Automatice la respuesta a incidentes y el análisis forense - Recomendaciones de AWS
ResumenRequisitos previos y limitacionesArquitecturaHerramientasEpicsRecursos relacionadosInformación adicionalConexiones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Automatice la respuesta a incidentes y el análisis forense

Creada por Lucas Kauffman (AWS) y Tomek Jakubowski () AWS

aws-automated-incident-responseRepositorio de código: -and-forensics

Entorno: producción

Tecnologías: seguridad, identidad, conformidad

AWSservicios: AmazonEC2; AWS Lambda; Amazon S3; AWS Security Hub; AWS Identity and Access Management

Resumen

Este patrón implementa un conjunto de procesos que utilizan funciones AWS Lambda para proporcionar lo siguiente:

  • Una forma de iniciar el proceso de respuesta a un incidente con un conocimiento mínimo

  • Procesos automatizados y repetibles que están alineados con la Guía de respuesta a incidentes de AWS seguridad

  • Separación de cuentas para ejecutar los pasos de automatización, almacenar artefactos y crear entornos forenses

El marco forense y de respuesta automática a incidentes sigue un proceso forense digital estándar que consta de las siguientes fases:

  1. Contención

  2. Adquisición

  3. Examen

  4. Análisis

Puede realizar investigaciones sobre datos estáticos (por ejemplo, memoria adquirida o imágenes de disco) y sobre datos dinámicos activos pero en sistemas separados.

Para obtener más información, consulte la sección Detalles adicionales.

Requisitos previos y limitaciones

Requisitos previos 

  • Dos AWS cuentas:

    • Cuenta de seguridad, que puede ser una cuenta existente, pero preferiblemente nueva

    • Cuenta forense, preferiblemente nueva

  • AWSOrganizations set up

  • En las cuentas de los miembros de organizaciones:

    • El rol Amazon Elastic Compute Cloud (AmazonEC2) debe tener acceso a Get and List a Amazon Simple Storage Service (Amazon S3) y ser accesible por parte de Systems AWS Manager. Recomendamos utilizar la función AmazonSSMManagedInstanceCore AWS gestionada. Tenga en cuenta que esta función se asociará automáticamente a la EC2 instancia cuando se inicie la respuesta al incidente. Una vez finalizada la respuesta, AWS Identity and Access Management (IAM) eliminará todos los derechos de la instancia.

    • Los puntos finales de la nube privada virtual (VPC) se encuentran en la cuenta del AWS miembro y en la respuesta y el análisis VPCs de incidentes. Estos puntos finales son: S3 GatewaySSM, EC2 Messages y SSM Messages.

  • AWSLa interfaz de línea de comandos (AWSCLI) está instalada en las EC2 instancias. Si las EC2 instancias no están AWS CLI instaladas, se necesitará acceso a Internet para que la captura del disco y la adquisición de memoria funcionen. En este caso, los scripts se conectarán a Internet para descargar los archivos de AWS CLI instalación y los instalarán en las instancias.

Limitaciones

  • Este marco no pretende generar artefactos que puedan considerarse pruebas electrónicas y que puedan presentarse ante un tribunal.

  • Actualmente, este patrón solo admite instancias basadas en Linux que se ejecutan en una arquitectura x86.

Arquitectura

Pila de tecnología de destino

  • AWS CloudFormation

  • AWS CloudTrail

  • AWSConfig

  • IAM

  • Lambda

  • Amazon S3

  • AWSSistema de gestión de claves (AWSKMS)

  • AWS Security Hub

  • Amazon Simple Notification Service (AmazonSNS)

  • AWS Step Functions

Arquitectura de destino

Además de la cuenta de miembro, el entorno de destino consta de dos cuentas principales: una cuenta de seguridad y una cuenta de análisis forense. Se utilizan dos cuentas por las siguientes razones:

  • Para separarlas de cualquier otra cuenta de cliente a fin de reducir el radio de explosión en caso de un análisis forense fallido

  • Para ayudar a garantizar el aislamiento y la protección de la integridad de los artefactos que se están analizando

  • Para mantener la confidencialidad de la investigación

  • Para evitar situaciones en las que los actores de la amenaza pudieran haber utilizado todos los recursos disponibles de forma inmediata para tu AWS cuenta comprometida, alcanzando las cuotas de servicio e impidiéndote crear una EC2 instancia de Amazon para llevar a cabo investigaciones. 

Además, disponer de cuentas de seguridad y de análisis forenses independientes permite crear funciones distintas: un sistema de respuesta para obtener pruebas y otra de investigador para analizarlas. Cada rol tendría acceso a su cuenta independiente.

El siguiente diagrama muestra solo la interacción entre las cuentas. Los detalles de cada cuenta se muestran en los diagramas siguientes y se adjunta un diagrama completo.

Interacción entre cuentas y usuarios de miembros, de seguridad y de análisis forense, Internet y Slack.

En el siguiente diagrama se muestra la cuenta de miembro.

Cuenta de miembro con AWS KMS clave, IAM funciones de Lambda, VPC puntos finales y dos instancias. EC2

1. Se envía un evento al SNS tema Amazon de Slack.

En el siguiente diagrama se muestra la cuenta de seguridad.

Cuenta de seguridad incluida EC2DdCopyInstance en la respuesta al incidente VPC y con módulos de memoria LiME.

2. El SNS tema de la cuenta de seguridad inicia los eventos forenses.

En el siguiente diagrama se muestra la cuenta de análisis forense.

Cuenta forense con EC2 instancias forenses y de víctimas, un análisis y un mantenimiento. VPC VPC

La cuenta Security es donde se crean los dos flujos de trabajo principales de AWS Step Functions para la adquisición de memoria e imágenes de disco. Una vez ejecutados los flujos de trabajo, acceden a la cuenta del miembro que tiene las EC2 instancias implicadas en un incidente e inician un conjunto de funciones de Lambda que recopilarán un volcado de memoria o un volcado de disco. Luego, esos artefactos se almacenan en la cuenta de análisis forense.

La cuenta de análisis forense guardará los artefactos recopilados por el flujo de trabajo de Step Functions en el bucket de S3 de artefactos de análisis. La cuenta de Forensics también tendrá una canalización de EC2 Image Builder que crea una Amazon Machine Image (AMI) de una instancia de Forensics. Actualmente, la imagen se basa en Workstation. SANS SIFT 

El proceso de construcción utiliza el mantenimientoVPC, que tiene conectividad a Internet. La imagen se puede utilizar posteriormente para hacer girar la EC2 instancia y analizar los artefactos recopilados en el AnálisisVPC. 

El análisis VPC no tiene conexión a Internet. De forma predeterminada, el patrón crea tres subredes de análisis privadas. Puede crear hasta 200 subredes, que es la cuota para el número de subredes de unaVPC, pero es necesario agregar esas subredes a los VPC endpoints para que AWS Systems Manager Sessions Manager automatice la ejecución de comandos en ellas.

Desde el punto de vista de las mejores prácticas, recomendamos usar AWS CloudTrail y AWS Config para hacer lo siguiente: 

  • Realice un seguimiento de los cambios realizados en su cuenta de análisis forense

  • Supervise el acceso y la integridad de los artefactos que se almacenan y analizan

Flujo de trabajo

El siguiente diagrama muestra los pasos clave de un flujo de trabajo que incluye el proceso y el árbol de decisiones desde el momento en que una instancia se ve comprometida hasta que se analiza y contiene.

  1. ¿Se ha establecido la etiqueta SecurityIncidentStatus con el valor Analizar? Si es así, haga lo siguiente:

    1. Adjunte los IAM perfiles correctos para AWS Systems Manager y Amazon S3.

    2. Envía un SNS mensaje de Amazon a la SNS cola de Amazon en Slack.

    3. Envía un SNS mensaje de Amazon a la  SecurityIncident cola.

    4. Invoque el equipo de estado de adquisición de memoria y disco.

  2. ¿Se han adquirido la memoria y el disco? Si la respuesta es no, se ha producido un error.

  3. Etiquete la EC2 instancia con la Contain etiqueta.

  4. Adjunta el IAM rol y el grupo de seguridad para aislar completamente la instancia.

Los pasos del flujo de trabajo se enumeran anteriormente.

Automatizar y escalar

La intención de este patrón es proporcionar una solución escalable para realizar análisis forenses y de respuesta a incidentes en varias cuentas de una sola organización de AWS Organizations.

Herramientas

AWSServicios

  • AWS CloudFormationle ayuda a configurar AWS los recursos, aprovisionarlos de forma rápida y coherente y administrarlos durante todo su ciclo de vida en todas las AWS cuentas y regiones.

  • AWSLa interfaz de línea de comandos (AWSCLI) es una herramienta de código abierto que permite interactuar con AWS los servicios mediante comandos de la consola de línea de comandos.

  • AWSIdentity and Access Management (IAM) le ayuda a administrar de forma segura el acceso a sus AWS recursos al controlar quién está autenticado y autorizado a usarlos.

  • AWSEl servicio de administración de claves (AWSKMS) le ayuda a crear y controlar claves criptográficas para proteger sus datos.

  • AWSLambda es un servicio informático que le ayuda a ejecutar código sin necesidad de aprovisionar o administrar servidores. Ejecuta el código solo cuando es necesario y amplía la capacidad de manera automática, por lo que solo pagará por el tiempo de procesamiento que utilice.

  • Amazon Simple Storage Service (Amazon S3) es un servicio de almacenamiento de objetos basado en la nube que le ayuda a almacenar, proteger y recuperar cualquier cantidad de datos.

  • AWSSecurity Hub proporciona una visión completa del estado de su seguridad enAWS. También le ayuda a comparar su AWS entorno con los estándares y las mejores prácticas del sector de la seguridad.

  • Amazon Simple Notification Service (AmazonSNS) le ayuda a coordinar y gestionar el intercambio de mensajes entre editores y clientes, incluidos los servidores web y las direcciones de correo electrónico.

  • AWSStep Functions es un servicio de organización sin servidor que le ayuda a combinar las funciones de AWS Lambda y otros AWS servicios para crear aplicaciones críticas para la empresa. 

  • AWSSystems Manager le ayuda a gestionar las aplicaciones y la infraestructura que se ejecutan en la AWS nube. Simplifica la administración de aplicaciones y recursos, reduce el tiempo necesario para detectar y resolver problemas operativos y le ayuda a administrar sus AWS recursos de forma segura y a escala.

Código

Para obtener el código y las directrices específicas de implementación y uso, consulte el repositorio del Marco Forense y de Respuesta GitHub Automatizada a Incidentes.

Epics

TareaDescripciónHabilidades requeridas

Implemente CloudFormation plantillas.

Las CloudFormation plantillas están marcadas del 1 al 7 y la primera palabra del nombre del script indica en qué cuenta se debe implementar la plantilla. Tenga en cuenta que el orden de lanzamiento de las CloudFormation plantillas es importante.

  • 1-forensic-AnalysisVPCnS3Buckets.yaml: se implementó en la cuenta de análisis forense. Crea los cubos S3 y el AnálisisVPC, y se activa CloudTrail.

  • 2-forensic-MaintenanceVPCnEC2ImageBuilderPipeline.yaml: Implementa el proceso de mantenimiento VPC y creación de imágenes en función de. SANS SIFT

  • 3-security_IR-Disk_Mem_automation.yaml: implementa las funciones en la cuenta de seguridad que permiten la adquisición de discos y memoria.

  • 4-security_LiME_Volatility_Factory.yaml: Inicia una función de compilación para empezar a crear los módulos de memoria en función de lo indicado. AMI IDs Tenga en cuenta que AMI IDs son diferentes según AWS las regiones. Siempre que necesite nuevos módulos de memoria, puede volver a ejecutar este script con los nuevos AMIIDs. Considere la posibilidad de integrarlo con sus procesos principales AMI de creación de imágenes (si se utilizan en su entorno).

  • 5-member-IR-automation.yaml: crea la función de automatización de respuesta a incidentes de los miembros, que inicia el proceso de respuesta a incidentes. Permite compartir los volúmenes de Amazon Elastic Block Store (AmazonEBS) entre cuentas, publicar automáticamente en los canales de Slack durante el proceso de respuesta a incidentes, iniciar el proceso forense y aislar las instancias una vez finalizado el proceso.

  • 6-forensic-artifact-s3-policies.yaml: una vez implementados todos los scripts, este script corrige los permisos necesarios para todas las interacciones entre cuentas.

  • 7-security-IR-vpc.yaml: Configura un procesamiento del volumen utilizado para la respuesta a incidentes. VPC

Para iniciar el marco de respuesta a incidentes para una EC2 instancia específica, cree una etiqueta con la clave SecurityIncidentStatus y el valorAnalyze. Esto iniciará la función de Lambda de miembro que iniciará automáticamente el aislamiento y la memoria, así como la adquisición de discos.

AWSadministrador

Opere el marco.

La función de Lambda también volverá a etiquetar el activo al final (o en caso de fallo) con Contain. Esto inicia la contención, que aísla completamente la instancia con un grupo de OUTBOUND seguridad noINBOUND/y con una IAM función que impide todo acceso.

Sigue los pasos que se indican en el repositorio. GitHub

AWSadministrador
TareaDescripciónHabilidades requeridas

Implemente las acciones personalizadas de Security Hub mediante una CloudFormation plantilla.

Para crear una acción personalizada de forma que pueda usar la lista desplegable de Security Hub, implemente la Modules/SecurityHub Custom Actions/SecurityHubCustomActions.yaml CloudFormation plantilla. A continuación, modifique la función IRAutomation en cada una de las cuentas de los miembros para permitir que la función de Lambda que ejecuta la acción asuma la función IRAutomation. Para obtener más información, consulte el GitHub repositorio.

AWSadministrador

Recursos relacionados

Información adicional

Al utilizar este entorno, un equipo del Centro de Operaciones de Seguridad (SOC) puede mejorar su proceso de respuesta a los incidentes de seguridad de la siguiente manera:

  • Tener la capacidad de realizar análisis forenses en un entorno dividido para evitar comprometer accidentalmente los recursos de producción

  • Disponer de un proceso estandarizado, repetible y automatizado para la contención y el análisis.

  • Ofrecer a cualquier propietario o administrador de una cuenta la posibilidad de iniciar el proceso de respuesta a los incidentes con un conocimiento mínimo de cómo usar las etiquetas

  • Disponer de un entorno limpio y estandarizado para realizar análisis de incidentes y análisis forenses sin el ruido de un entorno más grande

  • Tener la capacidad de crear múltiples entornos de análisis en paralelo

  • Centrar SOC los recursos en la respuesta a los incidentes en lugar de en el mantenimiento y la documentación de un entorno forense en la nube

  • Pasar de un proceso manual a uno automatizado para lograr la escalabilidad

  • Uso de CloudFormation plantillas para garantizar la coherencia y evitar tareas repetitivas

Además, evita el uso de una infraestructura persistente y paga por los recursos cuando los necesita.

Conexiones

Para acceder al contenido adicional asociado a este documento, descomprima el archivo: attachment.zip