Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Como detectar y responder amenazas con AWS GuardDuty

Como detectar y responder amenazas con AWS GuardDuty

0b9cd42461a6b76c83c73d6454fd81a1?s=128

Gerardo Castro Arica

September 16, 2021
Tweet

More Decks by Gerardo Castro Arica

Other Decks in Technology

Transcript

  1. @awssecuritylatam @gerardokaztro Acerca de mí

  2. VPC Flow Logs DNS Logs CloudTrail Events Hallazgos Threat intelligence

    Anomaly detection (ML) Amazon Detective • Alertas • Remediaciones • Envío logs al SIEM • Soluciones 3ras CloudWatch Event Tipo de hallazgos • Minería Bitcoin • Control y Comando • Conexiones Anónimas • Reconocimiento Comportamiento inusual Ejemplos: • Lanzamiento de instancias • Cambios en los permisos de red • Anomalías en el comportamiento de la red • Anomalía a los patrones de acceso hacia los datos en S3 Amazon GuardDuty Fuente de origen Tipo de Detección ALTA MEDIA BAJA AWS SecurityHub S3 DataPlane Events Descripción general del servicio
  3. Demo: Instancia comprometida 1. Cualquier instancia hace ping a la

    instancia maliciosa. 2. La EIP de la instancia maliciosa esta en la lista de IP’s maliciosas en GD. 3. Cuando GD detecta una instancia comprometida, le avisa a la regla en cloudwatch previamente configurada. 4. Esta CWE desencadena 2 acciones: 1. Hace que una función lambda ejecute su código. 2. Hace que un SNS notifique
  4. Feedback: Tu calificación, me ayuda a mejorar Código QR Ingresa

    a: menti.com 5723 1630 código
  5. Participa: Gana un crédito AWS de $25 P1: ¿Cuáles son

    las fuentes de datos que AWS GuardDuty usa para detectar amenazas y/o comportamiento malicioso? P2: ¿La instancia que es aislada gracias a la solución automatizada de respuesta al incidente demostrada, en un entorno real, afectaría la aplicación que se este ejecutando?