Integración de feeds de inteligencia
Agregando IPs en la lista de amenazas de GuardDuty
El servicio de detección de amenazas Amazon GuardDuty utiliza nativamente fuentes de inteligencia propias de Amazon, de terceros como CrowdStrike y Proofpoint, y algunas fuentes OpenSource, (como por ejemplo la lista de los exit nodes de la red de anonimización TOR)
Sin embargo si usted detecta IPs maliciosas atacando su on-prem, podría agregarlas a las listas de amenazas de GuardDuty para que el servicio alerte ante accesos desde esas IPs.
Otro caso de uso frecuente es cuando tienen contratado algún servicio de threat intelligence, (como Talos, X-Force, FireEye, etc) y quisieran agregar sus indicadores de compromiso (IPs maliciosas) pueden hacerlo en la siguiente pantalla:
Formatos soportados:
- Plaintext (TXT)
- Structured Threat Information Expression (STIX)
- Open Threat Exchange (OTX - CSV)
- FireEye iSight threat intelligence (CSV)
- Proofpoint ET Intelligence Feed (CSV)
- AlienVault Reputation Feed
AWS Web Application Firewall
AWS WAF cuenta nativamente con listas de reputación de IP entre sus Managed Rules (Amazon IP Reputation, y Anonymous IP List), las cuales son particularmente útiles para reducir la cantidad de ataques desde redes de bots maliciosos.
Puede enriquecer este listado de IPs con reglas administradas por nuestros partners en el AWS Marketplace, como F5, GeoGuard, Imperva.
Si necesita extender los Capacity Units del WAF (WCU) tenga presente que es un “soft-limit”, y hasta 2500 WCUs pueden extenderlo (este número máximo va creciendo con el tiempo).
WAF Security Automations
WAF Security Automations es una solución que implementa una serie de protecciones adicionales para WAF, entre ellas, feeds de inteligencia de Spamhaus, TORproject, y Emergingthreats.
