在亚马逊云科技Guardduty上集成第三方威胁情报的两种方法

内容简介

Amazon GuardDuty 是一项智能威胁检测服务，为客户提供了一种准确、简单的方法来持续监控和保护其亚马逊云科技账户、工作负载和存储在 Amazon S3 中的数据。Amazon GuardDuty 威胁检测可以识别可能与账户入侵、实例泄露、恶意侦测和存储桶泄漏相关的活动。

Amazon GuardDuty 使用两种方式检测威胁：基于机器学习的方式可以通过异常行为检测发现未知的威胁，基于威胁情报的方式可以利用威胁情报中的已知恶意 IP 地址和域名来发现已知的威胁。GuardDuty 威胁情报由亚马逊云科技服务和第三方提供商（如 Proofpoint 、 CrowdStrike和Bitdefender）联合提供。这些威胁情报源在 GuardDuty 中预先集成并持续更新，无需您额外付费购买。与此同时，为了满足客户的需求，Guardduty提供了威胁列表（Threat List）功能，支持客户使用自己的威胁情报，目前可以根据Threat List生成以下10种类型的告警：

CredentialAccess:Kubernetes/MaliciousIPCaller.Custom

DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom

Discovery:Kubernetes/MaliciousIPCaller.Custom

Impact:Kubernetes/MaliciousIPCaller.Custom

Persistence:Kubernetes/MaliciousIPCaller.Custom

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

Recon:IAMUser/MaliciousIPCaller.Custom

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

Discovery:S3/MaliciousIPCaller.Custom

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

本文将介绍如何使用两种部署架构，为Guardduty在多账户多Region环境下部署威胁列表，并提供CLI示例命令行。

先决条件

在亚马逊云科技账户内开启Guardduty服务。Guardduty是regional服务，为了增加威胁发现的覆盖面，建议在所有region中开启，并且威胁列表也需要在所有region分别进行配置。
Guardduty的威胁列表支持6种不同的文件格式，本文示例中均使用txt格式，若您使用其它格式请根据官方文档进行相应参数的修改即可。

架构原理

本文将介绍两种部署第三方情报的架构：情报与Guardduty在同一个账户或分别处于两个账户，下图为两种架构的对比图，您可以根据自身需求灵活选择。

架构一同一账户部署模式

此架构是在同一个亚马逊云科技账户内将情报文件上传至一个S3存储桶内。每个region的Guardduty均使用此S3存储桶内的同一个威胁列表文件。

适用场景

对情报内容无特殊保密要求，允许运维人员查看，适合企业在互联网上自行搜索、抓取或购买,集中整理后再统一使用的方式。

步骤1 设置参数

bucketregion=(此为放置S3的region，例如：cn-norht-1）
bucketname=(此为存放威胁列表文件的存储桶，例如：mythreatbucket)
region=(此为运行CLI命令的region 例如：us-east-1）
filename=(此为威胁列表的源文件名称 例如：threatlist.txt)
threatset=(此为威胁列表集的名称 例如：mytestset)
regions=($(aws ec2 describe-regions --query 'Regions[*].RegionName' --output text --region=$region))
echo $regions

步骤2 创建S3并上传情报文件

aws s3api create-bucket \
    --bucket $bucketname \
    --region $bucketregion \
    --create-bucket-configuration LocationConstraint=$bucketregion
aws s3 cp $filename s3://$bucketname/ --region=$bucketregion

步骤3 在每个region开启Guardduty威胁列表

for region in $regions; do
aws guardduty create-threat-intel-set \
    --detector-id $(aws guardduty list-detectors --output text --query 'DetectorIds' --region=$region)  \
    --name $threatset \
    --format TXT \
    --location $tiurl\
    --activate --region=$region
done

架构二跨账户部署模式

在此架构中，威胁情报文件被放置在另一个亚马逊云科技账户中的S3存储桶中，通过对此S3进行跨账户权限配置,给予Guardduty的servicelinked role跨账户读取该情报文件的能力。

适用场景

适合对威胁情报保密要求高的场景，例如：提供付费威胁情报的供应商,可以使用此架实现允许付费用户在其Guardduty中引用威胁情报，但其客户的工作人员却无法读取或下载威胁情报中的内容。

步骤1 情报商配置S3桶策略（Bucket Policy）

请下载s3 policy示例文件并进行修改：
1.将其中<accountid1>替换为威胁情报购买用户提供的Guardduty委托管理员账户ID，为12位数字。
2.若使用的是海外Region（如 us-east-1）同时需将aws-cn改为aws。

{
    "Version": "2012-10-17",
    "Id": "policyforguardduty",
    "Statement": [
        {
            "Sid": "allowcrossaccount",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws-cn:iam::<accountid1>:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
                ]
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws-cn:s3:::<bucketname>/<filename>.txt"
        }
    ]
}

完成修改后，登录亚马逊云科技控制台，将其复制进放置情报的S3桶的桶策略中，完成后其配置应如下图所示：

存放情报的S3 Bucket Policy设置后截图

步骤2 客户端参数设置

购买威胁情报的用户需要使用自己Guardduty委托管理员账户中的具备Guardduty操作权限的IAM用户或角色，执行以下CLI示例命令，参数可自行调整：

tiurl= (存放威胁情报文件的地址 例如：s3://threatbook-gdti/threatlist.txt)
threatset=(威胁列表的名称，只允许英文，例如：onlyenglishname）
regions=($(aws ec2 describe-regions --query 'Regions[*].RegionName' --output text --region=$region))
echo $regions

步骤3 使用Guardduty在每个region创建并启用威胁列表

for region in $regions; do
aws guardduty create-threat-intel-set \
    --detector-id $(aws guardduty list-detectors --output text --query 'DetectorIds' --region=$region)  \
    --name $threatset \
    --format TXT \
    --location $tiurl\
    --activate --region=$region
done

配置完成后登录亚马逊云科技控制台，依次点击Guardduty -> Setting -> Lists，会发现新创建的威胁列表处理Active状态，此时如果点击S3地址会报错，如下图所示，原因是任何个人用户或角色是无权限查看情报源文件的。

访问情报S3报错

而Guardduty会自动使用该威胁列表中的情报内容，当符合条件时生成相应告警，你可以在控制台页面进行查看，如下图为示例告警：

第三方情报触发的威胁告警

在上图告警的细节描述部分,可以看到威胁的源IP地址，其信息来自于自定义Threat IP List。由于Guardduty已集成了Amazon Organizations, 只要在委托管理员账户中配置一次后，所有成员账户（member accounts）中的Guardduty均可自动使用该第三方情报，从上图中亦可以看出，威胁告警来自于不同的成员账户。

定期更新情报

当S3中的源情报文件因修改发生变化后，需要重新触发Guardduty对新版本文件进行读取。此时可以使用以下CLI示例命令，将所有region情报进行一次更新。如果使用Amazon Organizations管理多账户的Guardduty，则只需要由委托管理员账户执行CLI命令，完成后会在所有成员账户的Guardduty中生效。

regions=($(aws ec2 describe-regions --query 'Regions[*].RegionName' --output text --region=$region))
echo $regions
for region in $regions; do
did=$(aws guardduty list-detectors --output text --query 'DetectorIds' --region=$region)
tid=$(aws guardduty list-threat-intel-sets \
--detector-id=$(aws guardduty list-detectors --output text --query 'DetectorIds' \
--region=$region)  --region=$region --output text --query 'ThreatIntelSetIds' )
aws guardduty update-threat-intel-set --detector-id=$did --threat-intel-set-id=$tid --activate --region=$region
echo $region
done

小结

在本文中我们仅仅通过几步简单的命令，就轻松完成了为Guardduty配置、启用以及更新第三方情报的操作。在这两种架构中,第一种适用于企业自身收集情报，第二种适用于付费的第三方情报模式,您也可以同时使用两种架构。本文示例是在所有region均访问同一个S3的情报文件，如果您有针对不同国家或区域的个性化情报,亦可在不同region分别设置S3来保存不同的情报文件。为确保情报文件的安全,建议参考S3安全最佳实践进行配置。如果您有定期更新情报的需求,亦可通过使用Eventbridge触发Lambda的方式实现情报的自动更新，更多关于Guardduty的详细资料请访问Amazon GuardDuty用户手册。

亚马逊AWS官方博客

在亚马逊云科技Guardduty上集成第三方威胁情报的两种方法

内容简介

先决条件

架构原理

架构一 同一账户部署模式

适用场景

步骤1 设置参数

步骤2 创建S3并上传情报文件

步骤3 在每个region开启Guardduty威胁列表

架构二 跨账户部署模式

适用场景

步骤1 情报商配置S3桶策略（Bucket Policy）

步骤2 客户端参数设置

步骤3 使用Guardduty在每个region创建并启用威胁列表

定期更新情报

小结

本篇作者

架构一同一账户部署模式

架构二跨账户部署模式