut: 

  • Lacak perubahan yang dibuat di akun Forensik Anda

  • Memantau akses dan integritas artefak yang disimpan dan dianalisis

Alur kerja

Diagram berikut menunjukkan langkah-langkah kunci dari alur kerja yang mencakup proses dan pohon keputusan dari saat sebuah instance dikompromikan hingga dianalisis dan terkandung.

  1. Apakah SecurityIncidentStatus tag telah disetel dengan nilai Analyze? Jika ya, lakukan hal berikut:

    1. Lampirkan profil IAM yang benar untuk AWS Systems Manager dan Amazon S3.

    2. Kirim pesan Amazon SNS ke antrian Amazon SNS di Slack.

    3. Kirim pesan Amazon SNS ke antrian.  SecurityIncident

    4. Memanggil mesin status Memori dan Disk Acquisition.

  2. Apakah memori dan disk telah diperoleh? Jika tidak, ada kesalahan.

  3. Tandai EC2 instance Amazon dengan Contain tag.

  4. Lampirkan peran IAM dan grup keamanan untuk sepenuhnya mengisolasi instance.

Langkah-langkah alur kerja yang tercantum sebelumnya.

Otomatisasi dan skala

Maksud dari pola ini adalah untuk memberikan solusi yang dapat diskalakan untuk melakukan respons insiden dan forensik di beberapa akun dalam satu organisasi. AWS Organizations

Alat

Layanan AWS

  • AWS CloudFormationmembantu Anda menyiapkan AWS sumber daya, menyediakannya dengan cepat dan konsisten, dan mengelolanya sepanjang siklus hidupnya di seluruh Akun AWS dan Wilayah.

  • AWS Command Line Interface (AWS CLI) adalah alat open source untuk berinteraksi dengan Layanan AWS melalui perintah di shell baris perintah Anda.

  • AWS Identity and Access Management (IAM) membantu Anda mengelola akses ke AWS sumber daya dengan aman dengan mengontrol siapa yang diautentikasi dan diberi wewenang untuk menggunakannya.

  • AWS Key Management Service (AWS KMS) membantu Anda membuat dan mengontrol kunci kriptografi untuk melindungi data Anda.

  • AWS Lambdaadalah layanan komputasi yang membantu Anda menjalankan kode tanpa perlu menyediakan atau mengelola server. Ini menjalankan kode Anda hanya bila diperlukan dan skala secara otomatis, jadi Anda hanya membayar untuk waktu komputasi yang Anda gunakan.

  • Amazon Simple Storage Service (Amazon S3) adalah layanan penyimpanan objek berbasis cloud yang membantu Anda menyimpan, melindungi, dan mengambil sejumlah data.

  • AWS Security Hubmemberikan pandangan komprehensif tentang keadaan keamanan Anda di AWS. Ini juga membantu Anda memeriksa AWS lingkungan Anda terhadap standar industri keamanan dan praktik terbaik.

  • Amazon Simple Notification Service (Amazon SNS) membantu Anda mengoordinasikan dan mengelola pertukaran pesan antara penayang dan klien, termasuk server web dan alamat email.

  • AWS Step Functionsadalah layanan orkestrasi tanpa server yang membantu Anda menggabungkan AWS Lambda fungsi dan lainnya Layanan AWS untuk membangun aplikasi bisnis yang penting. 

  • AWS Systems Managermembantu Anda mengelola aplikasi dan infrastruktur yang berjalan di AWS Cloud. Ini menyederhanakan aplikasi dan manajemen sumber daya, mempersingkat waktu untuk mendeteksi dan menyelesaikan masalah operasional, dan membantu Anda mengelola AWS sumber daya Anda dengan aman dalam skala besar.

Kode

Untuk kode dan panduan implementasi dan penggunaan spesifik, lihat repositori GitHub Automated Incident Response and Forensics Framework.

Epik

TugasDeskripsiKeterampilan yang dibutuhkan

Menyebarkan CloudFormation template.

CloudFormation Template ditandai 1 hingga 7 dengan kata pertama dari nama skrip yang menunjukkan di akun mana template perlu digunakan. Perhatikan bahwa urutan peluncuran CloudFormation template itu penting.

  • 1-forensic-AnalysisVPCnS3Buckets.yaml: Diterapkan di akun forensik. Ini menciptakan bucket Amazon S3 dan VPC Analisis, dan mengaktifkan. CloudTrail

  • 2-forensic-MaintenanceVPCnEC2ImageBuilderPipeline.yaml: Menyebarkan pipa VPC pemeliharaan dan pembuat gambar berdasarkan SANS SIFT.

  • 3-security_IR-Disk_Mem_automation.yaml: Menyebarkan fungsi di akun keamanan yang memungkinkan akuisisi disk dan memori.

  • 4-security_LiME_Volatility_Factory.yaml: Memulai fungsi build untuk mulai membuat modul memori berdasarkan AMI IDs yang diberikan. Perhatikan bahwa AMI IDs berbeda Wilayah AWS. Kapan pun Anda membutuhkan modul memori baru, Anda dapat menjalankan kembali skrip ini dengan AMI IDs baru. Pertimbangkan untuk mengintegrasikan ini dengan pipeline pembuat AMI gambar emas Anda (jika digunakan di lingkungan Anda).

  • 5-member-IR-automation.yaml: Menciptakan fungsi otomatisasi respons insiden anggota, yang memulai proses respons insiden. Ini memungkinkan berbagi volume Amazon Elastic Block Store (Amazon EBS) di seluruh akun, memposting otomatis ke saluran Slack selama proses respons insiden, memulai proses forensik, dan mengisolasi instance setelah proses selesai.

  • 6-forensic-artifact-s3-policies.yaml: Setelah semua skrip diterapkan, skrip ini memperbaiki izin yang diperlukan untuk semua interaksi lintas akun.

  • 7-security-IR-vpc.yaml: Mengkonfigurasi VPC yang digunakan untuk pemrosesan volume respons insiden.

Untuk memulai kerangka respons insiden untuk EC2 instance Amazon tertentu, buat tag dengan kunci SecurityIncidentStatus dan nilainyaAnalyze. Ini akan memulai fungsi Lambda anggota yang secara otomatis akan memulai isolasi dan memori serta akuisisi disk.

Administrator AWS

Operasikan kerangka kerja.

Fungsi Lambda juga akan menandai ulang aset di akhir (atau saat gagal) dengan. Contain Ini memulai penahanan, yang sepenuhnya mengisolasi instance dengan grup tanpa INBOUND/OUTBOUND keamanan dan dengan peran IAM yang melarang semua akses.

Ikuti langkah-langkah di GitHub repositori.

Administrator AWS
TugasDeskripsiKeterampilan yang dibutuhkan

Menerapkan tindakan Security Hub kustom dengan menggunakan CloudFormation templat.

Untuk membuat tindakan kustom sehingga Anda dapat menggunakan daftar dropdown dari Security Hub, gunakan template. Modules/SecurityHub Custom Actions/SecurityHubCustomActions.yaml CloudFormation Kemudian ubah IRAutomation peran di setiap akun anggota untuk memungkinkan fungsi Lambda yang menjalankan tindakan untuk mengambil peran. IRAutomation Untuk informasi lebih lanjut, lihat GitHub repositori.

Administrator AWS

Sumber daya terkait

Informasi tambahan

Dengan menggunakan lingkungan ini, tim Security Operations Center (SOC) dapat meningkatkan proses respons insiden keamanan mereka melalui hal-hal berikut:

  • Memiliki kemampuan untuk melakukan forensik di lingkungan terpisah untuk menghindari kompromi sumber daya produksi yang tidak disengaja

  • Memiliki proses standar, berulang, otomatis untuk melakukan penahanan dan analisis.

  • Memberikan pemilik akun atau administrator kemampuan untuk memulai proses respons insiden dengan pengetahuan minimal tentang cara menggunakan tag

  • Memiliki lingkungan yang terstandarisasi dan bersih untuk melakukan analisis insiden dan forensik tanpa kebisingan lingkungan yang lebih besar

  • Memiliki kemampuan untuk membuat beberapa lingkungan analisis secara paralel

  • Memfokuskan sumber daya SOC pada respons insiden alih-alih pada pemeliharaan dan dokumentasi lingkungan forensik cloud

  • Beralih dari proses manual menuju proses otomatis untuk mencapai skalabilitas

  • Menggunakan CloudFormation template untuk konsistensi dan untuk menghindari tugas yang berulang

Selain itu, Anda menghindari penggunaan infrastruktur persisten, dan Anda membayar sumber daya saat Anda membutuhkannya.

Lampiran

Untuk mengakses konten tambahan yang terkait dengan dokumen ini, unzip file berikut: attachment.zip