本シリーズでは、ランタイム脅威検知のデファクトスタンダードであるFalcoの検知Ruleを、1つの記事で1つ簡単に紹介していきます。
ランタイムセキュリティやFalco自体の概要を知りたい方はこちらのブログ記事をご参照ください。
今回ご紹介する検知Ruleは「Delete Bucket Encryption」です。
Rule記述
- rule: Delete Bucket Encryption
desc: Detect deleting configuration to use encryption for bucket storage.
condition:
ct.name="DeleteBucketEncryption" and not ct.error exists
output:
A encryption configuration for a bucket has been deleted
(requesting user=%ct.user,
requesting IP=%ct.srcip,
AWS region=%ct.region,
bucket=%s3.bucket)
priority: CRITICAL
tags:
- cloud
- aws
- aws_s3
source: aws_cloudtrail
Rule概要
CloudTrailプラグインをインストールすることで使用可能になるルールです。
S3 バケット内の機密データのセキュリティレイヤーを追加するには、サーバー側の暗号化を使用してバケットを構成し、保管中のデータを保護する必要があります。
このルールは、すでに設定されたバケットストレージの暗号化設定の削除を検知します。
S3バケットのサーバーサイド暗号化を有効にすることは、こちらのブログで紹介しているAWSセキュリティのベストプラクティス26選のうちの一つであり、すでに設定された暗号化設定を削除すること自体が不審な活動といえます。
Condition(条件)
ct.name="DeleteBucketEncryption" and not ct.error exists
CloudTrailのイベント名が"DeleteBucketEncryption"で、エラーが発生していない場合
Output(出力)
バケットの暗号化設定が削除されました。
%ct.user
ユーザー名
%ct.srcip
送信元IPアドレス
%ct.region
AWSリージョン
%s3.bucket
S3バケット名