Cloud Console Cartographer, güvenlik uygulayıcılarının gürültüyü ortadan kaldırmasına ve ortamlarındaki konsol davranışını anlamalarına yardımcı olmak için gürültülü günlük etkinliğini yüksek düzeyde birleştirilmiş, kısa ve öz olaylarla eşleştiren açık kaynaklı bir araçtır.
“Kod olarak altyapı, birçok kuruluş için konsol erişimi ihtiyacının büyük bir kısmının yerini aldı, ancak hâlâ konsolun kullanıldığı birçok örnek var ve bazı durumlarda, belirli eylemleri gerçekleştirmek için AWS konsolunu kullanmanız gerekiyor. Permiso’nun Baş Tehdit Araştırmacısı Daniel Bohannon, Help Net Security’ye verdiği demeçte, Cloud Console Cartographer’ın bu konsol oturumları tarafından günlüklerde üretilen gürültüyü ortadan kaldırdığını söyledi.
Kullanıcılar AWS konsoluna erişip IAM → Kullanıcılar’a tıkladığında, bu tek eylem 300’den fazla CloudTrail olayı oluşturur. CloudTrail’de gösterilen konsol etkinlikleri, kullanıcı arayüzünde görüntülenenleri nihai olarak dolduran API çağrılarıdır. Bu nedenle bir konsol oturumu, gerçek girdilerden veya eylemlerden (bir IAM ana sayfasına tıklamak gibi) çok daha fazla olaya sahip olabilir ve bu olaylar hiçbir zaman kullanıcının eylemleriyle açıkça ilişkilendirilmez.
Bu günlükleri inceleyerek CloudTrail’de aşağıdaki gibi olaylar görebilirsiniz: iam:ListMFADihazlar veya iam:ErişimKeylerini Listele. Bu kullanıcı kullanıcı arayüzünde MFA cihazlarını veya Erişim Anahtarlarını listelemek için herhangi bir işlem yapmadığından bu durum kafa karıştırıcı olabilir. Bu kullanıcı IAM ana sayfasını tıkladı ve bu, söz konusu bilgilerin konsol kullanıcı arayüzüne doldurulması için bu etkinlikleri tetikledi.
Güvenlik profesyonelleri, bir kullanıcı tarafından açıkça çağrılan API çağrılarını, konsol kullanıcı arayüzünde yürütülen davranışı veya eylemleri desteklemek için olaylar oluşturan ikincil API çağrılarından ayırmaya çalışmak zorunda kalıyor. Konsol ve diğer kullanıcı arayüzlerinden yararlanan tehdit aktörleri, bu günlük verilerinin olay müdahale ekipleri ve mavi ekip çalışanları için ne kadar kafa karıştırıcı olabileceği bilinerek gözlemlendi.
Cloud Console Cartographer, ham olayları bir günlükte işler ve CloudTrail’de gördükleri 17 olaydan oluşan bir diziyi (örneğin, kullanıcı arayüzündeki belirli bir düğmeyi tıklatan biri gibi) belirleyip gruplayabilir. Hatta tıklamanın gerçekleştiği sırada etkin olan grupların, ilkelerin, rollerin veya erişim anahtarlarının adları gibi kullanıcının konsolda gördükleri hakkında daha fazla bağlam sağlamak için bu ikincil olaylardan gelen ek verileri bile ayrıştırır. Bu olayları ilişkilendirme ve tekil eylemlere indirgeme yeteneği, güvenlik ekiplerinin konsolda hangi etkinliğin gerçekleştirildiğini hızlı bir şekilde anlamalarına yardımcı olur; bu, günümüzde yapılması zor bir şeydir.
Cloud Console Cartographer, GitHub’da ücretsiz olarak kullanılabilir.
Okumalısınız: