Como detectar y responder amenazas con AWS GuardDuty

Transcript

1. @awssecuritylatam @gerardokaztro Acerca de mí

2. VPC Flow Logs DNS Logs CloudTrail Events Hallazgos Threat intelligence

   Anomaly detection (ML) Amazon Detective • Alertas • Remediaciones • Envío logs al SIEM • Soluciones 3ras CloudWatch Event Tipo de hallazgos • Minería Bitcoin • Control y Comando • Conexiones Anónimas • Reconocimiento Comportamiento inusual Ejemplos: • Lanzamiento de instancias • Cambios en los permisos de red • Anomalías en el comportamiento de la red • Anomalía a los patrones de acceso hacia los datos en S3 Amazon GuardDuty Fuente de origen Tipo de Detección ALTA MEDIA BAJA AWS SecurityHub S3 DataPlane Events Descripción general del servicio

3. Demo: Instancia comprometida 1. Cualquier instancia hace ping a la

   instancia maliciosa. 2. La EIP de la instancia maliciosa esta en la lista de IP’s maliciosas en GD. 3. Cuando GD detecta una instancia comprometida, le avisa a la regla en cloudwatch previamente configurada. 4. Esta CWE desencadena 2 acciones: 1. Hace que una función lambda ejecute su código. 2. Hace que un SNS notifique

4. Feedback: Tu calificación, me ayuda a mejorar Código QR Ingresa

   a: menti.com 5723 1630 código

5. Participa: Gana un crédito AWS de $25 P1: ¿Cuáles son

   las fuentes de datos que AWS GuardDuty usa para detectar amenazas y/o comportamiento malicioso? P2: ¿La instancia que es aislada gracias a la solución automatizada de respuesta al incidente demostrada, en un entorno real, afectaría la aplicación que se este ejecutando?