AWS Fargate에 대한 Threat Stack 지원 소개

새로운 위협 스택 Fargate 에이전트

고객의 경우 AWS Fargate 메타데이터에는 Threat Stack 워크플로의 동일한 기본 메커니즘이 적용되어 알림 생성, 규칙 사용자 정의, 위협 사냥 등에 사용됩니다. 에이전트를 배포하고 네트워크 연결을 보장하면 보안 데이터가 Threat Stack 플랫폼으로 흐르기 시작합니다.

Fargate 에이전트는 사이드카로 실행되며 Amazon ECS 의 Fargate 작업 정의의 일부로 정의됩니다. 에이전트는 Fargate 런타임 환경의 두 가지 주요 측면을 모니터링합니다.

1. Fargate 컨테이너 내부의 프로세스 활동
2. Fargate 작업 내부 및 외부의 네트워크 흐름 데이터

Threat Stack은 AWS CloudTrail 로그에 대한 전체적이고 실시간 보기를 제공하여 Fargate에 대한 추가적인 맥락을 제공합니다. Fargate 작업이 지원하는 애플리케이션은 Node.js, Python, Ruby 코드에 대한 Threat Stack 애플리케이션 보안 모니터링을 통해 추가적인 런타임 보호 기능을 받습니다. Threat Stack 플랫폼에서 이 데이터에 대한 보기를 통합하는 동안 이 데이터는 Amazon VPC 및 AWS IAM 권한에 대한 기본 AWS 보안 제어 기능에 추가됩니다.

Threat Stack Platform의 Fargate 메타데이터

Threat Stack은 다음을 포함하여 Fargate 활동에 대한 기본 탐지 기능을 제공합니다.

• 대화형 세션
• SSHD 바이너리
• 데이터 유출 시도
• 예상치 못한 네트워크 연결

이러한 감지 규칙은 예상치 못한 인바운드 네트워크 연결에 대해 다음과 같은 실시간 알림을 발생시킵니다.

이 규칙을 뒷받침하는 기본 논리는 쉽게 사용자 정의할 수 있습니다. 간단한 예를 들어보면 다음과 같습니다.

Threat Stack은 또한 포렌식 조사를 지원하기 위해 모든 이벤트 데이터에 대한 자세한 정보를 제공합니다. 예를 들어, 고객은 정의된 기간 내에 주어진 작업에 대한 모든 프로세스 활동을 확인하기 위해 검색을 쉽게 구체화할 수 있습니다.

각 이벤트는 사용자가 UI에서 표시할 수 있는 지원 세부 정보로 뒷받침됩니다. 예를 들어, 위 이미지의 첫 번째 이벤트를 자세히 살펴보면 전체 이벤트 JSON을 볼 수 있습니다.