Análisis forense utilizando los registros de CloudTrail.

Proteger su infraestructura de nube contra cada ataque es prácticamente imposible. En caso de que se produzca un ataque en su entorno en la nube, debe pasar inmediatamente a la acción para detectar las pistas dejadas por el atacante. Después de eso, debes realizar un análisis forense para unir las pistas y encontrar la causa del ataque.

En un entorno de nube, los registros le darán todas las pistas que necesita. Por ejemplo, CloudTrail registra todos los eventos que ocurren en su plataforma de servicios web de Amazon (AWS). Pero cuando se trata de análisis de registros, no puede hacerlo solo: para extraer la cantidad máxima de información de los registros de CloudTrail, necesita una herramienta de administración de registros de la nube.

Cloud Security Plus para la gestión de registros de AWS

Nuestra propia herramienta de administración de la nube, Cloud Security Plus, lo ayuda a mantener un control estricto de todo su entorno de nube. Después de recuperar sus registros de AWS CloudTrail y los registros de acceso al servidor S3, Cloud Security Plus los analiza para ofrecerle una visión crítica de su entorno de AWS.

Cloud Security Plus también lo salva del engorroso proceso de configuración requerido por cualquier herramienta de administración de registros para comenzar a recuperar los registros de CloudTrail. Tiene una función de configuración automática que realiza todos los pasos de configuración de AWS por usted.

El rol de Cloud Security Plus en el análisis forense

El análisis forense que se realiza manualmente es agotador. Sin embargo, con un almacenamiento de registro flexible y un mecanismo de búsqueda eficiente, Cloud Security Plus cambia el juego.

  • Almacene los registros recopilados durante el tiempo que necesite. Los registros archivados son una gran referencia para identificar amenazas.
  • Desplácese a través de los datos de registro para recuperar la información que está buscando con la búsqueda rápida de Cloud Security Plus. (Gracias Elasticsearch!)
  • Identifique quién dirigió el ataque y vea todas las actividades que el usuario ha realizado en AWS.

Para comprender qué tan importantes pueden ser los registros de CloudTrail, veamos un ejemplo: una empresa multinacional de computación en la nube aloja sus aplicaciones críticas en AWS. Las credenciales del usuario raíz, que no pudieron eliminar después de las configuraciones iniciales, de alguna manera cayeron en manos de un empleado deshonesto. Este empleado decidió causar estragos al terminar todos los servidores en los que se ejecutan las aplicaciones de la compañía.

En este caso, los informes de Cloud Security Plus podrían ayudar a esta empresa a encontrar la causa del ataque. El informe Cambios recientes del estado de la instancia de EC2 en particular proporcionaría todos los detalles necesarios con respecto a la terminación de las instancias de EC2. También podrían recuperar el nombre de usuario del empleado no autorizado del registro correspondiente a la actividad de terminación y usar la pestaña de búsqueda de Cloud Security Plus para obtener una lista detallada de todas las actividades que el usuario realizó en AWS.