Introdução

Depois de um tempo ausente (aprendendo sobre uma poderosa ferramenta de BI e suas consultas xD) volto a criar um post.

Nesse post vou apresentar uma configuração muito interessante para ajudar a acompanhar as configurações de seu ambiente AWS utilizando o Wazuh como ferramenta de front end.

Antes de tudo, vamos entender o CloudTrail da AWS e o Wazuh.

CloudTrail

O CloudTrail é um serviço oferecido pela Amazon Web Services (AWS) que possibilita o monitoramento e o registro de atividades relacionadas às contas e recursos dentro de um ambiente AWS. Ele registra eventos de gerenciamento de recursos e ações realizadas pelos usuários, como o acesso à console de gerenciamento, uso de APIs e modificações em configurações de recursos. Esses registros são armazenados em um bucket do Amazon S3, permitindo o arquivamento seguro e duradouro das informações para fins de auditoria, conformidade e investigação.

Com o CloudTrail, você pode acompanhar e revisar ações realizadas em sua(s) conta(s) AWS, identificar possíveis problemas de segurança, rastrear mudanças em recursos e entender melhor o histórico de atividades, contribuindo para uma administração mais transparente e segura de seus ambientes na nuvem da AWS.

• Link: https://aws.amazon.com/pt/cloudtrail/

Segurança ao bucket com informações do CloudTrail

Configurar de forma granular o acesso ao bucket do CloudTrail é essencial para garantir a segurança e integridade dos registros de atividades na AWS. Ao conceder acesso apenas a usuários realmente importantes, reduz-se o risco de exposição indevida de informações sensíveis e de potenciais violações de segurança.

Isso minimiza a superfície de ataque, mantendo o controle sobre quem pode visualizar e modificar os registros de auditoria. Essa abordagem granular também simplifica a análise de trilhas de auditoria, facilitando a detecção de atividades anômalas e o cumprimento de regulamentações de conformidade. Em última análise, essa configuração cuidadosa ajuda a manter a integridade das informações críticas e a fortalecer a postura geral de segurança da infraestrutura na nuvem.

Com a politica que veremos a seguir, também limitamos o usuário somente ao acesso necessário (minimo privilégio), para em caso de vazamento da chave de acesso, limitar ações que esse usuário possa realizar no ambiente.

Wazuh

O Wazuh é uma plataforma de detecção e resposta a ameaças de código aberto projetada para monitorar a segurança de ambientes de tecnologia da informação. Baseado no Elasticsearch, Logstash e Kibana (ELK), o Wazuh oferece uma ampla gama de recursos para coleta, análise e correlação de dados de segurança em tempo real.

Ele monitora logs de sistemas, aplicativos e dispositivos de rede, identificando atividades suspeitas ou maliciosas por meio de regras pré-configuradas e personalizadas. O Wazuh também fornece alertas em tempo real, visualizações intuitivas e painéis detalhados, permitindo que equipes de segurança e administradores tomem medidas proativas contra ameaças. Sua capacidade de integração com fontes de dados variadas e sua natureza extensível o tornam uma ferramenta valiosa para a detecção precoce de intrusões e para aprimorar a postura geral de segurança cibernética de uma organização.

• Link: https://documentation.wazuh.com/current/installation-guide/wazuh-dashboard/step-by-step.html

Requisitos

1. AWS CLI instalado no ambiente: Link documentação
2. Acess Key e Secret Key para o usuário que criaremos no passo 5: Link documentação

Hands on

1. Crie um bucket. https://s3.console.aws.amazon.com/

2. Nesse exemplo, utilizaremos”cloudtrail-wazuh” para nomear o bucket.

3. Crie uma “Permission Role”: https://console.aws.amazon.com/iamv2/home#/roles

4. Edite essa política para conceder acesso ao bucket que criou anteriormente.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::cloudtrail-wazuh",
                "arn:aws:s3:::cloudtrail-wazuh/*"
            ]
        }
    ]
}

5. Crie um usuário IAM. https://console.aws.amazon.com/iamv2/home#/home

6. Crie uma Acess Key e Secret Key para esse usuário: Link documentação

7. Anexe a política que criou anterior ao usuário.

8. Adicione no arquivo de configuração do Wazuh, as informações sobre o bucket s3.

<wodle name="aws-s3">
  <disabled>no</disabled>
  <interval>5m</interval>
  <run_on_start>yes</run_on_start>
  <skip_on_error>yes</skip_on_error>
  <bucket type="cloudtrail">
    <name>cloudtrail-wazuh</name>
    <aws_profile>default</aws_profile>
  </bucket>
</wodle>

9. Pode ser feito direto no Linux via terminal:

vim /var/ossec/etc/ossec.conf

10. Ou direto pela dashboard do Wazuh. Indo em “Management” e selecionando “Configuration” e “Edit Configuration.

11. Após adicionar a configuração, reinicie o Wazuh Manager

11.1 Terminal:

systemctl restart wazuh-manager

11.2 Wazuh Dashboard

Management > Configuration > Restart Manager

Tudo estando certo, à cada 5 minutos o Wazuh irá realizar a coleta dos dados do Cloutrail.

Para verificar os dados, na home da Dashboard do Wazuh, clique em “Security Events” e em busca (search) filtre por aws.