FortiGate集成亚马逊云科技中国区GuardDuty威胁源安全服务
亚马逊云科技 GuardDuty服务在亚马逊云科技中国区已发布,本文档介绍亚马逊云科技中国区GuardDuty服务为FortiGate 提供威胁源集成功能。
亚马逊云科技 GuardDuty是一项托管的威胁检测服务,用于监视与亚马逊云科技资源相关的恶意或未经授权的行为/活动。 GuardDuty提供了称为“Findings”的日志,Fortinet提供 “ aws-lambda-GuardDuty”的Lambda脚本,该脚本将来自亚马逊云科技 GuardDuty Findings日志转换为S3存储中的恶意IP地址列表,FortiGate的Fabric SDN connector外部威胁源集成来自GuardDuty 发现的威胁。
要实现GuardDuty威胁源集成,需要订阅亚马逊云科技上GuardDuty,CloudWatch,S3和DynamoDB 服务。
一、FortiGate 与GuardDuty威胁源集成工作流程
- 亚马逊云科技 的GuardDuty威胁检测服务检测到安全威胁,产生Findings事件
- CloudWatch服务监听Findings事件触发 lambda函数,lambda函数为Fortinet开源的开源代码
- Lambda 函数基于GuardDuty事件的威胁源及别生成威胁IP列表和事件ID,存储于DynamoDB
- DynamoDB 产生新记录时触发lambda函数
- Labmda函数把IP记录生成文本文件存储于S3存储桶
- 在云上或企业连缘的FortiGate 定时读取S3存储桶威胁源IP列表文件,加载到FortiGate的外部威胁源列表, 从IP层阻断网络威胁
二、创建S3存储桶
存储桶用来存放威协源文本文件,文件内容为IP列表纯文本文件
S3>创建存储桶
保存存储桶名称,设置存桶权限为可公开访问,企业边缘或其它区域的FortiGate可只读访问威胁源列表文件。
三、创建DynamoDB数据库
DynamoDB数据库用于存储从GuardDuty日志提取的IP列表,每个事件一条数据库记录。
DynamoDB > 创建表
DynamoDB 表包含两个字段
设置管理DynamoDB 管理流
记住DynamoDB ARN全名
四、创建Lambda 权限角色组
创建S3存储桶权限策略
IAM>访问管理>策略>创建策略
包含 S3服务下的ListBucket,HeadBucket(此权限在中国区没有) , GetObject , PutObject, pubobjectacl
权限限定只对前面创建的存储桶生效
创建DynamoDB 权限策略
IAM>访问管理>策略>创建策略
包含DynamoDB服务DescribeStream,GetRecords,GetShardIterator, ListStreams,Scan,UpdateItem权限
限定只授权前面创建的DynamoDB表
创建Lambda权限角色组
IAM>访问管理>角色>创建角色
授予Lambda服务权限
添加Lambda 基本权限策略和 S3,DynamoDB 权限策略
五 创建DynamoDB 触发器
DynamoDB 数据记录发生变化时,触发Lambda函数转换为S3列表文件
DynamoDB > 表 > 表名> 触发> 创建触发器
触发函数关联lambda函数
六 创建Lambda函数
Lambda> 创建函数
用前面创建的权限任务组授权Lambda函数,运行时选node.js 14.0 ,Github 上的Lambda函数要求运行是node.js 8.0 ,亚马逊云科技 中国区已经没有8.0
从https://github.com/fortinet/aws-lambda-GuardDuty 下载zip格式代码包,上传到Lambda函数
设置Lambda函数运行参数,大小写敏感。
把函数运行时间适当延长,15-30秒
七 创建CloudWatch规则
CloudWatch监控GuardDuty生成的Findings安全事件,触发Lambda函数转换Findings为DynamoDB 数据记录
CloudWatch > 规则> 创建规则
规则事件源为GuardDuty Findings,规则类型为事件模式,目标为Lambda函数。
八 测试产生威胁源
在Lambda函数测度页面,生成GuardDuty Findings, 生成威胁源数据,修改IP和 ID值 产生威胁源IP
Lambda > 函数>测试
执行结果无错误,如果有错误一般是S3或DynamoDB 权限问题。
验证DynamoDB 数据库记录
DynamoDB > 表 > 表名> 项目
验证S3 存储桶威胁源列表文件
S3 > 存储桶 > 对象
记录此文件的URL https://xxx.amazonaws.com.cn/iplist.txt
九 FortiGate集成亚马逊云科技 GuardDuty威胁源
FortiGate Security Fabric 创建IP地址威胁来源
链接到S3存储桶文件
验证威胁源列表动态同步到FortiGate
FortiGate 的DNS安全、反病毒、web过滤模块调用威胁源从IP层拦截威胁
本篇作者
相关文章
- Jgit的使用笔记
- 利用Github Action实现Tornadofx/JavaFx打包
- 叹息!GitHub Trending 即将成为历史!
- 微软软了?开源社区讨论炸锅,GitHub CEO 亲自来答
- GitHub Trending 列表频现重复项,前后端都没去重?
- Photoshop Elements 2021版本软件安装教程(mac+windows全版本都有)
- (ps全版本)Photoshop 2020的安装与破解教程(mac+windows全版本都有)
- (ps全版本)Photoshop cc2018的安装与破解教程(mac+windows全版本,包括2023
- 环境搭建:Oracle GoldenGate 大数据迁移到 Redshift/Flat file/Flume/Kafka测试流程
- 每个开发人员都要掌握的:最小 Linux 基础课
- 来撸羊毛了!Windows 环境下 Hexo 博客搭建,并部署到 GitHub Pages
- 超实用!手把手入门 MongoDB:这些坑点请一定远离
- 【GitHub日报】22-10-09 zustand、neovim、webtorrent、express 等4款App今日上新
- 【GitHub日报】22-10-10 brew、minio、vite、seaweedfs、dbeaver 等8款App今日上新
- 【GitHub日报】22-10-11 cobra、grafana、vue、ToolJet、redwood 等13款App今日上新
- Photoshop 2018 下载及安装教程(mac+windows全版本都有,包括最新的2023)
- Photoshop 2017 下载及安装教程(mac+windows全版本都有,包括最新的2023)
- Photoshop 2020 下载及安装教程(mac+windows全版本都有,包括最新的2023)
- Photoshop 2023 资源免费下载(mac+windows全版本都有,包括最新的2023)
- 最新版本Photoshop CC2018软件安装教程(mac+windows全版本都有,包括2023