这个新春，你的云端安全守卫来咯 | 新服务上线

随着国内公有云应用程度愈来越高，众多企业用户都已经接受使用亚马逊云科技部署各类不同的应用系统；同时各地的安全合规越来越严格，安全问题已经成为企业用户关注的重点之一。

云上环境的开放性，以及云上网络环境和本地数据中心不同的安全态势，让企业常担心自己的云端资源是否足够安全，企业需要知道云端资源和环境本身当下正在发生什么，是否有潜在的威胁等。

本文将介绍如何使用 Amazon GuardDuty 服务实现威胁发现，并简介如何基于此实现安全自动化响应。包括自定义威胁 IP 列表，解读威胁发现结果，和联动 Amazon CloudWatch，Amazon Security Hub 等服务实现安全运营自动化。

什么是 Amazon GuardDuty？

Amazon GuardDuty 是云原生的威胁检测服务，该服务于 2 月 4 日 春节前在由光环新网运营的亚马逊云科技中国（北京）区域和由西云数据运营的中国（宁夏）区域推出。Amazon GuardDuty 持续监控恶意活动和未经授权的行为，可以保护客户的亚马逊云科技账户、工作负载和存储在 Amazon S3 中的数据。

Amazon GuardDuty 工作原理

Amazon GuardDuty 的启用比较简单，这里不做赘述。

例如，Amazon GuardDuty 使用 DNS 查询作为传输机制来检测异常 API 调用、已知恶意 IP 地址的可疑出站通信或可能的数据盗窃。Amazon GuardDuty 利用威胁情报（例如恶意 IP 和域名列表）和丰富的机器学习提供更准确的鉴别结果。

自定义威胁 IP 列表

Amazon GuardDuty 支持威胁情报导入和自定义 IP 地址黑白名单。以黑名单 IP 地址列表为例：

首先建立文本文件，名为 blocklist.txt，内容如下截图，保存该文件到 Amazon S3 bucket 中，记录下该对象的访问路径，类似于：

https://guarddutytesting.s3.cn-northwest-1.amazonaws.com.cn//blocklist.txt

上述 IP 列表在具体设置的时候需要替换 X 为明确的 IP 地址。

登陆亚马逊云科技管理控制台，在 Amazon GuardDuty 服务的界面上，从左边的选择菜单选择“配置”— “清单 ”，在界面上可以看到管理导入威胁情况，选择“添加威胁列表”。

在弹出窗口中，可以添加各种支持的外部威胁情报，包括开放威胁交换 OTX，结构化威胁信息表达式 STIX 以及 FireEye iSight 的威胁情报格式，当然也支持上文准备的明文文本格式编辑的威胁 IP 地址列表。

如何解读威胁发现？

Amazon GuardDuty 启用之后，不需要做额外的操作就会自动读取数据源分析亚马逊云科技上的威胁，并生成发现“结果”，如下图所示，威胁发现的结果类型列中，显示了针对云端资源的威胁如暴力破解，端口扫描，Amazon S3 存储桶的权限修改等。

下面我们从使用该威胁 IP 的亚马逊云科技海外区域的 Amazon EC2 实例上，远程 SSH 到该账号下的某个 Amazon EC2 实例，以此观察 Amazon GuardDuty 发现结果。SSH 登陆的过程在此不做赘述。

针对上图选择的这条结果，显示来自恶意 IP 的访问，点击该发现结果后，console 的右边提供了这个发现的的详细信息，尤其是操作者的 IP 地址，对应我们自定义的文本格式的 blocklist.txt.

Amazon GuardDuty 调查结果都有一个指定的严重性级别和值，可反映调查结果给您的网络带来的潜在风险，这些风险由亚马逊云科技的安全工程师确定。严重性值可以为介于 0.1 和 8.9 之间的任何值，该值越高，安全风险就越大。

为了帮助客户确定对调查结果突出显示的潜在安全问题的响应，Amazon GuardDuty 将此范围分为“高”、“中”和“低”严重性级别。高”安全性级别表示涉及的资源（Amazon EC2 实例或一组 Amazon IAM 用户凭证）已遭盗用，并正被用于未经授权的用途。在 Amazon GuardDuty 的 console 上右上角看到的红色标记表示“高”严重级别的发现，每个严重级别为高的发现结果，在列表中以红色的三角形标记：

“中”严重性级别表示偏离正常观察到的行为的可疑活动，根据客户的使用案例，可能指示资源被盗用。发现结果以橙色正方形标记：

“低”严重性级别表示尝试进行的可疑活动未危及客户的网络，例如端口扫描或失败的入侵尝试。发现结果条目以蓝色小圆圈标记，上文的可疑 IP 访问已经显示。发现结果列表可以通过选择字段进行过滤。

如何处理威胁发现？

Amazon GuardDuty 的发现可以通过 Amazon CloudWatch Events 进行下一步的处理，在 CloudWatch Events 规则编辑界面，选择“自定义事件模式”，在之后的代码编辑窗口里用如下代码：

{  "source": [    "aws.guardduty"  ],  "detail-type": [    "GuardDuty Finding"  ],  "detail": {    "severity": [      4,      4.0,    ...      8.9    ]

通过 Amazon CloudWatch Events，可以调用亚马逊云科技的更多服务如 Amazon Lambda，Amazon SNS，或第三方产品。Amazon GuardDuty 的发现结果，也可以通过 Amazon Security Hub 这个服务实现多种产品的集中发现，从而实现安全事件的自动化处理。

原文链接：这个新春，你的云端安全守卫来咯 | 新服务上线