안녕하세요 여러분!

이것은 세 번째 사람 인 Kawasugi입니다. 첫 번째 에피소드에서 계속해서 Sysdig의 위협 탐지 기능에 중점을 둡니다.

Sysdig의 위협 탐지는 너무 강해서 Falco가 "Falco"라는 이름이라고 말하지만 실제로는 강력한 기능을 제공합니다. 이번에는 Falco뿐만 아니라 Sysdig의 위협 감지 기능을 소개합니다. 지금 봅시다!

슬롯 추천의 위협 탐지 기능은 다양합니다

SCSK는 SysDig의 구현 및 운영에서 고객을 지원하는 반주 지원을 제공하며, 우리는 종종 SysDig를 처음 설치하는 고객과 대화 할 수있는 기회를 갖습니다. 일부 고객은 SysDig를 채택하기로 결정했습니다. SysDig는 강력한 탐지 도구 인 Falco의 상용 버전에 끌리기 때문에 결정했습니다. 그러한 고객에게 다양한 위협 탐지 기능을 설명 할 때, 대부분의 사람들은 "그런 기능도 있습니다!"라는 사실에 놀랐습니다. 나는 그런 응답을 받았다고 설명하게되어 기쁘지만 Falco를 보완하기 위해 개발 된 기능이 인식되지 않는다는 것을 저항하기가 어렵다고 생각합니다. 이번에는 우리는 그러한 무성한 영웅들에게 초점을 맞출 것입니다.

Falco는 규칙 기반으로 감지되는 동작을 정의하므로 정의에는 매우 높은 수준의 자유가 있습니다다양한 위협을 처리 할 수 ​​있습니다. 반면에공격 방법에 따라 행동 +α 접근이 필요한 경우또한 존재합니다. 다음은 슬롯 추천가 개별적으로 개발하여 이러한 공격에 대응하기 위해 개발 한 기능입니다.

AWS 로그인 이상 감지 (스푸핑 감지)

기계 학습 사용정상과 다른 사용자 로그인 감지나는 그것을 할 것입니다

암호화 컨테이너 감지

기계 학습cryptominer의 의심되는 컨테이너 감지나는 그것을 할 것입니다

컨테이너 드리프트 감지

컨테이너는 불변의 특성과 생산 환경을 활용합니다변경되지 않고 실행 된 파일 시스템을 감지하고 보호합니다그렇게하겠습니다.

マルウェア検知

이진 파일의 해시 값과 해시 값이 알려진 맬웨어의 해시 값과 일치맬웨어로 결정된 이진 파일의 실행을 감지하고 보호그렇게 할 것입니다.

이번에는AWS 로그인 이상 감지 (스푸핑 감지)를 확인하는 방법도 소개합니다.

AWS 로그인 이상 탐지 란 무엇입니까?

이 기능은 각 사용자를위한 것입니다AWS 웹 콘솔 로그인 정보 (IP 주소 지역, OS, 브라우저 등)의 기계 학습그렇게하겠습니다.제로 트러스트 보안의 상호 응답 지점| 그것은사칭에 의한 무단 액세스대책과 일치하는 멋진 기능!

준비

이제 확인을 준비하여 시작하겠습니다.

다음은이 테스트를 위해 미리 준비 할 것입니다.

1. 계정과 슬롯 추천를 아래의 AWS에 연결합니다 (URL에는 설정하는 방법이 있습니다)

https : //docs.슬롯 추천.com/en/docs/installation/슬롯 추천ecure/connect-cloud-accounts/aws/

2. 2. 일본 이외의 글로벌 IP 주소로 EC2 인스턴스 (Windows Server)를 만들어

*이번에는 EC2 인스턴스로 테스트하고 있지만 AWS 콘솔에 일반적으로 액세스하지 않는 영역에 글로벌 IP 주소가있는 모든 서버

리뷰

먼저, 확인을위한 정책을 작성합시다.

이번에는 런타임 정책 작성 화면에서 "AWS ML"을 선택하십시오.

정책 작성 화면으로 이동하므로 원하는 이름으로 원하는 이름을 입력하고 변칙적 인 콘솔 로그인에서 토글 버튼을 활성화하고 "저장"을 누릅니다.

복잡한 설정없이 정책을 만드는 것은 매우 쉬웠습니다.

이제 시도해 봅시다.

먼저, 준비한 EC2 인스턴스 (Windows Server)에서 AWS 웹 콘솔에 로그인하십시오. 이 서버는 US-East-1A의 가용 영역에 구축됩니다.

AWS에 로그인 한 후 슬롯 추천 GUI 화면을 확인하면 보안 이벤트에서 방금 만든 정책이 표시됩니다.

자세한 탐지 세부 사항을 살펴 보겠습니다.

위치 이상 확률및브라우저 이상 확률100%로 표시됩니다. 이것은 다음 두 가지 정보가 로그인 할 때와 다르다는 것을 감지합니다.

위치 이상 확률:평소와 다른 지역에서 로그인하십시오.

브라우저 이상 확률:평소와 다른 브라우저에서 로그인합니다. 이 테스트는 일반적으로 Google Chrome을 사용하는 사용자가 Microsoft Edge와 서명했기 때문에 감지되었습니다.

AWS 이벤트 ID도 표시되므로 클라우드 트레일에서 자세한 로그인 정보를 확인할 수도 있습니다.

실제로 클라우드 트레일 로그를 확인하면 가입 한 IP 주소를 결정할 수도 있습니다.

또한, 다음과 같은 비정상적인 로그인 탐지를 감지 할 수 있습니다.

OS 이상 확률:평소와 다른 OS에서 로그인합니다.

장치 이상 확률:평소와 다른 장치에서 로그인합니다.

비정상은 스푸핑되는 것으로 의심되는 요소로 좁히면 비정상을 감지 할 수 있으므로 후속 조사는 신속하게 조사 될 수있는 것 같습니다.

마지막

어떻게 생각 했습니까? 최근에 뜨거운 단어제로 신뢰 보안그러나사칭에 의한 무단 액세스는 심각한 위협입니다. AWS는 전 세계에서 액세스 할 수 있으므로 사용자 정보가 유출되면 언제 어디서 대상이 될지 알 수 없습니다. 기밀 정보의 누출로 이어질 수있는 패턴도 있으므로 반드시 읽어야합니다.

이 블로그에서는 보안 및 모니터링, 주로 SysDig, 컨테이너 및 Kubernetes를 계속 다룰 것입니다.

다른 기회를 위해 뵙겠습니다!

*이 시간에 소개 된 기능에 대한 자세한 정보는 아래 URL에서 찾을 수 있습니다.

https : //docs.슬롯 추천.com/en/docs/슬롯 추천-secure/policies/threat-detect-policies/manage-policies/aws-ml/

담당자 소개