iT邦幫忙

2021 iThome 鐵人賽

DAY 29
0
Security

你用雲端,還敢談資安?AWS資安服務佈署之路系列 第 29

Day 29: Detective 簡介與操作

What is Amazon Detective?
Detetive能夠幫助你調查資安事件發生的根本原因,透過機器學習、統計以及圖表,他可以從以時間單位為基礎的服務,例如:VPC flow log、API call、CloudTrail、GuardDuty等,找出資安問題的模式、受影響的項目以及超出你規定的活動。如果你有啟用GuardDuty,並與Detective串聯,在GuardDuty找到問題後,Detective會更進一步的列出問題的調查結果。

Detective 價格
啟用Detective之後前30天是免費的。之後Detective會依照從各資料來源擷取的流量費計算以東京為例,每一個Account前1000GB/月/region會收USD 2.7,後續 4,000 GB/帳戶/區域/月每 GB 1.35 USD,後續 5,000 GB/帳戶/區域/月每 GB 0.68 USD,超過 10,000 GB/帳戶/區域/月每 GB 0.34 USD。
(來源:https://aws.amazon.com/tw/detective/pricing/)

啟用Detective的前置作業
1.你必須啟用GuardDuty 至少48小時,這樣GuardDuty才能評估傳輸的資料量
2.你傳輸到Detective必須在上限以內,如果超過上限Detective無法偵測
3.我們在前面GuardDuty以及Security Hub的篇章講過服務都會有個管理帳戶,這邊也建議Detective的管理帳戶跟前兩個服務是同一個。如果有跨帳戶管理的需求Detective也可以設定
4.給予Detective相對應的IAM權限

{
    “Version”: “2012–10–17”,
    “Statement”: [
    {
        “Effect”: “Allow”,
        “Action”: [
        “detective:Get*”,
        “detective:CreateGraph”, |
        “detective:CreateMembers”,
        “detective:DeleteGraph”,
        “detective:DeleteMembers”,
        “detective:ListGraphs”,
        “detective:ListMembers”,
        “detective:SearchGraph”,
        “detective:StartMonitoringMember”,
        “detective:ListTagsForResource”,
        “detective:TagResource”,
        “detective:UntagResource”,
        “guardduty:ArchiveFindings”,
        “guardduty:ListDetectors” ], “Resource”: “*”
        }
    ]
}
  1. 如果你想要更即時的知道調查結果,你可以調整GuardDuty的調查頻率(預設是六小時)

Detective 佈建
1.找到Detective,並按下Get started
https://ithelp.ithome.com.tw/upload/images/20211011/20124610sW7iKjulMT.png

2.上面的先決條件在這邊設定
(1)指定管理帳戶
(2)附上相對應的IAM Policy
https://ithelp.ithome.com.tw/upload/images/20211011/20124610Ye1DPoyahS.png

3.加上tag,完成之後按Enable Amazon Detective,就完成了。如果出現下面錯誤,代表你的GuardDuty可能尚未啟用或是啟用了但還沒有超過48小時。
https://ithelp.ithome.com.tw/upload/images/20211011/20124610Xri3ROdvdd.png
https://ithelp.ithome.com.tw/upload/images/20211011/20124610Iqt5hmjcuT.png

4.畫面會跳到Account management,如果要邀請成員進入Detective,按Invite accounts。
https://ithelp.ithome.com.tw/upload/images/20211011/20124610FdMVP1jaTF.png

5.加入成員可透過Email邀請或是透過csv.檔匯入,下面會附上成員必須要加入的IAM Policy,之後按Invite就可以發出邀請,等到成員接受邀請就能加入
https://ithelp.ithome.com.tw/upload/images/20211011/20124610hKK4rqwvTn.png
https://ithelp.ithome.com.tw/upload/images/20211011/20124610AM6D0DZX1g.png

Detective找出的結果
1.在側邊選單選Summary
https://ithelp.ithome.com.tw/upload/images/20211011/20124610f3YiJKnm8T.png

2.Detective 會列出找到的結果,例如在過去24小時哪個role跟user call最多API、哪台EC2在過去24小時近來最多流量以及在過去24小時從哪個地區call 的API是最多的
https://ithelp.ithome.com.tw/upload/images/20211011/20124610hCC8FcKo0C.png
https://ithelp.ithome.com.tw/upload/images/20211011/20124610hJdhFUeOx8.png
圖片來源:https://aws.amazon.com/tw/detective/features/

小結
如果想要更深入的探討任何異常狀況發生的原因,Detective能夠幫你列出更細節的相關資訊。五個面向以及相關服務的介紹就先到這邊,明天我們將介紹資安的隱藏第六面向。


上一篇
Day 28: Incident Response on AWS
下一篇
Day 30: 資安的隱藏第六面項:AWS 合規 & 完賽心得
系列文
你用雲端,還敢談資安?AWS資安服務佈署之路30

尚未有邦友留言

立即登入留言