Como detectar y responder amenazas con AWS GuardDuty

Transcript

1. @awssecuritylatam
   @gerardokaztro
   Acerca de mí
   

   View Slide

2. VPC Flow Logs
   DNS Logs
   CloudTrail Events
   Hallazgos
   Threat
   intelligence
   Anomaly
   detection
   (ML)
   Amazon Detective
   • Alertas
   • Remediaciones
   • Envío logs al SIEM
   • Soluciones 3ras
   CloudWatch Event
   Tipo de hallazgos
   • Minería Bitcoin
   • Control y Comando
   • Conexiones Anónimas
   • Reconocimiento
   Comportamiento inusual
   Ejemplos:
   • Lanzamiento de instancias
   • Cambios en los permisos de red
   • Anomalías en el comportamiento
   de la red
   • Anomalía a los patrones de acceso
   hacia los datos en S3
   Amazon GuardDuty
   Fuente de origen Tipo de Detección
   ALTA
   MEDIA
   BAJA
   AWS SecurityHub
   S3 DataPlane Events
   Descripción general del servicio
   

   View Slide

3. Demo: Instancia comprometida
   1. Cualquier instancia hace ping a la
   instancia maliciosa.
   2. La EIP de la instancia maliciosa esta
   en la lista de IP’s maliciosas en GD.
   3. Cuando GD detecta una instancia
   comprometida, le avisa a la regla en
   cloudwatch previamente configurada.
   4. Esta CWE desencadena 2 acciones:
   1. Hace que una función lambda
   ejecute su código.
   2. Hace que un SNS notifique
   

   View Slide

4. Feedback: Tu calificación, me ayuda a mejorar
   Código QR
   Ingresa a: menti.com
   5723 1630
   código
   

   View Slide

5. Participa: Gana un crédito AWS de $25
   P1: ¿Cuáles son las fuentes de datos que AWS GuardDuty usa para detectar
   amenazas y/o comportamiento malicioso?
   P2: ¿La instancia que es aislada gracias a la solución automatizada de respuesta
   al incidente demostrada, en un entorno real, afectaría la aplicación que se este
   ejecutando?
   

   View Slide