Detección de amenazas: capacidades personalizadas

NOTA: Aún no se completó la actualización de la versión en español a v2, sugerimos usar la versión en Inglés por ahora.

¿Por qué contar con capacidades de detección de amenazas personalizadas?

Si bien Amazon GuardDuty tiene muchas capacidades de detección de amenazas, no ofrece la posibilidad de crear detecciones para casos de uso personalizados. Para la detección de amenazas personalizada, debe:

  1. Identificar sus casos de uso
  2. Identificar las fuentes de registro con los datos necesarios para sus casos de uso
  3. Centralizar eventos/fuentes de registro
  4. Crear reglas de correlación para detectar ofensas con categorización
  5. Definir alertas basadas en la categorización

Creación de un lago de datos de seguridad

Para centralizar diversos registros de eventos en un entorno de múltiples cuentas en un lago de datos centralizado con los datos normalizados según el Open CyberSecurity Schema Framework , puede aprovechar Amazon Security Lake , un servicio que se escala a petabytes y simplifica la integración con soluciones de seguridad empresarial de terceros que envían datos al lago como CrowdStrike, Palo Alto, Tanium y Okta, y soluciones que pueden consultar el lago o recibir los eventos normalizados, como las soluciones de administración de eventos e información de seguridad (SIEM) (que funcionan como suscriptores), herramientas de inteligencia empresarial y puede consultar todo el lago con Amazon Athena . Con Security Lake, puede mantener un período de tiempo más corto en las herramientas de visualización y, aun así, conservar el registro de todos los registros en un formato que permita realizar búsquedas durante años.

Integración con sistemas de Security Information and Event Management (SIEM)

En clientes con infraestructura híbrida, frecuentemente se utiliza un sistema SIEM para centralizar los eventos de múltiples infraestructuras (on-prem / multi-cloud), para tener un punto central donde se analicen los eventos y se configuren reglas para detectar incidentes en base a los distintos casos de uso requeridos para alcanzar los objetivos de negocio.

La mayoría de los proveedores de soluciones de SIEM del mercado cuentan con la capacidad de colectar datos desde AWS (AWS CloudTrail, hallazgos de AWS Security Hub, etc.) Aquí tienen una lista de algunos de los proveedores que tienen soluciones que pueden colectar logs de AWS:

  • Splunk
  • IBM Security QRadar
  • Sumo Logic
  • Securonix
  • Exabeam
  • Rapid7
  • Logrhythm
  • Microfocus (arcsight)
  • Gurucul
  • Microsoft Azure Sentinel
  • Etc.

¿ Es AWS Security Hub un SIEM ?

No. Las soluciones de SIEM agregan Eventos (como un mensaje “firewall accept”), para luego correlacionarlos y generar Hallazgos de seguridad / Ofensas. AWS Security Hub agrega Hallazgos (información relevante para que el equipo de seguridad tome una acción).

SIEM en Amazon OpenSearch

Puede implementar un SIEM en un clúster de OpenSearch en su cuenta de AWS a través de una plantilla de CloudFormation disponible en aws-samples github: Enlace a aws-samples en github: https://github.com/aws-samples/siem-on-amazon-elasticsearch OpenSearch proporciona 2200 reglas de seguridad Sigma de código abierto listas para usar.

Splunk:

Splunk cuenta con la capacidad de integrar logs de la nube, como se puede apreciar en la siguiente imagen de la documentación:

SIEM Splunk

[Link a la documentación ]

Add-on en SplunkBase:

https://splunkbase.splunk.com/app/1876/

[Link a la documentación del add-on ]

QuickStart Splunk Enterprise on AWS

QuickStart para el despliegue rápido de Splunk en AWS https://aws.amazon.com/quickstart/architecture/splunk-enterprise/

AWS Marketplace

Splunk está disponible en el AWS Marketplace https://aws.amazon.com/marketplace/pp/B00PUXWXNE

IBM Security QRadar:

QRadar cuenta con la capacidad de integrar logs de la nube, como se puede apreciar en la siguiente imagen de la documentación: SIEM QRadar

[Link a la documentación ]

Extensiones en X-Force App Exchange:
AWS Marketplace

QRadar está disponible en el marketplace en múltiples modalidades :

Integración con sistemas de Security Orchestration, Automation and Response (SOAR)

De un modo similar a los SIEM, en clientes con infraestructura híbrida, frecuentemente se utiliza un sistema SOAR para coordinar la respuesta automatizada ante incidentes.

Las principales soluciones de SOAR cuentan con integración con AWS Security Hub, y con AWS en general para tomar acciones.

Splunk Phantom - Integración con Security hub

SOAR Splunk Phantom

Palo alto networks: Cortex XSOAR - Integración con Security hub

SOAR Palo Alto

IBM Security Resilient