Integração de feeds de inteligência
Adicionando IPs à lista de ameaças do GuardDuty
O serviço de detecção de ameaças Amazon GuardDuty usa nativamente as próprias fontes de inteligência da Amazon, terceiros, como CrowdStrike e Proofpoint, e algumas fontes OpenSource, (como a lista de nós de saída da rede de anonimato TOR).
No entanto, se você detectar IPs mal-intencionados atacando seu local, poderá adicioná-los às listas de ameaças do GuardDuty para que o serviço o alerte para acessar esses IPs.
Outro caso de uso frequente é quando eles contratam um serviço de inteligência de ameaças (como talos, x-force, fireeye, etc.) e desejam adicionar seus indicadores de comprometimento (IPs maliciosos), eles podem fazer isso na tela a seguir:
Formatos suportados:
- Plaintext (TXT)
- Structured Threat Information Expression (STIX)
- Open Threat Exchange (OTX - CSV)
- FireEye iSight threat intelligence (CSV)
- Proofpoint ET Intelligence Feed (CSV)
- AlienVault Reputation Feed
AWS Web Application Firewall
AWS WAF nativamente tem listas de reputação de IP entre suas regras gerenciadas (Amazon IP Reputation e Anonymous IP List), que são particularmente úteis para reduzir o número de ataques de botnets maliciosos.
Você pode enriquecer essa lista de IPs com regras gerenciadas por nossos parceiros no AWS Marketplace, como F5, GeoGuard, Imperva.
Se você precisar estender as WAF Capacity Units (WCU), tenha em mente que é um “soft-limit”, ou seja, é possível estendê-lo, e essa extensão pode chegar até 2500 WCUs (este número máximo aumenta com o tempo).
WAF Security Automations
WAF Security Automations é uma solução que implementa uma série de proteções adicionais para WAF, incluindo feeds de inteligência de spamhaus, torproject e ameaças emergentes.
