AWS GuardDuty 智慧威脅偵測

前言

AWS GuardDuty 是一種智慧威脅偵測服務，可持續監控是否有惡意行為，協助保護您的帳戶和工作負載。這個服務會監控是否有不尋常的 api 呼叫或是未經授權的部署活動，指出可能的帳戶危害。

AWS GuardDuty 在 AWS 環境下，持續整合威脅情報和辨識可疑的攻擊者，從 VPC Flow Logs， DNS Logs 和 CloudTrail Logs 所蒐集資料按風險等級劃分並產生通知彙整成風險清單。如果偵測到潛在的威脅，服務會將詳細的安全提醒傳送到 GuardDuty 和 CloudWatch events 再經過 SNS 傳送給使用者。

使用此服務可以讓使用者在 AWS 雲端取得更聰明、更符合成本效益的威脅偵測服務。

情境架構

在這篇範例中，你會把自己的 ip 位址加入 GuardDuty 的危險清單中，並嘗試一些會被偵測的可疑行為，讓架好的 AWS GuardDuty 進行偵測和紀錄。

步驟

一、建立 S3 Bucket 把清單存入 S3
首先建立一個 S3 Bucket，把危險清單存入，以便後續步驟可以讓 GuardDuty 可以順利找到危險清單。
● 在本機建立一個 txt 檔作為威脅清單，存放自己的 public ip。

將欲被偵測的 ip 貼到 txt 檔內。 (若有兩個以上，則需換行，範例如下。)

● 進入 AWS 主控台，進入 S3，選擇 Create bucket，輸入 bucket name，然後 Create。
● 進入剛建立好的 bucket，選擇 Upload 。

● 選擇建立好的 txt 檔，點選左下角 Upload。
● 點入剛上傳的 txt 檔，並 Copy path，在下一個步驟，我們將利用此路徑讓 GuardDuty 可以找到危險清單。

二、啟動 AWS GuardDuty (智慧偵測威脅)

我們將新增一個新的威脅清單並和剛剛上傳的 txt 檔做連結，讓 GuardDuty 開始偵測你的帳號是否有危險，GuardDuty 會搜集所有的疑慮製作成問題清單，並標示危險等級（詳細資訊參考補充）。

● 回到 AWS 服務選單，選擇 GuardDuty。
● Get started，然後點選 Enable GuardDuty。

● 在左邊選單，選擇 Lists。
● 選擇 Add a threat list，把存在 S3 bucket 上的威脅清單和 GuardDuty 做連結。

● 在你的 threat-list 中

List name : 輸入 threatlist_yourname
Location : 貼上你剛剛複製的檔案路徑
Format : 選擇 Plaintext
勾選 I agree，點選 Add list，威脅清單建置完成。

● 勾選 Active 並且等待大約五分鐘。

● 若你使用 macOS，使用 ssh 連線 登入你的 ec2 主機。
若你使用 Windows，使用 putty 連線登入你的 ec2 主機。
● 等待一段時間，選擇 Findings，你會看到許多的通知如圖。

點開通知後會看到更詳細的資訊，例如是哪種危險，來自哪個清單等等。

三、開啟訂閱通知服務

我們將透過 AWS SNS 的服務，將 GuardDuty 所蒐集到的資訊，透過訂閱通知將資訊主動寄送到你的信箱。
● 在 AWS 服務選單，選擇 SNS。
● Create Topic，輸入你的 Topic Name 和 Display Name 皆為SNS-FromGuardDuty，點選 Create topic。
● 選擇你建立的 Topic 接著開啟 Actions 的選單並選擇 Subscribe to topic。

Protocol ：選擇Email
在 Endpoint 中輸入你的信箱，點選 Create Subscription

● 你會在你的信箱中收到驗證信，點選 Confirm Subscription。

四、建立一個 IAM Role

IAM Role 會連結 Lambda 跟 GuardDuty，讓 GuardDuty 辨別來自外部的危險是否在清單內。
● 在服務選單中，點選 IAM，左側選單選擇 Roles，點選 Create role。
● 選擇 AWS Service，在下面選單中選擇 Lambda,在右下角選擇 Next:Permission。
● 搜尋AWSLambdaBasicExecutionRole並選擇該許可政策。
● 點選 NEXT：Tags，點選 Next：Review，角色名稱：GuardDuty-Finding-ToSNS-yourname，選擇建立。
● 選擇剛剛創立好的 Role，點選 Add Inline policy

> Note : 為你剛剛建立的 Topic ARN。

● 點選 Review policy，然後 Create

Name: GuardDuty-Finding-ToSNS-Policy

五、Lambda Function 觸發 SNS 傳送通知

此步驟，我們會建立一個 Lambda Function，當 GuardDuty 找到疑慮時，用以觸發 AWS SNS 傳送信息到信箱當中。
● 在服務選單，選擇 Lambda。
● 左側選單中選擇 Functions，點選主頁右邊的 Create Function。
● 選擇 Author from scratch

Name : GuardDuty-To-SNS-yourname
Run time : 選擇 python 3.6
Role : 選擇 Choose an existing role
Existing role : 選擇 GuardDuty-finding-SNS-yourname (你剛剛建立的 Role )

● 輸入code

code 來源： Serverless-GuardDuty-Findings-to-SNS
>參考自：https://github.com/miztiik/Serverless-GuardDuty-Findings-to-SNS

● 在 Environment variables

Key值 : SNSTopicArn
Value :arn:aws:iam:: XXX19643XXXX:role/GuardDuty-finding-SNS（你的Topic ARN）

● 頁面右上角，選擇 Save。

六、GuardDuty 跟 Lambda 做連結

把剛剛建立好的 Lambda Function，利用 CloudWatch 將 GuardDuty 跟 Lambda 做連結，如此一來便可在信箱中收到你訂閱危險清單的通知。
● 在服務選單選擇 CloudWatch。
● 左邊選單選擇 Rule，點選 Create rule。
● 選擇 Event Pattern

Service Name : 選擇 GuardDuty
Event Type : 選擇 GuardDuty Finding
右邊選擇 Add Target
Function : 選擇 GuardDuty-To-SNS-yourname

● 點選右下角 Configure details。
● Configure rule details：

Name : GuardDuty-to-SNS-Rule
State : 勾選 Enabled
點選 Create rule

● 登入 email，會開始收到 ip 各種危險活動的通知。

點開信件後，可以看到更詳細的中如下圖。

補充資料

Finding Type ： Threat purpose 常見的簡單舉例如下

● UnauthorizedAccess (未授權的存取) – GuardDuty 偵測到非授權人員的可疑活動或可疑活動模式。
● Recon (偵察) – 偵察攻擊正在進行，透過探測連接埠、監聽使用者、資料庫表格等方式來確定您 AWS 環境的漏洞。

問題清單中的嚴重等級：嚴重性的值可能落於 0.1 到 8.9 內的任何位置。

● 低：值落於 0.1 到 3.9 的範圍，侵入您的資源之前便已被封鎖的可疑或惡意活動。
● 中：值落於 4.0 到 6.9 的範圍，可疑活動 (如大量流量傳回到隱藏在 Tor 網路後面的遠端主機，或者與正常觀察到的行為不同的活動 )。
● 高：值落於 7.0 到 8.9 的範圍，相關資源(如 EC2 執行個體或一組 IAM 使用者登入資料)遭到破解，且正用於未經授權的用途。