iT邦幫忙

2021 iThome 鐵人賽

DAY 12
0
Security

你用雲端,還敢談資安?AWS資安服務佈署之路系列 第 12

Day12: GuardDuty單一帳號/Org.佈建、測試結果產生

如何佈署GuardDuty?
1.找到Amazon GuardDuty
2.點Enable GuardDuty,就完成了(會不會太簡單?XDD 先別離開請繼續往下看~
https://ithelp.ithome.com.tw/upload/images/20210924/20124610g6kTVLb3IW.png

上述的步驟是單一帳號的狀況,如果是一個組織內有多個帳號,該怎麼處理呢?

1.你必須要先將帳號加到公司統一管理的AWS Organization裡面,並加入下面兩段Policy,這樣你才可以指定admin

{
    “Sid”: “Permissions to Enable GuardDuty delegated administrator”,
    “Effect”: “Allow”,
    “Action”: [
    “guardduty:EnableOrganizationAdminAccount”,
    “organizations:EnableAWSServiceAccess”,
    “organizations:RegisterDelegatedAdministrator”,
    “organizations:ListDelegatedAdministrators”,
    “organizations:ListAWSServiceAccessForOrganization”,
    “organizations:DescribeOrganizationalUnit”,
    “organizations:DescribeAccount”,
    “organizations:DescribeOrganization”
    ],
    “Resource”: “*”
}

輸入下列Policy,指定管理帳號,將下面"123456789012"的地方輸入帳號的AWS ID

{
    ‘Sid”: “Permissions to Enable GuardDuty”
    “Effect”: “Allow”,
    “Action”: [
    “iam:CreateServiceLinkedRole”
    ],
    “Resource”: “arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/ AWSServiceRoleForAmazonGuardDuty”, “Condition”: {
    “StringLike”: { “iam:AWSServiceName”: “guardduty.amazonaws.com”
        }
    }
}

2.跟單一帳號步驟一樣啟用GuardDuty,就完成了
接下來GuardDuty就會開始掃描帳戶的相關資訊然後找出異常行為,你可以根據找到的結果進一步進行調查

產生範例搜尋結果

GuardDuty 支援樣本調查結果的服務,可用於測試 GuardDuty 功能並在需要回應真正GuardDuty 調查結果之前熟悉如何處理這些問題。

如何做呢?

1.在GuardDuty側邊選項選setting
https://ithelp.ithome.com.tw/upload/images/20210924/201246103mmEcX2tFm.png

  1. setting裡面的sample finding 裡面按下Generate sample finding
    https://ithelp.ithome.com.tw/upload/images/20210924/20124610ZivEW7El74.png

3.選擇側邊選項選項選Finding,看到列表裡面名稱前面有[Sample]的就是剛剛所產生的範例,並依照嚴重程度分為紅色三角型的High、黃色框框的medium跟藍色圓圈的low
https://ithelp.ithome.com.tw/upload/images/20210924/201246102ymAZBwR5a.png

4.點進每個事件,他都會告訴你GuardDuty找到哪裡有問題,並提供調查結果,你可以立即進行修復
https://ithelp.ithome.com.tw/upload/images/20210924/20124610HBPtIqVWDP.png

下篇我們將繼續介紹GuardDuty的相關資安應用


上一篇
Day 11: Amazon GuardDuty簡介
下一篇
Day13: GuardDuty結果匯出至S3、發送告警Email設定
系列文
你用雲端,還敢談資安?AWS資安服務佈署之路30

尚未有邦友留言

立即登入留言