GuardDuty Temuan uji di akun khusus - Amazon GuardDuty
PertimbanganGuardDuty temuan skrip tester dapat menghasilkanLangkah 1 - PrasyaratLangkah 2 - Menyebarkan sumber daya AWSLangkah 3 - Jalankan skrip pengujiLangkah 4 - Bersihkan sumber daya AWS tesMemecahkan masalah umum

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

GuardDuty Temuan uji di akun khusus

Gunakan dokumen ini untuk menjalankan skrip penguji yang menghasilkan GuardDuty temuan terhadap sumber daya pengujian yang akan digunakan di file Anda. Akun AWS Anda dapat melakukan langkah-langkah ini ketika Anda ingin memahami dan mempelajari tentang jenis GuardDuty temuan tertentu dan bagaimana rincian temuan mencari sumber daya aktual di akun Anda. Pengalaman ini berbeda dengan menghasilkanSampel temuan. Untuk informasi lebih lanjut tentang pengalaman pengujian GuardDuty temuan, lihatPertimbangan.

Pertimbangan

Sebelum Anda melanjutkan, pertimbangkan pertimbangan berikut:

  • GuardDuty merekomendasikan untuk menggunakan tester dalam non-produksi khusus. Akun AWS Pendekatan ini akan memastikan bahwa Anda dapat mengidentifikasi GuardDuty temuan yang dihasilkan oleh penguji dengan benar. Selain itu, GuardDuty penguji menyebarkan berbagai sumber daya yang mungkin memerlukan IAM izin di luar apa yang diizinkan di akun lain. Menggunakan akun khusus memastikan bahwa izin dapat dicakup dengan benar dengan batas akun yang jelas.

  • Skrip tester menghasilkan lebih dari 100 GuardDuty temuan dengan kombinasi AWS sumber daya yang berbeda. Saat ini, ini tidak termasuk semua. GuardDuty menemukan jenis Untuk daftar jenis pencarian yang dapat Anda hasilkan dengan skrip penguji ini, lihatGuardDuty temuan skrip tester dapat menghasilkan.

  • Agar GuardDuty penguji berfungsi seperti yang diharapkan, GuardDuty perlu diaktifkan di akun tempat sumber daya penguji digunakan. Bergantung pada pengujian yang akan dijalankan, penguji mengevaluasi apakah rencana GuardDuty perlindungan yang sesuai diaktifkan atau tidak. Untuk setiap rencana perlindungan yang tidak diaktifkan, GuardDuty akan meminta izin untuk mengaktifkan rencana perlindungan yang diperlukan cukup lama GuardDuty untuk melakukan tes yang akan menghasilkan temuan. Nanti, GuardDuty akan menonaktifkan rencana perlindungan setelah pengujian selesai.

    Mengaktifkan GuardDuty untuk pertama kalinya

    Ketika GuardDuty diaktifkan di akun khusus Anda untuk pertama kalinya di Wilayah tertentu, akun Anda akan secara otomatis terdaftar dalam uji coba gratis 30 hari.

    GuardDuty menawarkan paket perlindungan opsional. Pada saat memungkinkan GuardDuty, paket perlindungan tertentu juga diaktifkan dan termasuk dalam uji coba gratis GuardDuty 30 hari. Untuk informasi selengkapnya, lihat Menggunakan uji GuardDuty coba gratis 30 hari.

    GuardDuty sudah diaktifkan di akun Anda sebelum menjalankan skrip penguji

    Ketika sudah GuardDuty diaktifkan, maka berdasarkan parameter, skrip tester akan memeriksa status konfigurasi rencana perlindungan tertentu dan pengaturan tingkat akun lainnya yang diperlukan untuk menghasilkan temuan.

    Dengan menjalankan skrip penguji ini, paket perlindungan tertentu mungkin diaktifkan untuk pertama kalinya di akun khusus Anda di Wilayah. Ini akan memulai uji coba gratis 30 hari untuk rencana perlindungan itu. Untuk informasi tentang uji coba gratis yang terkait dengan setiap paket perlindungan, lihatMenggunakan uji GuardDuty coba gratis 30 hari.

GuardDuty temuan skrip tester dapat menghasilkan

Saat ini, skrip penguji menghasilkan jenis temuan berikut yang terkait dengan Amazon, AmazonEKS, EC2 Amazon S3,, dan log IAM audit: EKS

Tampilkan lebih banyakTampilkan lebih sedikit

Langkah 1 - Prasyarat

Untuk mempersiapkan lingkungan pengujian Anda, Anda memerlukan item berikut:

  • Git — Instal alat baris perintah git berdasarkan sistem operasi yang Anda gunakan. Ini diperlukan untuk mengkloning amazon-guardduty-testerrepositori.

  • AWS Command Line Interface— Alat open source yang memungkinkan Anda berinteraksi Layanan AWS dengan menggunakan perintah di shell baris perintah Anda. Untuk informasi selengkapnya, lihat Memulai AWS CLI di Panduan AWS Command Line Interface Pengguna.

  • AWS Systems Manager— Untuk memulai sesi Session Manager dengan node terkelola Anda dengan menggunakan AWS CLI Anda harus menginstal plugin Session Manager di mesin lokal Anda. Untuk informasi selengkapnya, lihat Plugin Install Session Manager AWS CLI di Panduan AWS Systems Manager Pengguna.

  • Node Package Manager (NPM) - Instal NPM untuk menginstal semua dependensi.

  • Docker — Anda harus menginstal Docker. Untuk petunjuk penginstalan, lihat situs web Docker.

    Untuk memverifikasi bahwa Docker telah diinstal, jalankan perintah berikut dan konfirmasikan ada output yang mirip dengan output berikut:

    $ docker --version
Docker version 19.03.1

  • Berlangganan gambar Kali Linux di AWS Marketplace.

Langkah 2 - Menyebarkan sumber daya AWS

Bagian ini menyediakan daftar konsep kunci dan langkah-langkah untuk menyebarkan AWS sumber daya tertentu di akun khusus Anda.

Konsep

Daftar berikut menyediakan konsep kunci yang terkait dengan perintah yang membantu Anda menyebarkan sumber daya:

  • AWS Cloud Development Kit (AWS CDK)— CDK adalah kerangka pengembangan perangkat lunak open-source untuk mendefinisikan infrastruktur cloud dalam kode dan menyediakannya melalui. AWS CloudFormation CDKmendukung beberapa bahasa pemrograman untuk mendefinisikan komponen cloud yang dapat digunakan kembali yang dikenal sebagai konstruksi. Anda dapat menyusun ini bersama-sama ke tumpukan dan aplikasi. Kemudian, Anda dapat menerapkan CDK aplikasi Anda AWS CloudFormation untuk menyediakan atau memperbarui sumber daya Anda. Untuk informasi lebih lanjut, lihat Apa itu AWS CDK? di Panduan AWS Cloud Development Kit (AWS CDK) Pengembang.

  • Bootstrapping — Ini adalah proses mempersiapkan AWS lingkungan Anda untuk digunakan dengan. AWS CDK Sebelum Anda menyebarkan CDK tumpukan ke lingkungan, AWS lingkungan harus di-bootstrap terlebih dahulu. Proses penyediaan AWS sumber daya tertentu di lingkungan Anda yang digunakan oleh AWS CDK adalah bagian dari langkah-langkah yang akan Anda lakukan di bagian berikutnya -. Langkah-langkah untuk menyebarkan sumber daya AWS

    Untuk informasi selengkapnya tentang cara kerja bootstrap, lihat Bootstrapping di Panduan Pengembang.AWS Cloud Development Kit (AWS CDK)

Langkah-langkah untuk menyebarkan sumber daya AWS

Lakukan langkah-langkah berikut untuk mulai menerapkan sumber daya:

  1. Siapkan akun AWS CLI default dan Wilayah kecuali variabel Wilayah akun khusus diatur secara manual dalam bin/cdk-gd-tester.ts file. Untuk informasi selengkapnya, lihat Lingkungan di Panduan AWS Cloud Development Kit (AWS CDK) Pengembang.

  2. Jalankan perintah berikut untuk menyebarkan sumber daya:

    git clone https://github.com/awslabs/amazon-guardduty-tester && cd amazon-guardduty-tester
npm install
cdk bootstrap
cdk deploy

    Perintah terakhir (cdk deploy) membuat AWS CloudFormation tumpukan atas nama Anda. Nama tumpukan ini adalah GuardDutyTesterStack.

    Sebagai bagian dari skrip ini, GuardDuty buat sumber daya baru untuk menghasilkan GuardDuty temuan di akun Anda. Ini juga menambahkan pasangan kunci tag berikut: nilai ke instance AmazonEC2:

    CreatedBy:GuardDuty Test Script

    EC2Instans Amazon juga menyertakan EC2 instance yang meng-host EKS node dan ECS cluster.

    Tipe instans

    GuardDuty membuat t3.micro untuk semua sumber daya dengan pengecualian untuk grup EKS node Amazon. Karena EKS membutuhkan setidaknya 2 core, EKS node memiliki tipe t3.medium instance. Untuk informasi selengkapnya tentang jenis instans, lihat Ukuran yang tersedia di Panduan Jenis EC2 Instans Amazon.

Langkah 3 - Jalankan skrip penguji

Ini adalah proses dua langkah di mana Anda pertama-tama perlu memulai sesi dengan driver uji dan kemudian, jalankan skrip untuk menghasilkan GuardDuty temuan dengan kombinasi sumber daya tertentu.

  1. Setelah resource Anda di-deploy, simpan kode Region ke variabel di sesi terminal Anda saat ini. Gunakan perintah berikut dan ganti us-east-1 dengan kode Wilayah tempat Anda menerapkan sumber daya:

    $ REGION=us-east-1

  2. Skrip tester hanya tersedia melalui AWS Systems Manager (SSM). Untuk memulai shell interaktif pada instance host tester, kueri host InstanceId.

  3. Gunakan perintah berikut untuk memulai sesi Anda untuk skrip tester:

    aws ssm start-session 
  --region $REGION 
  --document-name AWS-StartInteractiveCommand 
  --parameters command="cd /home/ssm-user/py_tester && bash -l" 
  --target $(aws ec2 describe-instances 
    --region $REGION 
    --filters "Name=tag:Name,Values=Driver-GuardDutyTester" 
    --query "Reservations[].Instances[?State.Name=='running'].InstanceId" 
    --output text)

Skrip tester adalah program berbasis Python yang secara dinamis membangun skrip bash untuk menghasilkan temuan berdasarkan masukan Anda. Anda memiliki fleksibilitas untuk menghasilkan temuan berdasarkan satu atau lebih jenis AWS sumber daya, rencana GuardDuty perlindungan, Tujuan Ancaman (taktik)Sumber data dasar, atauGuardDuty temuan skrip tester dapat menghasilkan.

Gunakan contoh perintah berikut sebagai referensi, dan jalankan satu atau beberapa perintah untuk menghasilkan temuan yang ingin Anda jelajahi:

python3 guardduty_tester.py 
python3 guardduty_tester.py --all 
python3 guardduty_tester.py --s3 
python3 guardduty_tester.py --tactics discovery 
python3 guardduty_tester.py --ec2 --eks --tactics backdoor policy execution 
python3 guardduty_tester.py --eks --runtime only 
python3 guardduty_tester.py --ec2 --runtime only --tactics impact 
python3 guardduty_tester.py --log-source dns vpc-flowlogs 
python3 guardduty_tester.py --finding 'CryptoCurrency:EC2/BitcoinTool.B!DNS'

Untuk informasi lebih lanjut tentang parameter yang valid, Anda dapat menjalankan perintah bantuan berikut:

python3 guardduty_tester.py --help

Pilih metode yang disukai untuk melihat temuan yang dihasilkan di akun Anda.

GuardDuty console

  1. Masuk ke AWS Management Console dan buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

  2. Di panel navigasi, pilih Temuan.

  3. Dari tabel temuan, pilih temuan yang ingin Anda lihat detailnya. Ini akan membuka panel detail temuan. Untuk informasi, lihat Memahami dan menghasilkan GuardDuty temuan Amazon.

  4. Jika Anda ingin memfilter temuan ini, gunakan kunci dan nilai tag sumber daya. Misalnya, untuk memfilter temuan yang dihasilkan untuk EC2 instans Amazon, gunakanCreatedBy: GuardDuty Test Script tag key:value pair untuk kunci tag Instance dan kunci tag Instance.

API
AWS CLI

  • Jalankan AWS CLI perintah berikut untuk melihat temuan yang dihasilkan dan mengganti us-east-1 and 12abc34d567e8fa901bc2d34EXAMPLE dengan nilai yang sesuai:

    aws guardduty list-findings --region us-east-1 --detector-id 12abc34d567e8fa901bc2d34EXAMPLE

    Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan detectorId ListDetectors API.

    Untuk informasi selengkapnya tentang parameter yang dapat Anda gunakan untuk memfilter temuan, lihat daftar-temuan di Referensi AWS CLI Perintah.

Langkah 4 - Bersihkan sumber daya AWS tes

Pengaturan tingkat akun dan pembaruan status konfigurasi lainnya yang dibuat selama Langkah 3 - Jalankan skrip penguji kembali ke keadaan semula saat skrip penguji selesai.

Setelah Anda menjalankan skrip tester, Anda dapat memilih untuk membersihkan sumber daya AWS pengujian. Anda dapat memilih untuk melakukan ini dengan menggunakan salah satu metode berikut:

Memecahkan masalah umum

GuardDuty telah mengidentifikasi masalah umum dan merekomendasikan langkah-langkah pemecahan masalah:

  • Cloud assembly schema version mismatch— Perbarui AWS CDK CLI ke versi yang kompatibel dengan versi perakitan cloud yang diperlukan, atau ke versi terbaru yang tersedia. Untuk informasi selengkapnya, lihat AWS CDK CLIkompatibilitas.

  • Docker permission denied— Tambahkan pengguna akun khusus ke pengguna buruh pelabuhan sehingga akun khusus dapat menjalankan perintah. Untuk informasi selengkapnya tentang langkah-langkah, lihat Akses Docker ditolak.

  • Your requested instance type is not supported in your requested Availability Zone— Beberapa zona Availability tidak mendukung jenis instans tertentu. Untuk mengidentifikasi zona ketersediaan mana yang mendukung jenis instans pilihan Anda dan mencoba kembali menerapkan AWS sumber daya, lakukan langkah-langkah berikut:

    1. Pilih metode yang disukai untuk menentukan zona Ketersediaan mana yang mendukung jenis instans Anda:

      Console
      Untuk mengidentifikasi Availability zone yang mendukung tipe instans pilihan

      1. Masuk ke AWS Management Console dan buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

      2. Dengan menggunakan pemilih AWS Wilayah di sudut kanan atas halaman, pilih Wilayah tempat Anda ingin meluncurkan instance.

      3. Di panel navigasi, di bawah Instance, pilih Jenis Instance.

      4. Dari tabel tipe Instance, pilih jenis instance yang disukai.

      5. Di bawah Jaringan, lihat Wilayah yang tercantum di bawah Availability zone.

        Berdasarkan informasi ini, Anda mungkin perlu memilih Wilayah baru tempat Anda dapat menyebarkan sumber daya.

      AWS CLI

      Jalankan perintah berikut untuk melihat daftar Availability zone. Pastikan untuk menentukan jenis instans pilihan Anda dan Wilayah (us-east-1).

      aws ec2 describe-instance-type-offerings --location-type availability-zone  --filters Name=instance-type,Values=Preferred instance type --region us-east-1 --output table

      Untuk informasi selengkapnya tentang perintah ini, lihat describe-instance-type-offeringsdi Referensi AWS CLI Perintah.

      Saat menjalankan perintah ini, jika Anda menerima kesalahan, pastikan Anda menggunakan versi terbaru AWS CLI. Untuk informasi selengkapnya, lihat Pemecahan Masalah di AWS Command Line Interface Panduan Pengguna.

    2. Coba gunakan sumber AWS daya lagi dan tentukan zona Ketersediaan yang mendukung jenis instans pilihan Anda.

      Untuk mencoba kembali menyebarkan sumber daya AWS

      1. Siapkan Region default dalam bin/cdk-gd-tester.ts file.

      2. Untuk menentukan zona ketersediaan, buka amazon-guardduty-tester/lib/common/network/vpc.ts file.

      3. Dalam file ini, ganti maxAzs: 2, dengan availabilityZones: ['us-east-1a', 'us-east-1c'], tempat Anda harus menentukan zona Ketersediaan untuk jenis instans Anda.

      4. Lanjutkan dengan langkah-langkah yang tersisa di bawahLangkah-langkah untuk menyebarkan sumber daya AWS.