Cómo reportar automáticamente el abuso de la cuenta Root en AWS.
Las áreas de Seguridad Informática o Cumplimiento, en ocasiones requiere ser reportadas de manera automática, cuando la cuenta Root de AWS sea usada o en efecto cuando están tratando de hacer login con password incorrecto en la Consola.
Para resolverlo existen 2 maneras de realizarlo; tal como sucede en muchos casos cuando se involucran varios servicios de AWS. Escogeremos la más eficiente y fácil de implementar.
Opción 1
- Crear un Cloud Trail que envíe todos los eventos a CloudWatch Logs → Logs → Logs Group
- Crear una Filtro para que los intentos de inicio de sesión se filtre y se cree la métrica.
- Crear una alarma para monitorear cuando el login de Root ocurre o es fallido.
- Crear un Topic en SNS para reportar vía email o SMS al equipo de Seguridad de la Información.
La solución del caso de uso involucra 4 Servicios como son Cloud Trail -CloudWatch-SNS-S3
Opción 2
- Crear un Topic SNS para reportar vía email o SMS.
- Habilitar Cloud Trail.
- Crear una Regla de evento en Cloud Watch con el patrón cuando el Login es satisfactorio o fallido.
Desventaja Opción 1: El flujo del tráfico tiene mayor interdependencia de varios servicios de AWS que se deben configurar, y adicionalmente esto hace que la alarma necesite en CloudWatch un Datapoint de monitoreo de 5 minutos y envíe la notificación a SNS.
Por lo anterior, mostraremos la implementación de la opción 1 que nos llevará a los siguientes 4 pasos del gráfico.
- Setup SNS.
Creamos en SNS un tópico de tipo Standart.
Dejamos en default las siguientes opciones y damos Create topic
Creamos la suscripción
Escogemos la lista de distribución de correo del área de Seguridad de la Información o el correo del responsable del cumplimiento.
Protocol → Escogemos email, aunque también podemos escoger SMS, si queremos la notificación al celular.
Endpoint: Escribimos el email del grupo de los responsable de Seguridad de la Información o responsable del Cumplimiento.
Confirmamos la suscripción que nos ha llegado al email.
2. Habilitación de Cloud Trail
A pesar que cloud Trail tiene la opción de una habilitación rápida, lo haremos de la forma que sea personalizada para poder escoger el nombre del bucket en S3 y del Trail.
Tendremos un Review de todas las opciones que hemos escogido para nuestro Trail.
Ahora tenemos nuestro Trail confirmado y creado en la consola de AWS.
Puede confirmar en CloudWatch —> Log Groups, que tenemos creado el Logs de Cloud Trail.
3. Creación de la Regla de evento en CloudWatch.
Crearemos el evento con la regla que dispara el envío cuando sucede el evento.
Reemplazar el patrón cuando da “Edit” por el siguiente que nos busca cuando el Login es exitoso con la cuenta Root.
{
"detail-type": [
"AWS Console Sign In via CloudTrail"
],
"detail": {
"userIdentity": {
"type": [
"Root"
]
},
"responseElements": {
"ConsoleLogin": [
"Success"
]
}
}
}
Escogemos como Target el servicio de SNS Topic y específicamente el creado en el punto 1 “ Report_abuse”.
De esta manera hemos finalizado la regla.
* Repite el mismo paso del punto 3 para crear la otra regla que reporta los intentos fallidos del login de la cuenta root con el siguiente patrón.
{
"detail-type": [
"AWS Console Sign In via CloudTrail"
],
"detail": {
"userIdentity": {
"type": [
"Root"
]
},
"responseElements": {
"ConsoleLogin": [
"Failure"
]
}
}
}4. Pruebas de login en la consola de AWS con usuario Root.
Mensaje de email notificado por SNS cuando reporta abuso de la cuenta Root.
Mensaje de email notificado por SNS cuando reporta que intentan ingresar a la cuenta root con clave incorrecta.
Podremos mejorar el tipo de la notificación, creando otro Topic en SNS con título “Report_abuse_Fail”, de esta manera siempre sabremos con el titulo del correo, de dónde proviene el reporte, sin que tengas que abrir el email.
Fuente de consulta :
