Esta publicación de blog proporcionará una descripción general de las fuentes de registro comunes en Azure y AWS junto con las opciones de almacenamiento y análisis asociadas.
En un nivel alto, los incidentes basados en la nube se pueden clasificar en compromisos basados en host (es decir, compromisos que involucran principalmente máquinas virtuales alojadas en la nube) y compromisos basados en identidad o recursos (compromisos que involucran principalmente identidades y servicios nativos de la nube). Estos escenarios a menudo se superponen según el alcance de un incidente, pero los enfoques de investigación son distintos. Por ejemplo, el compromiso de una máquina virtual pública con fines de minería de criptomonedas justifica la adquisición y el análisis del disco, pero es posible que el alcance del compromiso no se extienda a otros recursos o identidades en el arrendatario. Por otro lado la investigación de un compromiso de identidad depende en gran medida de los registros de inquilinos y es posible que no involucre ningún artefacto de máquina virtual si el actor de la amenaza no atacó ningún host.
Los pasos a continuación representan un enfoque de alto nivel para investigar incidentes basados en la nube que se originan a partir de una identidad comprometida. Este proceso se puede revertir si la investigación se origina en un sistema comprometido.
- Revise las fuentes de registro que contienen eventos que afectan la identidad y el acceso.
- En Azure, estos eventos incluirían los registros de auditoría y los registros de inicio de sesión de Azure Active Directory (AD).
- En AWS, estos eventos se incluirían en CloudTrail.
- Revise los registros de recursos, como los registros de la creación de máquinas virtuales o el acceso a la cuenta de almacenamiento. Estos registros indican si se ha creado o destruido un recurso, o si se han escrito o leído datos de un depósito de almacenamiento. Podría haber muchos otros registros de recursos para revisar si se configuraron con anticipación.
- Revise los registros de red para investigar las comunicaciones de red dentro de las redes virtuales. Estos pueden provenir de la solución del proveedor de la nube o de firewalls de terceros, según el entorno.
- Si es necesario realice un análisis forense tradicional basado en host.
Descripción general de los registros
Azure
En Azure, los registros se organizan en cinco categorías:
- Registros de inquilinos : contienen información sobre las operaciones realizadas por los servicios de todo el inquilino, en particular, el registro de Azure AD, que contiene registros de auditoría, registros de inicio de sesión y registros de aprovisionamiento.
- Registros de suscripción : disponibles en el servicio ‘Registro de actividad’, contienen información sobre los recursos que se crean, modifican o eliminan.
- Registros de recursos : estos pueden ser generados por cualquier recurso, como grupos de seguridad de red (NSG) y cuentas de almacenamiento. Los registros de recursos están deshabilitados de forma predeterminada.
- Registros del sistema operativo : generados y recopilados desde máquinas virtuales o contenedores, estos registros deben configurarse manualmente.
- Registros de la aplicación : estos incluyen registros personalizados habilitados por el desarrollador. Como tal estos deben configurarse manualmente.
Azure proporciona cuatro formas de recopilar o examinar registros de inquilinos, suscripciones y recursos:
- Visto directamente en Azure Portal
- Almacenado y visualizado en un área de trabajo de Log Analytics, que requiere configuración manual
- Almacenado en una cuenta de almacenamiento y visto mediante una herramienta como Storage Explorer
- Transmitido a un SIEM a través de un centro de eventos
Servicios WEB de Amazon (AWS)
CloudTrail
CloudTrail es el registro de auditoría de AWS: registra las llamadas a la API realizadas en la cuenta y, dado que casi todas las acciones en AWS implican una llamada de la interfaz de programación de aplicaciones (API) (incluidas las acciones de la consola web), estos registros son extremadamente valiosos. Estos también están habilitados de forma predeterminada.
Cada cuenta incluye un registro predeterminado conocido como “rastro”, que es gratuito y se conserva durante 90 días. Se pueden configurar y enviar rutas adicionales a un depósito S3 u otra plataforma. Los senderos en sí son una característica gratuita, pero se factura a la cuenta por el almacenamiento.
Tenga en cuenta que los eventos de CloudTrail se registran en hora universal coordinada (UTC) y, por lo general, se confirman en CloudTrail dentro de los 15 minutos posteriores a la llamada a la API. [1]
Registros de Flujo
AWS admite la captura de red en forma de capturas de paquetes (PCAP) y registros de flujo. Los registros de flujo se pueden habilitar en el nivel de host (a través de la interfaz de red), el nivel de subred o el nivel de nube privada virtual (VPC). Estos registros se recopilan fuera de banda (OOB), lo que significa que no suponen una carga adicional para la red.
Los registros de flujo se pueden configurar para enviarse a un depósito S3 en intervalos de 1 a 10 minutos. Tenga en cuenta que incluso si su cuenta no tiene habilitados los registros de flujo al comienzo de un incidente, ¡debería considerar habilitarlos para capturar el tráfico potencialmente malicioso en curso!
Además de almacenar en S3 los registros de flujo también se pueden enviar a CloudWatch (por un costo adicional).
Recuerde que si se utiliza un equilibrador de carga, los registros de flujo no registrarán la IP de origen pública de un atacante; estos registros deberán recopilarse del balanceador de carga además de los registros de flujo, para correlacionar la IP de origen real.
Registro DNS
Route 53 es la solución de DNS de AWS, que tiene dos conjuntos de registros de interés:
- Los registros de consulta de la zona DNS registran las consultas realizadas en sus nombres de dominio alojados en AWS.
- Los registros de consultas del solucionador registran todas las consultas de DNS realizadas dentro de una VPC.
Si Route 53 está en uso en su cuenta, los registros de consulta de resolución son de particular interés para identificar el tráfico saliente malicioso, como las consultas iniciales de comando y control (C2).
S3
Recuerde que CloudTrail registrará las llamadas a la API incluidas las relacionadas con la interacción de S3. Sin embargo, CloudTrail no registra las interacciones basadas en el navegador dentro de un depósito S3; más bien dicha actividad se registra en el registro de acceso al servidor de S3. Lamentablemente esta función está desactivada de forma predeterminada. ¡Asegúrese de habilitar este registro manualmente para registrar el acceso del navegador web a sus cubos S3!
Soluciones de Análisis Nativas
Finalmente, AWS ofrece varias soluciones de análisis de registros, además de exportar a su propio SIEM:
- Atenea + Pegamento
- Si tiene una gran cantidad de registros en depósitos de S3, puede buscarlos todos en el lugar con Athena + Glue.
- Glue rastrea el balde y agrega los registros en una tabla para buscar en Athena.
- Athena le permite realizar consultas de tipo SQL en todos los registros rastreados por Glue; no es necesario un procesamiento adicional.
- Guardia
- Este es el analizador CloudTrail de pago por uso de AWS. Es útil como una clasificación de registros de primer paso. Amazon lo describe mejor:
“Amazon GuardDuty identifica actividad inusual dentro de sus cuentas, analiza la relevancia de seguridad de la actividad y proporciona el contexto en el que se invocó. Esto permite que un respondedor determine si debe dedicar tiempo a una investigación adicional. A los hallazgos de GuardDuty se les asigna una gravedad y las acciones se pueden automatizar mediante la integración con AWS Security Hub, Amazon EventBridge, AWS Lambda y AWS Step Functions. Amazon Detective también está estrechamente integrado con GuardDuty por lo que puede realizar una investigación forense y de causa raíz más profunda”.
- Detective AWS
- Mientras que GuardDuty está etiquetado como el servicio de “detección inteligente de amenazas” de Amazon, Detective es el servicio de “investigación de seguridad” de Amazon. Detective le permite correlacionar eventos de múltiples fuentes de datos para obtener una vista unificada de las alertas de seguridad. Detective requiere que GuardDuty esté habilitado durante 48 horas antes de habilitar Detective.
Conclusión
En esta publicación exploramos una breve descripción general de las fuentes de registro comunes y las opciones de análisis en Azure y AWS. Nuestra esperanza es que pueda utilizar la información de este manual para revisar sus propias cuentas en la nube familiarizarse con el registro disponible y quizás mejorar su configuración.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.