在 AWS 上做好入侵检测

在AWS上做好入侵检测

入侵检测是整个安全防御体系建设中不可缺少的一个重要环节，对于云计算用户来说，无论具体运行的服务是什么，都应该通过入侵检测来实时监控系统的运行状态。常见的入侵检测既要满足通用的安全需求，例如发现端口扫描，木马，后门，恶意探测，权限篡改等，也要满足企业自身的特殊安全需求，即与已建立的安全基线相违背的行为。除此之外，云上的入侵检测也有自己的独特要求，包括海量布署，快速迭代，安全可视和可控，可扩展性以及经济实用性。

在上述需求越来越普遍的情况下，AWS GuardDuty应运而生，可以为用户提供完整的解决方案。Amazon GuardDuty 是一项持续的安全监控服务，通过分析VPC流日志、AWSCloudTrail管理事件日志、CloudTrailS3数据事件日志和DNS日志来检测入侵信息。VPC流日志可用来收集有关IP流量进出网络端口的信息，AWS CloudTrail对AWS基础架构中与操作相关的帐户活动执行日志记录和监控，DNS日志用来记录AWS DNS服务器接收的DNS查询。AWS GuardDuty使用威胁情报源（例如CrownStrike, 另外用户也可以上传自定义的情报源）和机器学习来探测AWS 环境中意外的和未经授权的恶意活动。这包括了特权升级、使用遭暴露的凭证或者与恶意 IP 地址、URL 或域通信等问题。例如，GuardDuty 可检测提供恶意软件或进行比特币挖矿的受损 EC2 实例。此外，它还监控 AWS 账户访问行为是否有受损迹象，如未经授权的基础设施部署（例如，在从未使用过的区域中部署的实例）或异常的 API 调用（例如，更改密码策略以减小密码强度）。

Amazon GuardDuty会按资源类型列出的结果，这些资源类型包括EC2, S3和IAM。下表按名称、威胁目的、资源和严重性列出了所有查找类型。

查结果类型	威胁目的	RESOURCE	严重性
后门:EC2/C&CActivity.B!DNS(B!DNS)	后门	EC2	高
Backdoor:EC2/DenialOfService.Dns	后门	EC2	高
Backdoor:EC2/DenialOfService.Tcp	后门	EC2	高
Backdoor:EC2/DenialOfService.Udp	后门	EC2	高
Backdoor:EC2/DenialOfService.UdpOnTcpPorts	后门	EC2	高
Backdoor:EC2/DenialOfService.UnusualProtocol	后门	EC2	高
Backdoor:EC2/Spambot	后门	EC2	中
Behavior:EC2/NetworkPortUnusual	行为	EC2	中
Behavior:EC2/TrafficVolumeUnusual	行为	EC2	中
CryptoCurrency:EC2/Bitcoin工具.B	CryptoCurrency	EC2	高
CryptoCurrency:EC2/BitcoinTool.B!DNS	CryptoCurrency	EC2	高
发现:S3/BucketEnumation.Unual	发现	S3	中
发现:S3/恶意IP主叫方.自定义	发现	S3	中
发现:S3/TorIPCaller	发现	S3	中
影响:EC2/端口扫描	Impact	EC2	高
影响:EC2/WinRMBruteForce	Impact	EC2	高
影响:S3/权限修改。异常	Impact	S3	中
影响:S3/对象删除。异常	Impact	S3	中
PenTest:IAMUser/KaliLinux	PenTest	IAM	中
PenTest:IAMUser/ParrotLinux	PenTest	IAM	中
PenTest:IAMUser/PentooLinux	PenTest	IAM	中
PenTest:S3/KaliLinux(S3/KaliLinux)	PenTest	S3	中
PenTest:S3/ParrotLinux	PenTest	S3	中
PenTest:S3/PentooLinux	PenTest	S3	中
Persistence:IAMUser/NetworkPermissions	持久性	IAM	中*
Persistence:IAMUser/ResourcePermissions	持久性	IAM	中*
Persistence:IAMUser/UserPermissions	持久性	IAM	中*
Policy:IAMUser/RootCredentialUsage	Policy	IAM	Low
策略:S3/AccountBlockPublicAccessDisabled	Policy	S3	Low
策略:S3/BucketBlockPublicAccessDisabled	Policy	S3	Low
政策:S3/BucketPublicAccess授予	Policy	S3	高
PrivilegeEscalation:IAMUser/AdministrativePermissions	PrivilegeEscalation	IAM	低*
Recon:EC2/PortProbeEMRUnprotectedPort	Recon	EC2	高
Recon:EC2/PortProbeUnprotectedPort	Recon	EC2	低*
Recon:EC2/Portscan	Recon	EC2	中
Recon:IAMUser/MaliciousIPCaller	Recon	IAM	中
Recon:IAMUser/MaliciousIPCaller.Custom	Recon	IAM	中
Recon:IAMUser/NetworkPermissions	Recon	IAM	中*
Recon:IAMUser/ResourcePermissions	Recon	IAM	中*
Recon:IAMUser/TorIPCaller	Recon	IAM	中
Recon:IAMUser/UserPermissions	Recon	IAM	中*
ResourceConsumption:IAMUser/ComputeResources	ResourceConsumption	IAM	中*
Stealth:IAMUser/CloudTrailLoggingDisabled	Stealth	IAM	Low
Stealth:IAMUser/LoggingConfigurationModified	Stealth	IAM	中*
Stealth:IAMUser/PasswordPolicyChange	Stealth	IAM	Low
Stealth:S3/ServerAccessLoggingDisabled	Stealth	S3	Low
Trojan:EC2/BlackholeTraffic	木马	EC2	中
Trojan:EC2/BlackholeTraffic!DNS	木马	EC2	中
Trojan:EC2/DGADomainRequest.B	木马	EC2	高
Trojan:EC2/DGADomainRequest.C!DNS	木马	EC2	高
Trojan:EC2/DNSDataExfiltration	木马	EC2	高
Trojan:EC2/DriveBySourceTraffic!DNS	木马	EC2	中
Trojan:EC2/DropPoint	木马	EC2	中
Trojan:EC2/DropPoint!DNS	木马	EC2	高
Trojan:EC2/PhishingDomainRequest!DNS	木马	EC2	高
UnauthorizedAccess:EC2/恶意IP主叫方.自定义	UnauthorizedAccess	EC2	中
UnauthorizedAccess:EC2/元数据DNS重新绑定	UnauthorizedAccess	EC2	高
UnauthorizedAccess:EC2/RDPBruteForce	UnauthorizedAccess	EC2	低*
UnauthorizedAccess:EC2/SSH勒特力	UnauthorizedAccess	EC2	低*
UnauthorizedAccess:EC2/客户	UnauthorizedAccess	EC2	高
UnauthorizedAccess:EC2/TorRelay(EC2/TorRelay)	UnauthorizedAccess	EC2	高
UnauthorizedAccess:IAMUser/ConsoleLogin	UnauthorizedAccess	IAM	中*
UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B	UnauthorizedAccess	IAM	中
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration	UnauthorizedAccess	IAM	高
UnauthorizedAccess:IAMUser/MaliciousIPCaller	UnauthorizedAccess	IAM	中
UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom	UnauthorizedAccess	IAM	中
UnauthorizedAccess:IAMUser/TorIPCaller	UnauthorizedAccess	IAM	中
UnauthorizedAccess:S3/恶意IP主叫方.自定义	UnauthorizedAccess	S3	中
UnauthorizedAccess:S3/TorIP呼叫方	UnauthorizedAccess	S3	中
查结果类型	威胁目的	RESOURCE	严重性
后门:EC2/C&CActivity.B!DNS(B!DNS)	后门	EC2	高
Backdoor:EC2/DenialOfService.Dns	后门	EC2	高
Backdoor:EC2/DenialOfService.Tcp	后门	EC2	高
Backdoor:EC2/DenialOfService.Udp	后门	EC2	高
Backdoor:EC2/DenialOfService.UdpOnTcpPorts	后门	EC2	高
Backdoor:EC2/DenialOfService.UnusualProtocol	后门	EC2	高
Backdoor:EC2/Spambot	后门	EC2	中
Behavior:EC2/NetworkPortUnusual	行为	EC2	中
Behavior:EC2/TrafficVolumeUnusual	行为	EC2	中
CryptoCurrency:EC2/Bitcoin工具.B	CryptoCurrency	EC2	高
CryptoCurrency:EC2/BitcoinTool.B!DNS	CryptoCurrency	EC2	高
发现:S3/BucketEnumation.Unual	发现	S3	中
发现:S3/恶意IP主叫方.自定义	发现	S3	中
发现:S3/TorIPCaller	发现	S3	中
影响:EC2/端口扫描	Impact	EC2	高
影响:EC2/WinRMBruteForce	Impact	EC2	高
影响:S3/权限修改。异常	Impact	S3	中
影响:S3/对象删除。异常	Impact	S3	中
PenTest:IAMUser/KaliLinux	PenTest	IAM	中
PenTest:IAMUser/ParrotLinux	PenTest	IAM	中
PenTest:IAMUser/PentooLinux	PenTest	IAM	中
PenTest:S3/KaliLinux(S3/KaliLinux)	PenTest	S3	中
PenTest:S3/ParrotLinux	PenTest	S3	中
PenTest:S3/PentooLinux	PenTest	S3	中
Persistence:IAMUser/NetworkPermissions	持久性	IAM	中*
Persistence:IAMUser/ResourcePermissions	持久性	IAM	中*
Persistence:IAMUser/UserPermissions	持久性	IAM	中*
Policy:IAMUser/RootCredentialUsage	Policy	IAM	Low
策略:S3/AccountBlockPublicAccessDisabled	Policy	S3	Low
策略:S3/BucketBlockPublicAccessDisabled	Policy	S3	Low
政策:S3/BucketPublicAccess授予	Policy	S3	高
PrivilegeEscalation:IAMUser/AdministrativePermissions	PrivilegeEscalation	IAM	低*
Recon:EC2/PortProbeEMRUnprotectedPort	Recon	EC2	高
Recon:EC2/PortProbeUnprotectedPort	Recon	EC2	低*
Recon:EC2/Portscan	Recon	EC2	中
Recon:IAMUser/MaliciousIPCaller	Recon	IAM	中
Recon:IAMUser/MaliciousIPCaller.Custom	Recon	IAM	中
Recon:IAMUser/NetworkPermissions	Recon	IAM	中*
Recon:IAMUser/ResourcePermissions	Recon	IAM	中*
Recon:IAMUser/TorIPCaller	Recon	IAM	中
Recon:IAMUser/UserPermissions	Recon	IAM	中*
ResourceConsumption:IAMUser/ComputeResources	ResourceConsumption	IAM	中*
Stealth:IAMUser/CloudTrailLoggingDisabled	Stealth	IAM	Low
Stealth:IAMUser/LoggingConfigurationModified	Stealth	IAM	中*
Stealth:IAMUser/PasswordPolicyChange	Stealth	IAM	Low
Stealth:S3/ServerAccessLoggingDisabled	Stealth	S3	Low
Trojan:EC2/BlackholeTraffic	木马	EC2	中
Trojan:EC2/BlackholeTraffic!DNS	木马	EC2	中
Trojan:EC2/DGADomainRequest.B	木马	EC2	高
Trojan:EC2/DGADomainRequest.C!DNS	木马	EC2	高
Trojan:EC2/DNSDataExfiltration	木马	EC2	高
Trojan:EC2/DriveBySourceTraffic!DNS	木马	EC2	中
Trojan:EC2/DropPoint	木马	EC2	中
Trojan:EC2/DropPoint!DNS	木马	EC2	高
Trojan:EC2/PhishingDomainRequest!DNS	木马	EC2	高
UnauthorizedAccess:EC2/恶意IP主叫方.自定义	UnauthorizedAccess	EC2	中
UnauthorizedAccess:EC2/元数据DNS重新绑定	UnauthorizedAccess	EC2	高
UnauthorizedAccess:EC2/RDPBruteForce	UnauthorizedAccess	EC2	低*
UnauthorizedAccess:EC2/SSH勒特力	UnauthorizedAccess	EC2	低*
UnauthorizedAccess:EC2/客户	UnauthorizedAccess	EC2	高
UnauthorizedAccess:EC2/TorRelay(EC2/TorRelay)	UnauthorizedAccess	EC2	高
UnauthorizedAccess:IAMUser/ConsoleLogin	UnauthorizedAccess	IAM	中*
UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B	UnauthorizedAccess	IAM	中
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration	UnauthorizedAccess	IAM	高
UnauthorizedAccess:IAMUser/MaliciousIPCaller	UnauthorizedAccess	IAM	中
UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom	UnauthorizedAccess	IAM	中
UnauthorizedAccess:IAMUser/TorIPCaller	UnauthorizedAccess	IAM	中
UnauthorizedAccess:S3/恶意IP主叫方.自定义	UnauthorizedAccess	S3	中
UnauthorizedAccess:S3/TorIP呼叫方	UnauthorizedAccess	S3	中

AWS GuardDuty 为所生成的各种调查结果类型使用以下格式来告知用户： ThreatPurpose:ResourceTypeAfected/ThreatFamilyName.ThreatFamilyVariant!Artifact。例如, DNS(DNS) 的搜索类型 CryptoCurrency:EC2/BitcoinTool.B!DNS 表示EC2实例正在与已知的比特币相关域通信。

值得着重关注的是AWS GuardDuty新推出了对S3的保护功能。仅需在Console界面一键点开，就可以实现对所有账号的所有S3桶的持续监控，包括访问事件，权限设置，可以检测到恶意及可疑的活动例如来自于不常见的访问地址，对数据保护措施（S3的禁止公开访问）的禁用，对非授权数据的异常访问。

针对检测出来的事件，AWS GuardDuty会产生不同等级的告警，同时也AWS也会向用户推荐相关的纠正措施，例如修复受损的EC2实例，纠正受损的S3存储段，修复受损的ASM凭据。

下图展示了AWS GuardDuty与不同的合作伙伴之间的结合，包括危胁情报的输入，自定义上传，也可根据检测到的事件的不同，可结合到用户的SIEM方案中，也可结合类似SLACK这样的工具实现即时的通知和告警。

亚马逊AWS官方博客

在 AWS 上做好入侵检测

本篇作者