Apresentando o suporte Threat Stack para AWS Fargate
O Threat Stack agora é F5 Distributed Cloud App Infrastructure Protection (AIP). Comece a usar o Distributed Cloud AIP com sua equipe hoje mesmo .
À medida que os clientes avaliam e projetam novas formas de arquiteturas de contêineres gerenciados, o Threat Stack estará lá para fornecer uma visão detalhada dos sistemas em execução que podem acelerar casos de uso de conformidade avançada e busca por ameaças. Hoje, estamos apresentando a disponibilidade geral do Threat Stack Container Security Monitoring para AWS Fargate, expandindo nossa visão em toda a pilha de segurança da nuvem.
Neste artigo, descreveremos como o novo suporte Fargate do Threat Stack pode aumentar seus controles de segurança AWS existentes e também veremos rapidamente como o alerta e a pesquisa de eventos funcionam para metadados Fargate dentro da Threat Stack Cloud Security Platform®.
Novo agente Fargate de pilha de ameaças
Como cliente, a mesma mecânica básica dos seus fluxos de trabalho do Threat Stack se aplica aos metadados do AWS Fargate para geração de alertas, personalização de regras, busca de ameaças e muito mais. Basta implantar o agente, garantir a conectividade de rede e os dados de segurança começarão a fluir para sua plataforma Threat Stack.
Nosso Fargate Agent é executado como um sidecar e é definido como parte da sua definição de tarefa Fargate no Amazon ECS . O agente monitora dois aspectos principais do seu ambiente de execução Fargate:
- Atividade de processo dentro de contêineres Fargate
- Dados de fluxo de rede dentro e fora das tarefas do Fargate
O Threat Stack fornece mais contexto sobre o Fargate com uma visão completa e em tempo real dos logs do AWS CloudTrail . Os aplicativos aos quais as tarefas do Fargate dão suporte recebem proteção adicional em tempo de execução por meio do Threat Stack Application Security Monitoring para códigos Node.js, Python e Ruby. Embora consolidemos sua visualização desses dados na plataforma do Threat Stack, eles são complementares aos controles de segurança nativos da AWS para suas permissões do Amazon VPC e do AWS IAM .
Metadados Fargate na plataforma Threat Stack
O Threat Stack fornece detecções padrão para atividades do Fargate, incluindo:
- Sessões interativas
- Binários SSHD
- Tentativas de exfiltração de dados
- Conexões de rede inesperadas
Essas regras de detecção disparam alertas em tempo real, como os seguintes, para uma conexão de rede de entrada inesperada:
A lógica subjacente que dá suporte a essa regra é facilmente personalizável. Aqui está um exemplo simplificado:
event_type = "hostlessNetflow" e taskDst = "true" e srcIp != "10.0.0.0/8"
O Threat Stack também fornece uma janela detalhada de todos os dados de eventos para dar suporte a investigações forenses. Por exemplo, os clientes podem refinar facilmente as pesquisas para ver todas as atividades do processo para uma determinada tarefa dentro de um período de tempo definido:
event_type = "hostlessProcess" E agent_id = "7dd63b2d-a41d-11ea-92f9-2741263fc82a" E hora_do_evento <
"1594402575809" E hora_do_evento > "1594402565610"
Cada evento é apoiado por detalhes de suporte, que os usuários podem exibir na IU. Por exemplo, você pode detalhar o primeiro evento na imagem acima para ver o JSON completo do evento:
Experimente você mesmo
Entre em contato com seu gerente de sucesso do cliente ou representante de vendas do Threat Stack para agendar uma demonstração. Os clientes existentes também podem avaliar o Fargate Agent por um período limitado acessando-o via https://registry.hub.docker.com/u/threatstack .
O Threat Stack agora é F5 Distributed Cloud App Infrastructure Protection (AIP). Comece a usar o Distributed Cloud AIP com sua equipe hoje mesmo .