Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Como detectar y responder amenazas con AWS GuardDuty

Como detectar y responder amenazas con AWS GuardDuty

Gerardo Castro Arica

September 16, 2021
Tweet

More Decks by Gerardo Castro Arica

Other Decks in Technology

Transcript

  1. @awssecuritylatam
    @gerardokaztro
    Acerca de mí

    View full-size slide

  2. VPC Flow Logs
    DNS Logs
    CloudTrail Events
    Hallazgos
    Threat
    intelligence
    Anomaly
    detection
    (ML)
    Amazon Detective
    • Alertas
    • Remediaciones
    • Envío logs al SIEM
    • Soluciones 3ras
    CloudWatch Event
    Tipo de hallazgos
    • Minería Bitcoin
    • Control y Comando
    • Conexiones Anónimas
    • Reconocimiento
    Comportamiento inusual
    Ejemplos:
    • Lanzamiento de instancias
    • Cambios en los permisos de red
    • Anomalías en el comportamiento
    de la red
    • Anomalía a los patrones de acceso
    hacia los datos en S3
    Amazon GuardDuty
    Fuente de origen Tipo de Detección
    ALTA
    MEDIA
    BAJA
    AWS SecurityHub
    S3 DataPlane Events
    Descripción general del servicio

    View full-size slide

  3. Demo: Instancia comprometida
    1. Cualquier instancia hace ping a la
    instancia maliciosa.
    2. La EIP de la instancia maliciosa esta
    en la lista de IP’s maliciosas en GD.
    3. Cuando GD detecta una instancia
    comprometida, le avisa a la regla en
    cloudwatch previamente configurada.
    4. Esta CWE desencadena 2 acciones:
    1. Hace que una función lambda
    ejecute su código.
    2. Hace que un SNS notifique

    View full-size slide

  4. Feedback: Tu calificación, me ayuda a mejorar
    Código QR
    Ingresa a: menti.com
    5723 1630
    código

    View full-size slide

  5. Participa: Gana un crédito AWS de $25
    P1: ¿Cuáles son las fuentes de datos que AWS GuardDuty usa para detectar
    amenazas y/o comportamiento malicioso?
    P2: ¿La instancia que es aislada gracias a la solución automatizada de respuesta
    al incidente demostrada, en un entorno real, afectaría la aplicación que se este
    ejecutando?

    View full-size slide