Automatize a resposta a incidentes e forense - Recomendações da AWS
ResumoPré-requisitos e limitaçõesArquiteturaFerramentasÉpicosRecursos relacionadosMais informaçõesAnexos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Automatize a resposta a incidentes e forense

Criado por Lucas Kauffman (AWS) e Tomek Jakubowski (AWS)

Resumo

Esse padrão implanta um conjunto de processos que usam AWS Lambda funções para fornecer o seguinte:

  • Uma forma de iniciar o processo de resposta a incidentes com o mínimo de conhecimento

  • Processos automatizados e repetíveis que estão alinhados com o Guia de Resposta a Incidentes AWS de Segurança

  • Separação de contas para operar as etapas de automação, armazenar artefatos e criar ambientes forenses

A estrutura de resposta automatizada a incidentes e forense segue um processo forense digital padrão que consiste nas seguintes fases:

  1. Contenção

  2. Aquisição

  3. Examinação

  4. Análise

Você pode realizar investigações em dados estáticos (por exemplo, memória adquirida ou imagens de disco) e em dados dinâmicos ativos, mas em sistemas separados.

Para obter detalhes, consulte a seção Informações adicionais.

Pré-requisitos e limitações

Pré-requisitos

  • Dois Contas da AWS:

    • Conta de segurança, que pode ser uma conta existente, mas é de preferência nova

    • Conta forense, de preferência nova

  • AWS Organizations configurar

  • Nas contas dos membros da Organizações:

    • A função Amazon Elastic Compute Cloud (Amazon EC2) deve ter acesso Get and List ao Amazon Simple Storage Service (Amazon S3) e estar acessível por. AWS Systems Manager Recomendamos usar a função AmazonSSMManagedInstanceCore AWS gerenciada. Observe que essa função será automaticamente anexada à EC2 instância da Amazon quando a resposta ao incidente for iniciada. Depois que a resposta for concluída, o AWS Identity and Access Management (IAM) removerá todos os direitos da instância.

    • Endpoints de nuvem privada virtual (VPC) na conta do AWS membro e na resposta e análise de incidentes. VPCs Esses endpoints são: S3 Gateway, EC2 Mensagens, SSM e Mensagens SSM.

  • AWS Command Line Interface (AWS CLI) instalado nas EC2 instâncias da Amazon. Se as EC2 instâncias da Amazon não estiverem AWS CLI instaladas, será necessário acesso à Internet para que o instantâneo do disco e a aquisição de memória funcionem. Nesse caso, os scripts entrarão em contato com a Internet para baixar os arquivos de AWS CLI instalação e os instalarão nas instâncias.

Limitações

  • Essa estrutura não pretende gerar artefatos que possam ser considerados evidências eletrônicas, submissíveis em juízo.

  • Atualmente, esse padrão é compatível somente a instâncias baseadas em Linux executadas na arquitetura x86.

Arquitetura

Arquitetura de destino

Além da conta do membro, o ambiente de destino consiste em duas contas principais: uma conta de segurança e uma conta forense. Duas contas são usadas pelos seguintes motivos:

  • Para separá-las de quaisquer outras contas de clientes para reduzir o raio de explosão em caso de falha na análise forense

  • Para ajudar a garantir o isolamento e a proteção da integridade dos artefatos que estão sendo analisados

  • Para manter a investigação confidencial

  • Para evitar situações em que os agentes da ameaça possam ter usado todos os recursos imediatamente disponíveis para você, Conta da AWS atingindo as cotas de serviço e impedindo que você instancie uma instância da EC2 Amazon para realizar investigações. 

Além disso, ter contas de segurança e forense separadas permite a criação de perfis separados: uma Respondente para adquirir evidências e um Investigador para analisá-las. Cada perfil teria acesso a própria conta separada.

O diagrama a seguir mostra somente a interação entre as contas. Os detalhes de cada conta são mostrados nos diagramas subsequentes e um diagrama completo é anexado.

Interação entre contas e usuários de membros, segurança e forense, a Internet e o Slack.

O diagrama a seguir mostra a conta do membro.

Conta de membro com chave AWS KMS, funções do IAM, funções Lambda, endpoints, VPC com duas instâncias. EC2

1. Um evento é enviado para o tópico Amazon Simple Notification Service (Amazon SNS) do Slack.

O diagrama a seguir mostra a conta de segurança.

Conta de segurança EC2 DdCopyInstance na VPC de resposta a incidentes e com módulos de memória LiME.

2. O tópico do Amazon SNS na conta de segurança inicia eventos forenses.

O diagrama a seguir mostra a conta Forensics.

Conta forense com EC2 instâncias forenses e de vítimas, uma VPC de análise e uma VPC de manutenção.

A conta de segurança é onde os dois AWS Step Functions fluxos de trabalho principais são criados para aquisição de memória e imagem de disco. Depois que os fluxos de trabalho são executados, eles acessam a conta membro que tem as EC2 instâncias da Amazon envolvidas em um incidente e iniciam um conjunto de funções do Lambda que reunirão um despejo de memória ou um despejo de disco. Esses artefatos são então armazenados na conta forense.

A conta Forensics armazenará os artefatos coletados pelo fluxo de trabalho Step Functions no bucket Amazon S3 de artefatos de análise. A conta Forensics também terá um pipeline do Amazon EC2 Image Builder que cria uma Amazon Machine Image (AMI) de uma instância forense. Atualmente, a imagem é baseada na estação de trabalho SANS SIFT. 

O processo de compilação usa a VPC de manutenção, que tem conectividade com a Internet. Posteriormente, a imagem pode ser usada para ativar a EC2 instância da Amazon para análise dos artefatos coletados na VPC de Análise. 

A Analysis VPC não tem conectividade à internet. Por padrão, o padrão cria três sub-redes de análise privadas. Você pode criar até 200 sub-redes, que é a cota para o número de sub-redes em uma VPC, mas os VPC endpoints precisam ter essas sub-redes adicionadas para automatizar a execução de comandos nelas. AWS Systems Manager Session Manager

Do ponto de vista das melhores práticas, recomendamos usar AWS CloudTrail e AWS Config fazer o seguinte: 

  • Rastrear as alterações feitas em sua conta forense

  • Monitorar o acesso e a integridade dos artefatos que são armazenados e analisados

Fluxo de trabalho

O diagrama a seguir mostra as principais etapas de um fluxo de trabalho que inclui o processo e a árvore de decisão desde o momento em que uma instância é comprometida até ser analisada e contida.

  1. A tag SecurityIncidentStatus foi definida com o valor Analyze? Em caso positivo, faça o seguinte:

    1. Anexe os perfis IAM corretos para AWS Systems Manager o Amazon S3.

    2. Envie uma mensagem do Amazon SNS para a fila do Amazon SNS no Slack.

    3. Envie uma mensagem do Amazon SNS para a fila  SecurityIncident.

    4. Invoque a máquina de estado de aquisição de memória e disco.

  2. A memória e o disco foram adquiridos? Se não foram, há um erro.

  3. Marque a EC2 instância da Amazon com a Contain tag.

  4. Anexe o perfil do IAM e o grupo de segurança para isolar totalmente a instância.

Etapas do fluxo de trabalho listadas anteriormente.

Automação e escala

A intenção desse padrão é fornecer uma solução escalável para realizar a resposta a incidentes e a análise forense em várias contas em uma única organização. AWS Organizations

Ferramentas

Serviços da AWS

  • AWS CloudFormationajuda você a configurar AWS recursos, provisioná-los de forma rápida e consistente e gerenciá-los em todo o ciclo de vida em todas Contas da AWS as regiões.

  • AWS Command Line Interface (AWS CLI) é uma ferramenta de código aberto para interagir por Serviços da AWS meio de comandos em seu shell de linha de comando.

  • AWS Identity and Access Management (IAM) ajuda você a gerenciar com segurança o acesso aos seus AWS recursos controlando quem está autenticado e autorizado a usá-los.

  • AWS Key Management Service (AWS KMS) ajuda você a criar e controlar chaves criptográficas para proteger seus dados.

  • O AWS Lambda é um serviço de computação que ajuda a executar código sem exigir provisionamento ou gerenciamento de servidores. Ele executa o código somente quando necessário e dimensiona automaticamente, assim, você paga apenas pelo tempo de computação usado.

  • O Amazon Simple Storage Service (Amazon S3) é um serviço de armazenamento de objetos baseado na nuvem que ajuda você a armazenar, proteger e recuperar qualquer quantidade de dados.

  • AWS Security Hubfornece uma visão abrangente do seu estado de segurança em AWS. Também ajuda você a verificar seu AWS ambiente de acordo com os padrões e as melhores práticas do setor de segurança.

  • O Amazon Simple Notification Service (Amazon SNS) ajuda você a coordenar e gerenciar a troca de mensagens entre publicadores e clientes, incluindo servidores web e endereços de e-mail.

  • AWS Step Functionsé um serviço de orquestração sem servidor que ajuda você a combinar AWS Lambda funções e outras Serviços da AWS para criar aplicativos essenciais para os negócios. 

  • O AWS Systems Manager ajuda você a gerenciar suas aplicações e infraestrutura em execução na Nuvem AWS. Ele simplifica o gerenciamento de aplicativos e recursos, reduz o tempo para detectar e resolver problemas operacionais e ajuda você a gerenciar seus AWS recursos com segurança em grande escala.

Código

Para obter o código e as diretrizes específicas de implementação e uso, consulte o repositório do GitHub Automated Incident Response and Forensics Framework.

Épicos

TarefaDescriçãoHabilidades necessárias

Implante CloudFormation modelos.

Os CloudFormation modelos são marcados de 1 a 7 com a primeira palavra do nome do script indicando em qual conta o modelo precisa ser implantado. Observe que a ordem de lançamento dos CloudFormation modelos é importante.

  • 1-forensic-AnalysisVPCnS3Buckets.yaml: implantado na conta forense. Ele cria os buckets do Amazon S3 e a VPC de análise e é ativado. CloudTrail

  • 2-forensic-MaintenanceVPCnEC2ImageBuilderPipeline.yaml: implanta o pipeline de manutenção da VPC e do construtor de imagens com base no SANS SIFT.

  • 3-security_IR-Disk_Mem_automation.yaml: implanta as funções na conta de segurança que permitem a aquisição de disco e memória.

  • 4-security_LiME_Volatility_Factory.yaml: inicia uma função de construção para começar a criar os módulos de memória com base na AMI IDs fornecida. Observe que IDs as AMI são diferentes Regiões da AWS. Sempre que precisar de novos módulos de memória, você pode executar novamente esse script com a nova AMI. IDs Considere integrá-lo aos seus pipelines dourados do AMI Builder (se usado em seu ambiente).

  • 5-member-IR-automation.yaml: cria a função de automação de resposta a incidentes do membro, que inicia o processo de resposta a incidentes. Ele permite compartilhar volumes do Amazon Elastic Block Store (Amazon EBS) entre contas, publicar automaticamente nos canais do Slack durante o processo de resposta a incidentes, iniciar o processo forense e isolar as instâncias após a conclusão do processo.

  • 6-forensic-artifact-s3-policies.yaml: após a implantação de todos os scripts, esse script corrige as permissões necessárias para todas as interações entre contas.

  • 7-security-IR-vpc.yaml: configura uma VPC usada para processamento do volume de resposta a incidentes.

Para iniciar a estrutura de resposta a incidentes para uma EC2 instância específica da Amazon, crie uma tag com a chave SecurityIncidentStatus e o valorAnalyze. Isso inicializará a função do Lambda do membro, que iniciará automaticamente o isolamento e a memória, bem como a aquisição de disco.

Administrador da AWS

Opere a estrutura.

A função do Lambda também remarcará o ativo no final (ou em caso de falha) com Contain. Isso inicia a contenção, que isola totalmente a instância com um grupo de segurança sem ENTRADA/SAÍDA e com um perfil do IAM que proíbe todo o acesso.

Siga as etapas no GitHub repositório.

Administrador da AWS
TarefaDescriçãoHabilidades necessárias

Implante as ações personalizadas do Security Hub usando um CloudFormation modelo.

Para criar uma ação personalizada para que você possa usar a lista suspensa do Security Hub, implante o Modules/SecurityHub Custom Actions/SecurityHubCustomActions.yaml CloudFormation modelo. Em seguida, modifique o perfil IRAutomation em cada uma das contas dos membros para permitir que a função do Lambda que executa a ação assuma o perfil IRAutomation. Para obter mais informações, consulte o GitHub repositório.

Administrador da AWS

Recursos relacionados

Mais informações

Ao usar esse ambiente, uma equipe do Centro de operações de segurança (Security Operations Center, SOC) pode melhorar o processo de resposta a incidentes de segurança ao:

  • Ter a capacidade de realizar forenses em um ambiente segregado para evitar o comprometimento acidental dos recursos de produção

  • Ter um processo padronizado, repetível e automatizado para fazer contenção e análise.

  • Dar a qualquer proprietário ou administrador da conta a capacidade de iniciar o processo de resposta a incidentes com o mínimo de conhecimento de como usar tags

  • Ter um ambiente padronizado e limpo para realizar análises de incidentes e forenses sem o ruído de um ambiente maior

  • Ter a capacidade de criar vários ambientes de análise em paralelo

  • Foco nos recursos do SOC na resposta a incidentes em vez de na manutenção e documentação de um ambiente forense em nuvem

  • Substituição de um processo manual para um automatizado para obter escalabilidade

  • Usando CloudFormation modelos para obter consistência e evitar tarefas repetíveis

Além disso, você evita usar uma infraestrutura persistente e paga pelos recursos quando precisa deles.

Anexos

Para acessar o conteúdo adicional associado a este documento, descompacte o seguinte arquivo: attachment.zip