10/28(金)コンテナクラウドセキュリティで訊かれる「ランタイムセキュリティ」とは?と題してFalcoをSysdigが徹底解説するウェビナーを開催します。ご興味ある方はこちらから
https://go.sysdig.com/20221028JapanWebinar1.html
本シリーズでは、ランタイム脅威検知のデファクトスタンダードであるFalcoの検知Ruleを、1つの記事で1つ簡単に紹介していきます。
ランタイムセキュリティやFalco自体の概要を知りたい方はこちらのブログ記事をご参照ください。
今回ご紹介する検知Ruleは「CloudTrail Logging Disabled」です。
Rule記述
- rule: CloudTrail Logging Disabled
desc: The CloudTrail logging has been disabled, this could be potentially malicious.
condition:
ct.name="StopLogging" and not ct.error exists
output:
The CloudTrail logging has been disabled.
(requesting user=%ct.user,
requesting IP=%ct.srcip,
AWS region=%ct.region,
resource name=%ct.request.name)
priority: WARNING
tags:
- cloud
- aws
- aws_cloudtrail
source: aws_cloudtrail
Rule概要
CloudTrailプラグインをインストールすることで使用可能になるルールです。
CloudTrailロギングの無効化を検知します。
AWS CloudTrailは、AWS Management Console、AWS SDK、コマンドラインツール、および上位のAWSサービスを使用して行われたAPIコールを含むアカウントのAWS APIコールの履歴を取得することにより、クラウド上のAWSデプロイメントを監視することができます。
そのため、CloudTrailを無効化すること自体が疑わしい活動と言えます。
CloudTrailロギングを有効化することは、AWSセキュリティのベストプラクティス26選のうちの1つです。ベストプラクティスの詳細については、こちらのブログ記事もご参照ください。
Condition(条件)
ct.name="StopLogging" and not ct.error exists
CloudTrailのイベント名が"StopLogging"で、エラーが発生していない場合
Output(出力)
CloudTrailロギングが無効化されました。
%ct.user
ユーザー名
%ct.srcip
送信元IPアドレス
%ct.region
AWSリージョン
%ct.request.name
リクエストの対象エンティティ名