Forme un equipo de Inteligencia de amenazas que trabaje estudiando noticias de seguridad locales y globales, actores de amenazas, tácticas, indicadores de compromiso (IoC) y alimente esa inteligencia a sus servicios y soluciones de seguridad.
El servicio de detección de amenazas Amazon GuardDuty utiliza nativamente fuentes de inteligencia propias de Amazon, de terceros como CrowdStrike y Proofpoint, y algunas fuentes OpenSource, (como por ejemplo la lista de los exit nodes de la red de anonimización TOR)
Sin embargo si usted detecta IPs maliciosas atacando su on-prem, podría agregarlas a las listas de amenazas de GuardDuty para que el servicio alerte ante accesos desde esas IPs.
Otro caso de uso frecuente es cuando tienen contratado algún servicio de threat intelligence, (como Talos, X-Force, FireEye, etc) y quisieran agregar sus indicadores de compromiso (IPs maliciosas) pueden hacerlo en la siguiente pantalla:
AWS WAF cuenta nativamente con listas de reputación de IP entre sus Managed Rules (Amazon IP Reputation, y Anonymous IP List), las cuales son particularmente útiles para reducir la cantidad de ataques desde redes de bots maliciosos.
Puede enriquecer este listado de IPs con reglas administradas por nuestros partners en el AWS Marketplace, como F5, GeoGuard, Imperva.
WAF Security Automations es una solución que implementa una serie de protecciones adicionales para WAF, entre ellas, feeds de inteligencia de Spamhaus, TORproject, y Emergingthreats.
Si cuenta con un equipo capacitado dedicado a la inteligencia de amenazas y quisiera obtener sus propias señales, implementando HoneyPots, si se hace correctamente, puede proporcionar datos frescos al equipo de inteligencia de amenazas.
La siguiente publicación de blog puede ayudarlo a configurar honeypots en AWS: https://aws.amazon.com/blogs/security/how-to-detect-suspicious-activity-in-your-aws-account-by-using-private-decoy-resources/