AWS GuardDuty, Amazon Web Services tarafından sunulan, tam olarak yönetilen bir tehdit algılama hizmetidir. Kötü amaçlı etkinlikleri ve yetkisiz davranışları sürekli izleyerek AWS ortamınızı korumak için tasarlanmıştır. GuardDuty, birden fazla AWS veri kaynağındaki milyarlarca olayı analiz ederek olağandışı API çağrıları, potansiyel olarak tehlikeye atılmış örnekler ve yetkisiz erişim gibi güvenlik tehditlerini tanımlar ve size güvenlik sorunlarını proaktif bir şekilde düzeltmeniz için eyleme dönüştürülebilir zeka sağlar.
Amazon Web Services’in GuardDuty hizmetini derinlemesine inceleyeceğiz ve mavi ekiplerin AWS ortamlarındaki güvenlik tehditlerini etkili bir şekilde tespit etmelerini, bunlara yanıt vermelerini ve azaltmalarını sağlamaya odaklanacağız.
AWS GuardDuty’ye Genel Bakış
AWS GuardDuty, AWS hesaplarınızı ve iş yüklerinizi kötü amaçlı etkinliklere ve yetkisiz davranışlara karşı sürekli olarak izleyen, yönetilen bir tehdit algılama hizmetidir. Güvenliği ihlal edilmiş örnekler, yetkisiz erişim ve veri sızdırma girişimleri gibi güvenlik tehditlerini tanımlamak için makine öğreniminden ve tehdit istihbaratından yararlanır. GuardDuty, AWS CloudTrail günlükleri, VPC Akış Günlükleri ve DNS günlükleri dahil olmak üzere çeşitli veri kaynaklarını analiz ederek AWS güvenlik duruşunuzu geliştirmek için gerçek zamanlı tehdit algılama ve eyleme geçirilebilir bilgiler sağlar.
Temel Özellikler ve Faydalar
Gerçek Zamanlı Tehdit Tespiti : GuardDuty, güvenlik tehditlerini gerçek zamanlı olarak tespit ederek olası olaylara anında müdahale edilmesini sağlar.
Akıllı Tehdit İstihbaratı : Kötü niyetli faaliyetleri gösteren kalıpları belirlemek için makine öğrenimi algoritmalarını ve tehdit istihbaratı akışlarını kullanır.
Kolay Entegrasyon : GuardDuty, AWS hizmetleriyle sorunsuz bir şekilde entegre olarak otomatik yanıtlara ve basitleştirilmiş güvenlik iş akışlarına olanak tanır.
Ölçeklenebilirlik : GuardDuty, AWS ortamınıza göre otomatik olarak ölçeklenerek altyapınızın ölçeğinden bağımsız olarak etkili tehdit algılama sağlar.
Uygun Maliyetli : GuardDuty, karmaşık güvenlik altyapısının dağıtılması ve yönetilmesi ihtiyacını ortadan kaldırarak güçlü tehdit tespiti için uygun maliyetli bir çözüm sunar.
GuardDuty için Kullanım Örnekleri
Olay Müdahalesi : GuardDuty, güvenlik ekiplerinin güvenlik olaylarını anında tespit edip müdahale etmelerine yardımcı olarak potansiyel hasarı en aza indirir.
Uyumluluk İzleme : Yetkisiz faaliyetleri sürekli izleyerek ve veri koruma standartlarının korunmasını sağlayarak uyumluluk gereksinimlerinin karşılanmasına yardımcı olur.
İçeriden Gelen Tehditlerin Tespiti : GuardDuty olağandışı kullanıcı davranışlarını tespit ederek kuruluşların içeriden gelen tehditleri tespit etmesine ve veri ihlallerini önlemesine olanak tanır.
Kimlik Avı ve Kötü Amaçlı Yazılım Tespiti : GuardDuty, ağ trafiğini ve API çağrılarını analiz ederek kimlik avı girişimlerini tespit eder ve kötü amaçlı yazılım bulaşmış örnekleri gerçek zamanlı olarak tanımlar.
Gerçek Dünyadan Örnekler
Olay Müdahalesi
Bir kuruluşun AWS ortamının karmaşık bir siber saldırı tarafından hedef alındığı bir senaryo düşünün. Saldırganlar bir EC2 bulut sunucusunu ele geçirmeyi başarır ve hassas müşteri verilerini sızdırmaya çalışır. AWS GuardDuty, gerçek zamanlı tehdit algılama yetenekleriyle bu yetkisiz etkinliği anında tespit eder. Güvenlik ekipleri, hızlı bir şekilde müdahale etmelerine olanak tanıyan bir uyarı alır. Kuruluş, ele geçirilen örneği izole ederek, saldırı vektörünü analiz ederek ve gerekli güvenlik yamalarını uygulayarak veri ihlalini önler ve müşterileri üzerindeki etkiyi en aza indirir.
Uyumluluk İzleme
Veri koruma standartlarının hayati önem taşıdığı düzenleyici bir ortamda, bir finans kuruluşunun katı uyumluluk gerekliliklerine uyması gerekir. GuardDuty, AWS hesaplarını sürekli olarak izler ve uyumluluk ihlallerine yol açabilecek tüm yetkisiz erişim girişimlerini veya yanlış yapılandırmaları belirler. Kuruluş, GuardDuty bulgularına dayanarak bu sorunları proaktif bir şekilde ele alarak, sektör düzenlemelerine uyumlu kalmasını sağlayarak olası yasal sonuçlardan ve itibar zararından kaçınır.
İçeriden Tehdit Tespiti
AWS kaynaklarına meşru erişimi olan ve ayrıcalıklarını kişisel kazanç için kötüye kullanmaya karar veren bir kullanıcıyı düşünün. GuardDuty, kullanıcı davranışını izler ve kullanıcının hassas müşteri verilerine herhangi bir geçerli iş nedeni olmadan erişmesi gibi olağandışı kalıpları tespit eder. Güvenlik ekibi bir uyarı alır, olayı araştırır ve kullanıcının erişimini iptal etmek ve dahili bir soruşturma yürütmek de dahil olmak üzere uygun önlemleri alır. GuardDuty, içeriden gelen tehditlerin belirlenmesinde ve kuruluşun hassas bilgilerinin korunmasında önemli bir rol oynar.
Kimlik Avı ve Kötü Amaçlı Yazılım Tespiti
Bir kuruluşun AWS altyapısının bir kimlik avı kampanyası tarafından hedef alındığı bir senaryo düşünün. Saldırganlar, güvenilir bir hizmetin kimliğine bürünerek kullanıcıları kimlik bilgilerini açıklamaları için kandırmaya çalışır. GuardDuty, kimlik avı girişimiyle ilişkili olağandışı etkinliği tespit ederek DNS günlüklerini ve ağ trafiği modellerini analiz eder. Güvenlik ekipleri, ilgili kötü amaçlı etki alanını ve IP adreslerini derhal belirleyerek bu kaynakları engellemek için önlemler alabilir ve kullanıcıların kimlik avı saldırısının kurbanı olmasını önleyebilir. GuardDuty’nin bu tür tehditleri gerçek zamanlı olarak tespit etme yeteneği, kuruluşu kimlik bilgileri hırsızlığından ve olası veri ihlallerinden korur.
GuardDuty’de Tehdit İstihbaratını Anlamak
Tehdit İstihbaratının Kaynakları
GuardDuty, aşağıdakiler de dahil olmak üzere kapsamlı tehdit istihbaratı sağlamak için birden fazla kaynaktan gelen verileri entegre eder:
AWS CloudTrail Günlükleri : GuardDuty, CloudTrail günlüklerini analiz ederek API çağrılarının ve kullanıcı etkinliklerinin kalıplarını belirler. Bu veriler, AWS ortamınızdaki yetkisiz erişimi ve değişiklikleri tespit etmek için çok önemlidir.
Amazon VPC Akış Günlükleri : GuardDuty, VPC Akış Günlüklerini inceleyerek ağ trafiğini izleyerek olağandışı iletişim kalıplarının ve potansiyel güvenlik tehditlerinin tespit edilmesine olanak tanır.
DNS Günlükleri : GuardDuty, DNS sorgu günlüklerini analiz ederek kötü amaçlı alan adlarına yapılan bağlantıları tanımlamasına ve kimlik avı girişimlerini tespit etmesine olanak tanır.
Dış Tehdit Akışları : AWS GuardDuty, çeşitli harici tehdit akışlarından gelen verileri birleştirerek analizi küresel tehdit istihbaratıyla zenginleştirir. Bu entegrasyon, GuardDuty’nin bilinen tehditlere ilişkin en son bilgilerle güncellenmesini sağlar.
Tespit Edilen Tehdit Türleri
GuardDuty, aşağıdakiler dahil ancak bunlarla sınırlı olmamak üzere çok çeşitli tehditleri tespit etme kapasitesine sahiptir.
Yetkisiz Erişim : GuardDuty, olağandışı oturum açma etkinlikleri veya şüpheli API çağrıları gibi AWS kaynaklarınıza yetkisiz erişim girişimlerini algılar.
Kripto Para Madenciliği : GuardDuty, tehlikeye atılan ve kripto para madenciliği faaliyetleri için kullanılan, maliyetlerin artmasına ve performansın düşmesine yol açan örnekleri tespit edebilir.
Veri Sızıntısı : GuardDuty, veri aktarım modellerini izler ve olası veri sızdırma girişimlerini tespit ederek hassas bilgilerin sızdırılmasını önlemeye yardımcı olur.
Kötü Amaçlı Yazılım ve Truva Atı Etkinliği : GuardDuty, bilinen kötü amaçlı yazılım veya komut ve kontrol sunucularıyla iletişim kuran örnekleri tespit ederek olası bulaşmaları belirtir.
Kaba Kuvvet Saldırıları : GuardDuty, tekrarlanan oturum açma girişimlerini tespit ederek, yetkisiz erişim elde etmeyi amaçlayan kaba kuvvet saldırılarının tespit edilmesine yardımcı olur.
Önem Düzeyleri ve Uyarılar
GuardDuty, bulguları farklı önem seviyelerine göre sınıflandırarak öncelikli bir müdahale yaklaşımına olanak tanır.
Düşük Önem Derecesi : Düşük önem derecesine sahip bulgular, acil olmayabilecek ancak herhangi bir güvenlik tehdidini ortadan kaldırmak için araştırılması gereken potansiyel olarak şüpheli faaliyetlere işaret eder.
Orta Önem : Orta şiddette bulgular, devam eden güvenlik olaylarını gösterebileceğinden acil soruşturma gerektiren daha şüpheli faaliyetlere işaret etmektedir.
Yüksek Önem Derecesi : Yüksek önem derecesine sahip bulgular, önemli hasarları veya veri ihlallerini önlemek için derhal müdahale edilmesi ve düzeltilmesi gereken kritik güvenlik tehditlerini belirtir.
Uyarılar ve Bildirimler : GuardDuty her bulgu için uyarılar oluşturarak tehdit hakkında ayrıntılı bilgi sağlar. Bu uyarılar Amazon CloudWatch Events ile entegre edilebilir ve SNS (Basit Bildirim Hizmeti) veya diğer iletişim kanalları aracılığıyla ilgili paydaşlara otomatik yanıtlar ve bildirimler verilmesine olanak tanır.
GuardDuty’yi Ayarlama
AWS hesabınızda GuardDuty’yi etkinleştirmek basit bir işlemdir
1. AWS Management Console’da oturum açın : AWS kimlik bilgilerinizi kullanarak AWS Management Console’da oturum açın.
2. GuardDuty’ye gidin : AWS Management Console’da GuardDuty hizmetine gidin.
3. GuardDuty’yi Etkinleştirin : AWS hesabınız için GuardDuty’yi etkinleştirmek üzere “GuardDuty’yi Etkinleştir” düğmesine tıklayın.
4. AWS Bölgelerini Seçin : GuardDuty’nin kaynaklarınızı izlemesini istediğiniz AWS bölgelerini seçin. GuardDuty’yi gereksinimlerinize göre belirli bölgelerde etkinleştirebilirsiniz.
5. Onayla ve Etkinleştir : Yapılandırma ayarlarınızı gözden geçirin ve ardından GuardDuty’yi onaylayıp etkinleştirin. Hizmet, seçilen bölgelere göre verileri analiz etmeye ve bulgular oluşturmaya başlayacak.
Veri Kaynaklarını Yapılandırma
GuardDuty’nin temel özelliklerinden biri, potansiyel güvenlik tehditlerini tespit etmek için çeşitli veri kaynaklarını analiz edebilme yeteneğidir. Bu kursta GuardDuty’nin farklı AWS veri kaynaklarını ve analiz sürecini nasıl kullandığına daha yakından bakacağız.
AWS CloudTrail Olay Günlükleri
AWS CloudTrail, AWS Management Console, SDK’lar, komut satırı araçları ve belirli AWS hizmetleri aracılığıyla yapılan çağrılar da dahil olmak üzere, AWS hesabınızda yapılan API çağrılarının ayrıntılı bir geçmişini sağlar. GuardDuty, API çağrıları için kullanıcıları, hesapları ve kaynak IP adreslerini tanımlayarak bu CloudTrail olay günlüklerini izler. Şifreleme yoluyla veri güvenliğini sağlarken profil oluşturma ve anormallik tespiti için bu günlükleri işler.
CloudTrail Yönetim Etkinlikleri
GuardDuty ayrıca CloudTrail yönetim olaylarını da izleyerek AWS kaynaklarınız üzerinde gerçekleştirilen yönetim işlemlerine ilişkin bilgiler sunar. Bu tür olaylara örnek olarak güvenlik ayarlarının yapılandırılması (IAM InsertRolePolicyAPI işlemleri), yönlendirme kurallarının ayarlanması (Amazon EC2 CreateSubnet API işlemleri) ve günlük kaydının etkinleştirilmesi (AWS CloudTrail CreateTrail API işlemleri) dahildir. GuardDuty, olağandışı veya yetkisiz etkinlikleri belirlemek için bu olayları analiz eder.
VPC Akış Günlükleri
VPC Akış Günlükleri, Amazon EC2 bulut sunucularına bağlı ağ arayüzlerine giden ve bu arayüzlerden gelen IP trafiğine ilişkin bilgileri yakalar. GuardDuty, mevcut akış günlüğü yapılandırmanızı değiştirmeden verileri bağımsız olarak işleyerek bu akış günlüklerini analiz eder. Bu analiz, GuardDuty’nin AWS ortamınızdaki potansiyel tehditleri tespit etmesine yardımcı olur.
GuardDuty Lambda Koruması
GuardDuty, isteğe bağlı Lambda Koruması sunarak AWS Lambda işlevlerinizin güvenliğini artırır. VPC akış günlükleri de dahil olmak üzere Lambda Ağ Etkinliğini izleyerek güvenlik tehditlerine karşı kapsamlı koruma sağlar. Lambda Korumasını yapılandırarak Lambda işlevlerinizi etkili bir şekilde koruyabilirsiniz.
GuardDuty EKS Koruması
EKS Çalışma Zamanı İzleme etkinleştirildiğinde GuardDuty, EKS EC2 düğümlerinden VPC Akış Günlüklerini analiz ederek benzersiz tehdit algılama yetenekleri sağlar. Bu sürekli kapsam, GuardDuty’nin güvenlik risklerini etkili bir şekilde tespit etmesine ve azaltmasına yardımcı olur. GuardDuty, çalışma zamanı olaylarının EKS EC2 düğümlerinden alınması durumunda ek ücret alınmamasını sağlar.
DNS Günlükleri
Amazon EC2 bulut sunucularınız için AWS DNS çözümleyicileri kullanıyorsanız GuardDuty, DNS günlüklerine erişebilir ve bunları işleyebilir. Dahili AWS DNS çözümleyicileri aracılığıyla istek ve yanıt DNS günlüklerini analiz ederek DNS ile ilgili etkinliklere ilişkin öngörüler sunar. Üçüncü taraf DNS çözümleyicileri kullanırsanız veya özel DNS çözümleyicileri kurarsanız GuardDuty’nin bu kaynaktaki verilere erişemeyeceğini unutmayın.
Özetle, GuardDuty’nin bu çeşitli veri kaynaklarını izleme ve analiz etme yeteneği, güvenli bir AWS ortamını korumanıza olanak tanır. Hizmetin özelliklerinden yararlanarak ve veri kaynaklarını anlayarak AWS varlıklarınızı potansiyel güvenlik tehditlerine karşı proaktif bir şekilde koruyabilirsiniz.
GuardDuty, bu veri kaynaklarının tümüne, hiçbirinin etkinleştirilmesine gerek kalmadan erişir; ancak analiziniz için CloudTrail ve VPC Akış Günlüklerini etkinleştirmek en iyi uygulamadır.
Dedektör Ayarlarını Özelleştirme
Dedektör ayarlarının özelleştirilmesi, GuardDuty’nin davranışını özel güvenlik gereksinimlerinize göre uyarlamanıza olanak tanır.
Tehdit İstihbaratı Akışlarını Ayarlama : GuardDuty, harici tehdit istihbaratı akışlarıyla bütünleşir. Kuruluşunuzun tehdit profiline göre GuardDuty’nin hangi akışları kullanmasını istediğinizi özelleştirin.
Bulma Eşiklerini Ayarlama : GuardDuty’nin hassasiyetini ayarlamak için bulma eşiklerini yapılandırın. Tespit edilen tehditlere ilişkin istediğiniz güven düzeyine göre bulgular almak için bu ayarlarda ince ayar yapın.
Bildirim ve Uyarı Ayarları : Bulguları depolamak ve bildirimleri almak için AWS S3 klasörünü ve SNS konusunu belirtin. GuardDuty şüpheli etkinlikleri tespit ettiğinde güvenlik ekibinizin derhal uyarılmasını sağlamak için bu ayarları yapılandırın.
Kullanıcı İzin Ayarları : GuardDuty kullanıcıları için IAM (Kimlik ve Erişim Yönetimi) rollerini ve izinlerini tanımlayın. Uygun ekip üyelerinin bulguları görüntülemek ve olaylara müdahale etmek için gerekli erişime sahip olduğundan emin olun.
Otomatik Yanıtlar : GuardDuty bulgularını AWS Lambda işlevleriyle entegre etmek gibi otomatik yanıt seçeneklerini keşfedin. Bu, belirli güvenlik tehdidi türlerine yönelik yanıtları otomatikleştirmenize olanak tanıyarak olaylara yanıt verme becerilerinizi geliştirir.
GuardDuty Bulgularının Yorumlanması
Bulut bilişimin geniş ortamında güvenlik, her başarılı dijital çabanın temel taşıdır. Amazon Web Services’in gelişmiş tehdit algılama hizmeti olan AWS GuardDuty, bu alandaki kararlı koruyucumuzdur ve AWS ortamlarımızın dijital sınırlarını sürekli olarak denetler. Ancak yalnızca GuardDuty’nin mevcut olması yeterli değildir; bulgularını anlamak ve yanlış pozitifleri yönetmek, potansiyelinin tamamını kullanmanın anahtarıdır.
GuardDuty Bulgularının Çözümü: Güvenlik İçgörülerinin Anatomisi
GuardDuty, AWS ekosisteminizdeki çeşitli kaynaklardan gelen verileri yorulmadan analiz eden uyanık bir nöbetçi olarak çalışır. Ters bir şey tespit ettiğinde bulgularını yapılandırılmış bir formatta sunar.
Başlık : Tespit edilen tehdidi özetleyen bulgunun özü.
Açıklama : Gözlemlenen davranışın ve potansiyel etkinin ana hatlarını çizerek bulguya ilişkin ayrıntılı bilgiler.
Şiddet : Bulgunun ciddiyetinin bir göstergesi: Düşük, Orta veya Yüksek.
Etkilenen Kaynaklar : EC2 bulut sunucuları veya S3 klasörleri gibi tehdit altındaki AWS kaynakları.
Ek Bağlam : Olayla ilgili bağlam sağlayan IP adresleri veya API çağrıları gibi bilgiler.
Önerilen Eylemler : GuardDuty’nin müdahale konusundaki bilgeliği, olay müdahale stratejinize rehberlik eder.
Soruşturma Sürecinin Açıklanması
GuardDuty’nin alarm vermesi, bir dedektifin potansiyel bir suç mahallini işaret etmesine benzer. Etkili bir şekilde nasıl araştırma yapacağınız aşağıda açıklanmıştır:
Olay Bağlamı : Olayın kapsamlı bir görünümü için olayların ve ilgili bulguların zaman çizelgesini toplayın.
Adli Analiz : Temel nedeni ortaya çıkarmak ve güvenlik açığının tüm kapsamını anlamak için günlükleri ve ağ trafiğini derinlemesine inceleyin.
İşbirliği : İçgörü kazanmak ve olayla ilgili bütünsel bir anlayış geliştirmek için farklı ekiplerle birlikte çalışın.
Düzeltme : Tehdidi azaltmak, etkilenen örnekleri izole etmek veya yetkisiz erişimi iptal etmek için hızlı bir şekilde harekete geçin.
Belgeleme : Araştırma sürecinizi, gerçekleştirilen eylemleri ve öğrenilen dersleri belgeleyin. Bu belgeler gelecekteki referans ve analizler için çok değerlidir.
False Pozitifler
GuardDuty ne kadar sağlam olursa olsun ara sıra yanlış alarmlar üretebilir. Bu zorlukla nasıl başa çıkacağınız aşağıda açıklanmıştır:
Bulguları Ayarlama : GuardDuty’nin tespit eşiklerini ve filtrelerini kuruluşunuzun benzersiz ihtiyaçlarına göre ayarlayın, gerçek tehdit tespitinden ödün vermeden hatalı pozitifleri azaltın.
Bağlamsal Analiz : Bulguları değerlendirirken gerçek tehditleri yanlış pozitiflerden ayırarak kullanıcı davranış kalıplarını ve meşru kullanım örneklerini göz önünde bulundurun.
Düzenli İnceleme : Bulguları periyodik olarak gözden geçirin ve doğrulayın, yinelenen hatalı pozitifleri belirleyin ve algılama ayarlarını buna göre iyileştirin.
Geri Bildirim Döngüsü : Güvenlik ekibinizde bir geri bildirim kültürü geliştirin. Potansiyel yanlış pozitifleri derhal rapor edin, bunları analiz edin ve gelecekte meydana gelebilecek olayları en aza indirmek için GuardDuty’de ince ayar yapın.
Sürekli İyileştirme : Geri bildirimlere ve gelişen tehdit ortamına dayanarak GuardDuty yapılandırmalarınızı ve algılama mekanizmalarınızı geliştirmeye devam edin. Uyarlanabilirlik etkili güvenliğin anahtarıdır.
GuardDuty bulgularını doğru bir şekilde yorumlamak ve yanlış pozitifleri etkili bir şekilde yönetmek, AWS ortamınızda sağlam bir güvenlik duruşu sürdürmenin temel unsurlarıdır. Bu uygulamalar, güvenlik ekibinizin gereksiz uyarıları en aza indirirken gerçek tehditlere anında yanıt vermesini sağlar.
GuardDuty Hakkında Gerçek Dünyadan Örnekler
Şüpheli Dosya Etkinliği
Şüpheli dosya etkinliklerinin tespit edilmesi, AWS ortamınızdaki dosyalara yetkisiz erişimin, değiştirilmesinin veya dosyalara sızmanın tespit edilmesini içerir.
İçeriden kötü niyetli bir kişinin, hassas müşteri verilerini içeren bir S3 klasörüne erişim sağladığı bir senaryo hayal edin. İçeriden biri çok sayıda dosyayı indirmeye çalışır veya mevcut dosyaları uygun izinler olmadan değiştirir. AWS GuardDuty, sürekli izleme özelliği sayesinde bu olağandışı davranışı tespit edebilir ve uyarılar oluşturabilir. Bu uyarıların yardımıyla olayı derhal soruşturabilir, içeriden kişilerin erişimini iptal edebilir ve gelecekte benzer olayların yaşanmasını önlemek için daha sıkı erişim kontrolleri uygulayabilirsiniz.
AWS GuardDuty Tarafından Tespit Edilen Şüpheli Dosya Etkinliği Örneği
Tehdit Algılandı: EICAR-Test Dosyası
– Seviye/ Severity: Medium
– Dosya Adı / File Name: EICAR-Test-Dosyası
– Karma / Hash: 275a021bbfb6489e54d471899f7db9d1663fc345ec2fe2a2c4538aabf651fd0f
– Dosya Yolu / File Path : tmp/eicar.com
– Cilt ARN / Volume ARN: arn:aws:ec2:us-west-2:123456789000:volume/vol-09d5050dea915943d
Açıklama : Bu özel örnekte, AWS GuardDuty, ARN:aws:ec2:us-west-2: ile bir AWS EC2 biriminde “tmp/eicar.com” yolunda “eicar.com” adında şüpheli bir dosya algıladı. 123456789000:cilt/cilt-09d5050dea915943d`. Dosya, ORTA önem düzeyine sahip potansiyel bir tehdit olarak işaretlendi.
Analiz : GuardDuty’nin bu dosyayı tanımlama yeteneği, sağlanan EICAR test dosyası karmasından da anlaşılacağı üzere, bilinen kötü amaçlı yazılım modellerini tanıma konusundaki güçlü yeteneğini gösterir. Bu proaktif yaklaşım, potansiyel tehditlerin zarar vermeden önce tespit edilmesini sağlar.
Yapılan İşlem : Tespit üzerine, güvenlik ekipleri etkilenen sistemi izole ederek, şüpheli dosyayı kaldırarak ve daha fazla riskin oluşmamasını sağlamak için kapsamlı bir güvenlik denetimi gerçekleştirerek hızlı bir şekilde müdahale edebilir.
Yetkisiz Faaliyetler
AWS GuardDuty, başarısız erişim girişimleri de dahil olmak üzere, AWS ortamınızdaki çeşitli şüpheli ve yetkisiz etkinlikleri tespit etmek için tasarlanmıştır. Kimlik bilgileriyle ilgili tehditler söz konusu olduğunda GuardDuty, yetkisiz veya kötü niyetli erişim girişimlerini gösterebilecek başarısız oturum açma girişimleri gibi etkinlikleri izler.
GuardDuty, ağ trafiğindeki ve hesap etkinliklerindeki kalıpları ve anormallikleri belirlemek için VPC Akış Günlükleri, AWS CloudTrail olayları ve DNS günlükleri dahil olmak üzere farklı veri kaynaklarını analiz eder. GuardDuty, birden fazla başarısız oturum açma girişimi veya yetkisiz erişime işaret edebilecek başka herhangi bir şüpheli davranış tespit ederse, sizi bilgilendirmek için uyarılar oluşturur. Bu uyarılar, IP adresi, zaman damgası ve hedeflenen kaynak dahil olmak üzere erişim girişimi hakkında bilgi sağlayarak daha ayrıntılı araştırma yapmanıza ve AWS ortamınızın güvenliğini sağlamak için uygun önlemleri almanıza olanak tanır.
GuardDuty’nin başarısız erişim girişimlerini tespit etme yeteneği, kaynaklarınıza yetkisiz erişim sağlamaya çalışan potansiyel saldırganların belirlenmesi açısından değerlidir. Başarılı ihlalleri önlemek için proaktif bir şekilde yanıt vermenize ve güvenlik önlemlerinizi güçlendirmenize olanak tanır.
AWS GuardDuty Tarafından Tespit Edilen Kimlik Bilgisine Erişim Tehdidi Örneği
Kimlik bulma: 169bb78e28e84a37a1148651a3518839
Seviye: MEDIUM
Bölge: us-east-1
Sayı: 1
Hesap Kimliği: 030597212547
Kaynak Kimliği: GeneeredFindingDBInstanceId
Oluşturulma tarihi: 10-15-2023 16:48:50 (bir gün önce)
Güncelleme tarihi: 10-15-2023 16:48:50 (bir gün önce)
Genel Bakış : AWS GuardDuty, Kimlik Bilgisi Erişimi ile ilgili orta önemde bir tehdit algıladı. Bilinen kötü amaçlı etkinlikle ilişkili bir IP adresi (1.2.3.4), GeneeredFindingDBInstanceId olarak tanımlanan RDS veritabanı örneğinde başarısız bir şekilde oturum açma girişiminde bulundu.
Yapılan İşlem : Kötü amaçlı IP adresi (1.2.3.4), RDS veritabanı örneğine erişmeye çalıştı ancak başarısız oldu. GuardDuty bu etkinliği derhal işaretleyerek güvenlik ekiplerinin olayı araştırmasına olanak sağladı. Bu durumda oturum açma girişimi başarısız olsa da güvenlik durumunu değerlendirmek, erişim kontrollerini gözden geçirmek ve RDS örneğinin güvenliğini artırmak için çok faktörlü kimlik doğrulama (MFA) ve IP beyaz listesi gibi ek güvenlik önlemlerini uygulamayı düşünmek çok önemlidir.
Tavsiye
Erişim Politikalarını Gözden Geçirin : RDS örneğine yalnızca yetkili kullanıcıların ve uygulamaların erişebildiğinden emin olun. Saldırı yüzeyini en aza indirmek için erişim politikalarını düzenli olarak gözden geçirin ve güncelleyin.
Çok Faktörlü Kimlik Doğrulamayı (MFA) Uygulayın : Ekstra bir güvenlik katmanı eklemek için RDS oturum açma işlemleri için MFA kullanımını zorunlu kılın.
İzleyin ve Yanıtlayın : RDS oturum açma girişimlerini sürekli olarak izleyin ve herhangi bir şüpheli etkinliğe anında yanıt verin. Gelecekte benzer olayları azaltmak için otomatik yanıtlar veya uyarılar uygulayın.
Port / Bağlantı Noktası Taraması
AWS GuardDuty, AWS ortamınızdaki ağ trafiğini ve DNS günlük modellerini analiz etmek için makine öğrenimi algoritmalarını ve tehdit istihbaratı akışlarını kullanarak bağlantı noktası taramalarını algılayabilir. Algılayabildiği etkinliklerden biri, örneklerinizdeki açık bağlantı noktalarını keşfetmeye yönelik yetkisiz girişimleri içeren bağlantı noktası taramadır.
GuardDuty bir bağlantı noktası taraması tespit ettiğinde şüpheli etkinliği belirten bir uyarı oluşturur. Bu uyarılar, kaynak IP adresi, hedeflenen örnekler, taranan bağlantı noktaları ve zaman damgası gibi ayrıntıları içerir. GuardDuty, ağ trafiği modellerini izleyerek, bulut sunucularınızdaki çeşitli bağlantı noktalarına olağandışı sayıda bağlantı denemesi yapıldığını tespit ederek olası bir bağlantı noktası tarama etkinliğinin sinyalini verebilir.
Bağlantı noktası taramalarını tespit etmek, AWS altyapınızdaki güvenlik açığı bulunan hizmetleri bulmaya çalışan potansiyel saldırganları tespit etmek için çok önemlidir. GuardDuty’nin bu etkinlikleri tanıma ve sizi uyarma yeteneği, kötü amaçlı IP adreslerini engellemek, güvenlik grubu kurallarını güçlendirmek ve AWS kaynaklarınızı potansiyel tehditlerden korumak için proaktif güvenlik önlemleri almanıza yardımcı olur.
AWS GuardDuty Tarafından Tespit Edilen Bağlantı Noktası Taraması Örneği
Kimlik bulma: 3b52fa81f55f42de8819b9d87c4308dc
Seviye: Medium
Bölge: us-east-1
Sayı: 1
Hesap Kimliği: 030597212547
Kaynak Kimliği: i-99999999
Oluşturulma tarihi: 10-15-2023 16:48:50 (bir gün önce)
Güncelleme tarihi: 10-15-2023 16:48:50 (bir gün önce)
Genel Bakış : AWS GuardDuty, Bağlantı Noktası Taramasıyla ilgili orta önemde bir tehdit algıladı. AWS ortamınızdaki bir EC2 bulut sunucusu (i-99999999), uzak bir ana bilgisayara (198.51.100.0) karşı giden bağlantı noktası taramalarını denedi. Örnek, uzak ana bilgisayardaki 797 numaralı bağlantı noktasına bağlanmayı denedi.
Örnek Ayrıntıları :
Örnek kimliği: i-99999999
Bulut Sunucusu Türü: m3.xlarge
Örnek Durumu: çalışıyor
Lansman Zamanı: 08-02-2016 05:05:06
Karakol ARN: arn:aws:outposts:us-west-2:123456789000:outpost/op-0fbc006e9abbc73c3
Ağ Ayrıntıları :
Yerel IP: 10.0.0.23
Bağlantı Yönü: GİDEN
Protokol: TCP
Hedef IP: 198.51.100.0
Hedef Bağlantı Noktası: 797
Konum Detayları :
Şehir: GeneeredFindingCityName
Ülke: GeneeredFindingCountryName
Organizasyon: GeneeredFindingORG
ASN: -1
ASN Org: GeneeredFindingASNOrg
İSS: GeneeredFindingISP
Yapılan İşlem : GuardDuty, i-99999999’dan 198.51.100.0:797’ye giden bağlantı noktası tarama etkinliğini belirledi. Bu durumda bağlantı bloke edilmemiş olsa da bu etkinliğin araştırılması zorunludur. Bağlantı noktası tarama girişimleri genellikle daha fazla kötü amaçlı eylemden önce gelir. Güvenlik ekipleri örneği olası risklere karşı analiz etmeli ve güvenlik gruplarını ayarlamayı veya ağ tabanlı izinsiz giriş tespit sistemlerini uygulamayı düşünmelidir.
Tavsiye
Kapsamlı Bir Şekilde Araştırın : Herhangi bir tehlike veya kötü niyetli faaliyet belirtisi belirlemek için i-99999999’da kapsamlı bir araştırma yapın.
Güvenlik Önlemlerini Geliştirin : Yetkisiz bağlantı noktası taramalarını ve giden bağlantıları önlemek için güvenlik grupları ve ağ ACL’leri içinde daha katı giden trafik kuralları uygulamayı düşünün.
Sürekli İzleme : Benzer olayları gerçek zamanlı olarak tespit etmek ve bunlara yanıt vermek için giden trafik düzenleri için sürekli izleme ve otomatik uyarı uygulayın.
Çözüm
Sürekli gelişen siber güvenlik ortamında proaktif savunma ve hızlı müdahale büyük önem taşıyor. Amazon GuardDuty, bulutta bir dayanıklılık işareti olarak ortaya çıkıyor ve AWS ortamınızın dijital ön saflarında yorulmadan devriye geziyor. AWS GuardDuty incelememizi tamamladığımızda, bu güçlü tehdit algılama hizmetinin yalnızca bir araç olmadığı açıktır; dijital varlıklarınızı güvence altına alma misyonunuzdaki stratejik bir müttefiktir.
GuardDuty’nin Temel Güçlü Yönleri
Gerçek Zamanlı Teyakkuz : GuardDuty’nin tehditleri gerçek zamanlı olarak tespit etme yeteneği, potansiyel güvenlik olaylarının hızlı bir şekilde tespit edilmesini sağlayarak anında yanıt verilmesine ve hafifletilmesine olanak tanır.
Eyleme Geçirilebilir Bilgiler : Ayrıntılı bulgular ve bağlam açısından zengin uyarılar, güvenlik ekiplerinizi güçlendirerek, onlara bilinçli kararlar almaları ve etkili bir şekilde yanıt vermeleri için gereken bilgileri sağlar.
Uyarlanabilirlik : GuardDuty’nin entegrasyon yetenekleri, mevcut güvenlik iş akışlarınıza sorunsuz bir şekilde uyum sağlamasına, otomatik yanıtlara olanak tanımasına ve genel olay müdahale stratejilerinizi geliştirmesine olanak tanır.
Küresel Tehdit İstihbaratı : GuardDuty, harici tehdit akışlarından yararlanarak analizini güncel küresel tehdit istihbaratıyla zenginleştirerek her zaman en yeni tehditleri tespit edecek donanıma sahip olmasını sağlar.
Temel Çıkarımlar
Sürekli İzleme : GuardDuty’nin sürekli izleme özelliği, AWS ortamınızın dikkatli gözetim altında olmasını sağlayarak verilerinizi ve kaynaklarınızı çok çeşitli tehditlere karşı korur.
İşbirliğine Dayalı Savunma : Güvenlik ekipleriniz arasında işbirliğini teşvik edin. GuardDuty’nin bulguları, güvenlik sorunları karşısında sinerjiyi ve kolektif eylemi teşvik eden ortak bir dil görevi görüyor.
Verimlilik için Otomasyon : Otomasyon fırsatlarını keşfedin. GuardDuty’yi otomatik müdahale mekanizmalarıyla entegre etmek, olaylara müdahale hızınızı artırarak rakiplerinizin önünde kalmanıza olanak tanır.
Eğitin ve Geliştirin : Düzenli eğitim ve tatbikatlar ekiplerinizin iyi hazırlanmasını sağlar. Sürekli değişen tehdit ortamından haberdar olun ve stratejilerinizi buna göre uyarlayın.