Bảo mật luôn là một phần quan trọng trong việc vận hành hệ thống trên AWS. Amazon GuardDuty là dịch vụ giúp bạn phát hiện các mối đe dọa tiềm ẩn và bất thường trong môi trường của bạn. Tuy nhiên, việc tự động nhận được thông báo về các mối đe dọa nghiêm trọng (mức high) là điều rất cần thiết để bạn có thể xử lý nhanh chóng.

Trong bài viết này, tôi sẽ hướng dẫn bạn cách cấu hình GuardDuty, CloudWatch Events (EventBridge) và SNS (Simple Notification Service) để nhận thông báo qua email mỗi khi có một cảnh báo high xuất hiện. Bên cạnh đó, chúng ta sẽ xem qua một số ví dụ cụ thể để hiểu rõ hơn.

1. GuardDuty là gì?

Amazon GuardDuty là một dịch vụ phát hiện mối đe dọa dựa trên machine learning, giúp bạn phát hiện và xử lý các hành vi bất thường có thể là dấu hiệu của các cuộc tấn công hoặc vấn đề bảo mật trong tài khoản AWS của bạn.

GuardDuty phân loại các cảnh báo (finding) theo mức độ nghiêm trọng từ low, medium đến high, trong đó mức high đại diện cho các mối đe dọa nghiêm trọng cần được chú ý ngay lập tức.

2. Tự động gửi email khi phát hiện cảnh báo high

Chúng ta sẽ sử dụng Amazon CloudWatch Events (EventBridge) để phát hiện các cảnh báo từ GuardDuty và sử dụng SNS (Simple Notification Service) để gửi thông báo qua email.

Các bước thực hiện:

Bước 1: Tạo SNS Topic và Đăng ký email

• Truy cập vào SNS Console và tạo một SNS Topic mới (ví dụ: GuardDutyHighAlerts).
• Sau khi tạo topic, tạo subscription cho topic này với Protocol là Email và Endpoint là email mà bạn muốn nhận thông báo.
• Kiểm tra hộp thư email để xác nhận đăng ký nhận thông báo.

Bước 2: Tạo CloudWatch Event Rule

• Truy cập vào CloudWatch Console và chọn Rules trong EventBridge.
• Nhấn Create rule.
• Trong Event Source, chọn:
  • Event Source: GuardDuty.
  • Detail Type: GuardDuty Finding.

Bước 3: Cấu hình Event Pattern

• Bạn cần lọc các cảnh báo có mức độ high bằng cách thiết lập Event Pattern như sau:

{
  "source": ["aws.guardduty"],
  "detail-type": ["GuardDuty Finding"],
  "detail": {
    "severity": [8, 9, 10]
  }
}

Mức độ high trong GuardDuty được đại diện bởi các giá trị 8 đến 10.

Bước 4: Liên kết Rule với SNS Topic

• Trong Select targets, chọn SNS Topic mà bạn đã tạo.
• Chọn topic GuardDutyHighAlerts để mỗi khi có cảnh báo mức high, SNS sẽ gửi email đến bạn.
• Nhấn Create rule để hoàn tất quá trình thiết lập.

3. Ví dụ cụ thể về việc nhận thông báo

Dưới đây là một số ví dụ thực tế về cách bạn sẽ nhận được cảnh báo:

Ví dụ 1: Phát hiện địa chỉ IP lạ cố gắng truy cập tài khoản

Giả sử GuardDuty phát hiện một địa chỉ IP bất thường từ nước ngoài đang cố gắng đăng nhập vào tài khoản AWS của bạn. Cảnh báo có thể có mức độ high và bạn sẽ nhận được email với thông tin chi tiết về hành động này, bao gồm địa chỉ IP, dịch vụ bị ảnh hưởng, và thời gian diễn ra.

Ví dụ 2: Phát hiện hành vi bất thường từ EC2 Instance

Một EC2 instance của bạn bị lợi dụng để thực hiện hành vi tấn công mạng (ví dụ: thực hiện tấn công DDoS hoặc gửi spam). GuardDuty sẽ phát hiện điều này và bạn sẽ nhận được cảnh báo ngay lập tức qua email để có thể xử lý kịp thời (ví dụ: tắt instance, điều tra log, khởi động lại).

4. Lợi ích của việc thiết lập thông báo tự động

Việc tự động gửi thông báo khi có cảnh báo mức high mang lại nhiều lợi ích:

• Phản ứng nhanh: Bạn sẽ nắm bắt được các mối đe dọa nghiêm trọng ngay lập tức, giúp giảm thiểu thiệt hại.
• Tăng cường bảo mật: Với các cảnh báo chi tiết, bạn có thể phân tích và tìm cách khắc phục các lỗ hổng bảo mật trong hệ thống.
• Quản lý dễ dàng: Việc sử dụng SNS và CloudWatch Events cho phép bạn quản lý việc thông báo theo yêu cầu và quy trình làm việc của tổ chức.

5. Kết luận

Với việc kết hợp Amazon GuardDuty, CloudWatch Events và SNS, bạn có thể thiết lập một hệ thống cảnh báo bảo mật mạnh mẽ. Nhận thông báo qua email về các cảnh báo mức độ high giúp bạn phản ứng nhanh chóng, bảo vệ hệ thống và dữ liệu quan trọng khỏi các mối đe dọa.

Hy vọng rằng bài viết này sẽ giúp bạn hiểu rõ hơn về cách sử dụng GuardDuty cùng với CloudWatch Events để bảo mật hệ thống của mình một cách hiệu quả. Hãy đảm bảo rằng bạn luôn duy trì các chính sách bảo mật phù hợp để giảm thiểu rủi ro và xử lý nhanh chóng các vấn đề tiềm ẩn!