Integración de feeds de inteligencia

Agregando IPs en la lista de amenazas de GuardDuty

El servicio de detección de amenazas Amazon GuardDuty utiliza nativamente fuentes de inteligencia propias de Amazon, de terceros como CrowdStrike y Proofpoint, y algunas fuentes OpenSource, (como por ejemplo la lista de los exit nodes de la red de anonimización TOR)

Sin embargo si usted detecta IPs maliciosas atacando su on-prem, podría agregarlas a las listas de amenazas de GuardDuty para que el servicio alerte ante accesos desde esas IPs.

Otro caso de uso frecuente es cuando tienen contratado algún servicio de threat intelligence, (como talos, x-force, fireeye, etc) y quisieran agregar sus indicadores de compromiso (IPs maliciosas) pueden hacerlo en la siguiente pantalla:

Threat Lists

Formatos soportados:
  • Plaintext (TXT)
  • Structured Threat Information Expression (STIX)
  • Open Threat Exchange (OTX - CSV)
  • FireEye iSight threat intelligence (CSV)
  • Proofpoint ET Intelligence Feed (CSV)
  • AlienVault Reputation Feed

AWS Web Application Firewall

AWS WAF cuenta nativamente con listas de reputación de IP entre sus Managed Rules (Amazon IP Reputation, y Anonymous IP List), las cuales son particularmente útiles para reducir la cantidad de ataques desde redes de bots maliciosos.

Puede enriquecer este listado de IPs con reglas administradas por nuestros partners en el AWS Marketplace, como F5, GeoGuard, Imperva.

Si necesita extender los Capacity Units del WAF (WCU) tenga presente que es un “soft-limit”, es decir que puede extenderlo, y hasta 2500 WCUs pueden exteenderlo (este número máximo va creciendo con el tiempo).

WAF Security Automations

WAF Security Automations es una solución que implementa una serie de protecciones adicionales para WAF, entre ellas, feeds de inteligencia de spamhaus, torproject, y emergingthreats.

Arquitectura WAF Security Automations