10/28(金)コンテナクラウドセキュリティで訊かれる「ランタイムセキュリティ」とは?と題してFalcoをSysdigが徹底解説するウェビナーを開催します。ご興味ある方はこちらから
https://go.sysdig.com/20221028JapanWebinar1.html
本シリーズでは、ランタイム脅威検知のデファクトスタンダードであるFalcoの検知Ruleを、1つの記事で1つ簡単に紹介していきます。
ランタイムセキュリティやFalco自体の概要を知りたい方はこちらのブログ記事をご参照ください。
https://go.sysdig.com/20221028JapanWebinar1.html
今回ご紹介する検知Ruleは「Console Login Without MFA」です。
Rule記述
- rule: Console Login Without MFA
desc: Detect a console login without MFA.
condition:
ct.name="ConsoleLogin" and not ct.error exists
and ct.user.identitytype!="AssumedRole"
and json.value[/responseElements/ConsoleLogin]="Success"
and json.value[/additionalEventData/MFAUsed]="No"
output:
Detected a console login without MFA
(requesting user=%ct.user,
requesting IP=%ct.srcip,
AWS region=%ct.region)
priority: CRITICAL
tags:
- cloud
- aws
- aws_console
- aws_iam
source: aws_cloudtrail
Rule概要
CloudTrailプラグインをインストールすることで使用可能になるルールです。
MFA(多要素認証)なしでのAWSマネージメントコンソールへのログインを検知します。
MFAは不正ログインを防ぐために有効な手段であり、AWSでもMFAを設定してAWSリソースを保護することを推奨しています。
AWS IAMを保護する方法については、こちらのブログ記事もご参照ください。
Condition(条件)
ct.name="ConsoleLogin" and not ct.error exists
CloudTrailのイベント名が"ConsoleLogin"で、エラーが発生しておらず、
and ct.user.identitytype!="AssumedRole"
ユーザーのアイデンティティタイプが"AssumedRole"ではなく、
and json.value[/responseElements/ConsoleLogin]="Success"
コンソールログインの結果が"Success"で、
and json.value[/additionalEventData/MFAUsed]="No"
MFA使用が"No"の場合
Output(出力)
MFAなしでのコンソールログインを検知しました。
%ct.user
ユーザー名
%ct.srcip
送信元IPアドレス
%ct.region
AWSリージョン