FortiGate集成亚马逊云科技中国区GuardDuty威胁源安全服务

{"value":"亚马逊云科技 GuardDuty服务在亚马逊云科技中国区已发布，本文档介绍亚马逊云科技中国区GuardDuty服务为FortiGate 提供威胁源集成功能。\n\n亚马逊云科技 GuardDuty是一项托管的威胁检测服务，用于监视与亚马逊云科技资源相关的恶意或未经授权的行为/活动。 GuardDuty提供了称为“Findings”的日志，Fortinet提供 “ aws-lambda-GuardDuty”的Lambda脚本，该脚本将来自亚马逊云科技 GuardDuty Findings日志转换为S3存储中的恶意IP地址列表，FortiGate的Fabric SDN connector外部威胁源集成来自GuardDuty 发现的威胁。\n\n要实现GuardDuty威胁源集成，需要订阅亚马逊云科技上GuardDuty，CloudWatch，S3和DynamoDB 服务。\n\n## 一、FortiGate 与GuardDuty威胁源集成工作流程\n亚马逊云科技 的GuardDuty威胁检测服务检测到安全威胁，产生Findings事件\nCloudWatch服务监听Findings事件触发 lambda函数，lambda函数为Fortinet开源的开源代码\nLambda 函数基于GuardDuty事件的威胁源及别生成威胁IP列表和事件ID，存储于DynamoDB\nDynamoDB 产生新记录时触发lambda函数\nLabmda函数把IP记录生成文本文件存储于S3存储桶\n在云上或企业连缘的FortiGate 定时读取S3存储桶威胁源IP列表文件，加载到FortiGate的外部威胁源列表, 从IP层阻断网络威胁\n\n## 二、创建S3存储桶\n存储桶用来存放威协源文本文件，文件内容为IP列表纯文本文件\n\nS3>创建存储桶\n\n\n保存存储桶名称，设置存桶权限为可公开访问，企业边缘或其它区域的FortiGate可只读访问威胁源列表文件。\n\n\n## 三、创建DynamoDB数据库\nDynamoDB数据库用于存储从GuardDuty日志提取的IP列表，每个事件一条数据库记录。\n\nDynamoDB > 创建表\n\nDynamoDB 表包含两个字段\n\n设置管理DynamoDB 管理流\n\n\n记住DynamoDB ARN全名\n\n\n## 四、创建Lambda 权限角色组\n#### 创建S3存储桶权限策略\nIAM>访问管理>策略>创建策略\n\n包含 S3服务下的ListBucket，HeadBucket(此权限在中国区没有) , GetObject , PutObject, pubobjectacl\n\n权限限定只对前面创建的存储桶生效\n\n\n#### 创建DynamoDB 权限策略\nIAM>访问管理>策略>创建策略\n\n包含DynamoDB服务DescribeStream，GetRecords，GetShardIterator， ListStreams，Scan，UpdateItem权限\n\n限定只授权前面创建的DynamoDB表\n\n\n\n#### 创建Lambda权限角色组\nIAM>访问管理>角色>创建角色\n\n授予Lambda服务权限\n\n\n添加Lambda 基本权限策略和 S3,DynamoDB 权限策略\n\n\n\n\n\n## 五 创建DynamoDB 触发器\nDynamoDB 数据记录发生变化时，触发Lambda函数转换为S3列表文件\n\nDynamoDB > 表 > 表名> 触发> 创建触发器\n\n触发函数关联lambda函数\n\n\n## 六 创建Lambda函数\nLambda> 创建函数\n\n用前面创建的权限任务组授权Lambda函数，运行时选node.js 14.0 ，Github 上的Lambda函数要求运行是node.js 8.0 ,亚马逊云科技 中国区已经没有8.0\n\n\n从https://github.com/fortinet/aws-lambda-GuardDuty 下载zip格式代码包，上传到Lambda函数\n\n\n设置Lambda函数运行参数，大小写敏感。\n```\nMIN_SEVERITY\t安全威胁级别，参考值 3\nS3_BUCKET\t 存储桶名字\nS3_BLOCKLIST_KEY\t存在存储桶里的威胁源列表文件名\nREGION\t亚马逊云科技 区域，中国宁夏区或中国北京区\nDDB_TABLE_NAME\tDynamoDB数据库名\n```\n\n\n\n把函数运行时间适当延长，15-30秒\n\n\n## 七 创建CloudWatch规则\nCloudWatch监控GuardDuty生成的Findings安全事件，触发Lambda函数转换Findings为DynamoDB 数据记录\n\nCloudWatch > 规则> 创建规则\n\n规则事件源为GuardDuty Findings，规则类型为事件模式，目标为Lambda函数。\n\n\n## 八 测试产生威胁源\n在Lambda函数测度页面，生成GuardDuty Findings, 生成威胁源数据，修改IP和 ID值 产生威胁源IP\n\nLambda > 函数>测试\n\n```\n{\n \"id\": \"fa9fa4a5-0232-188d-da1c-af410bcfc344\",\n \"detail\": {\n \"service\": {\n \"serviceName\": \"GuardDuty\",\n \"action\": {\n \"networkConnectionAction\": {\n \"connectionDirection\": \"INBOUND\",\n \"remoteIpDetails\": {\n \"ipAddressV4\": \"223.6.6.6\"\n }\n }\n },\n \"additionalInfo\": {\n \"threatListName\": \"GeneratedFindingThreatListName\"\n },\n \"eventLastSeen\": \"2021-04-21T22:12:01.720Z\"\n },\n \"severity\": 3\n }\n}\n```\n#### 执行结果无错误，如果有错误一般是S3或DynamoDB 权限问题。\n\n\n#### 验证DynamoDB 数据库记录\nDynamoDB > 表 > 表名> 项目\n\n#### 验证S3 存储桶威胁源列表文件\nS3 > 存储桶 > 对象\n\n记录此文件的URL https://xxx.amazonaws.com.cn/iplist.txt\n\n## 九 FortiGate集成亚马逊云科技 GuardDuty威胁源\nFortiGate Security Fabric 创建IP地址威胁来源\n\n链接到S3存储桶文件\n\n验证威胁源列表动态同步到FortiGate\n\nFortiGate 的DNS安全、反病毒、web过滤模块调用威胁源从IP层拦截威胁\n\n\n## 本篇作者\n#### 刘瀚文\n产品技术专家，亚马逊云科技产品部网络方向。\n\n#### 岑义涛\nFortinet亚太区产品市场总监, AWS 认证Solutions Architecture- Professional 及 Security- Specialty\n负责Fortinet SD-WAN，SASE，云安全等战略产品在亚太地区的落地与推广。10年以上企业级网络安全和云服务经验。在云、网、安全融合方面有丰富的规划与实践经验。","render":"<p>亚马逊云科技 GuardDuty服务在亚马逊云科技中国区已发布，本文档介绍亚马逊云科技中国区GuardDuty服务为FortiGate 提供威胁源集成功能。</p>\n<p>亚马逊云科技 GuardDuty是一项托管的威胁检测服务，用于监视与亚马逊云科技资源相关的恶意或未经授权的行为/活动。 GuardDuty提供了称为“Findings”的日志，Fortinet提供 “ aws-lambda-GuardDuty”的Lambda脚本，该脚本将来自亚马逊云科技 GuardDuty Findings日志转换为S3存储中的恶意IP地址列表，FortiGate的Fabric SDN connector外部威胁源集成来自GuardDuty 发现的威胁。</p>\n<p>要实现GuardDuty威胁源集成，需要订阅亚马逊云科技上GuardDuty，CloudWatch，S3和DynamoDB 服务。</p>\n<h2><a id=\"FortiGate_GuardDuty_6\"></a>一、FortiGate 与GuardDuty威胁源集成工作流程</h2>\n<p>亚马逊云科技 的GuardDuty威胁检测服务检测到安全威胁，产生Findings事件<br />\nCloudWatch服务监听Findings事件触发 lambda函数，lambda函数为Fortinet开源的开源代码<br />\nLambda 函数基于GuardDuty事件的威胁源及别生成威胁IP列表和事件ID，存储于DynamoDB<br />\nDynamoDB 产生新记录时触发lambda函数<br />\nLabmda函数把IP记录生成文本文件存储于S3存储桶<br />\n在云上或企业连缘的FortiGate 定时读取S3存储桶威胁源IP列表文件，加载到FortiGate的外部威胁源列表, 从IP层阻断网络威胁</p>\n<h2><a id=\"S3_14\"></a>二、创建S3存储桶</h2>\n<p>存储桶用来存放威协源文本文件，文件内容为IP列表纯文本文件</p>\n<p>S3&gt;创建存储桶<br />\n<img src=\"https://dev-media.amazoncloud.cn/b1bed9abf40c4507860809e929ba4a8d_P0.png\" alt=\"P0.png\" /><br />\n<img src=\"https://dev-media.amazoncloud.cn/321c214da7ec4388afbfec529647b428_P1.png\" alt=\"P1.png\" /><br />\n保存存储桶名称，设置存桶权限为可公开访问，企业边缘或其它区域的FortiGate可只读访问威胁源列表文件。<br />\n<img src=\"https://dev-media.amazoncloud.cn/4be3456dd1814ce38b98b15c9f7b4fe0_P3.png\" alt=\"P3.png\" /></p>\n<h2><a id=\"DynamoDB_23\"></a>三、创建DynamoDB数据库</h2>\n<p>DynamoDB数据库用于存储从GuardDuty日志提取的IP列表，每个事件一条数据库记录。</p>\n<p>DynamoDB &gt; 创建表<br />\n<img src=\"https://dev-media.amazoncloud.cn/bb4dfcdfff4f4d988057673b3f644a8a_P4.png\" alt=\"P4.png\" /><br />\nDynamoDB 表包含两个字段<br />\n<img src=\"https://dev-media.amazoncloud.cn/a3ac8933915d45f38c2783bed08035a8_P5.png\" alt=\"P5.png\" /><br />\n设置管理DynamoDB 管理流<br />\n<img src=\"https://dev-media.amazoncloud.cn/94a57df03ef24aa9a36ce01b1b73b954_P6.png\" alt=\"P6.png\" /><br />\n<img src=\"https://dev-media.amazoncloud.cn/7fd337b46c7c406498e803e0883bf6fe_P7.png\" alt=\"P7.png\" /><br />\n记住DynamoDB ARN全名<br />\n<img src=\"https://dev-media.amazoncloud.cn/9c9e08242dda45099188897fad8b3c41_P8.png\" alt=\"P8.png\" /></p>\n<h2><a id=\"Lambda__36\"></a>四、创建Lambda 权限角色组</h2>\n<h4><a id=\"S3_37\"></a>创建S3存储桶权限策略</h4>\n<p>IAM&gt;访问管理&gt;策略&gt;创建策略<br />\n<img src=\"https://dev-media.amazoncloud.cn/ad47d923b2294bdea5a03afba6e39027_P9.png\" alt=\"P9.png\" /><br />\n包含 S3服务下的ListBucket，HeadBucket(此权限在中国区没有) , GetObject , PutObject, pubobjectacl<br />\n<img src=\"https://dev-media.amazoncloud.cn/10a196b6198a494398c8aacc2022e8fc_P10.png\" alt=\"P10.png\" /><br />\n权限限定只对前面创建的存储桶生效<br />\n<img src=\"https://dev-media.amazoncloud.cn/a91707bdb3ca4b379ae57f9e361d57e4_P11.png\" alt=\"P11.png\" /><br />\n<img src=\"https://dev-media.amazoncloud.cn/d8dd43773f2541569b928e4f31423e02_P12.png\" alt=\"P12.png\" /></p>\n<h4><a id=\"DynamoDB__45\"></a>创建DynamoDB 权限策略</h4>\n<p>IAM&gt;访问管理&gt;策略&gt;创建策略</p>\n<p>包含DynamoDB服务DescribeStream，GetRecords，GetShardIterator， ListStreams，Scan，UpdateItem权限<br />\n<img src=\"https://dev-media.amazoncloud.cn/0cfaa8be907640c280b92aa52ad66aa4_P13.png\" alt=\"P13.png\" /><br />\n限定只授权前面创建的DynamoDB表<br />\n<img src=\"https://dev-media.amazoncloud.cn/ab705c89b67f42da8575ace91a4b089f_P14.png\" alt=\"P14.png\" /><br />\n<img src=\"https://dev-media.amazoncloud.cn/d8e17e7e4b7d4cd09eba206ece1c4e92_P15.png\" alt=\"P15.png\" /><br />\n<img src=\"https://dev-media.amazoncloud.cn/46a55d0d39b24e108b1c44f14620e33a_P16.png\" alt=\"P16.png\" /></p>\n<h4><a id=\"Lambda_54\"></a>创建Lambda权限角色组</h4>\n<p>IAM&gt;访问管理&gt;角色&gt;创建角色<br />\n<img src=\"https://dev-media.amazoncloud.cn/aec14261e2ac4e62ab0659bd758e309c_P17.png\" alt=\"P17.png\" /><br />\n授予Lambda服务权限<br />\n<img src=\"https://dev-media.amazoncloud.cn/b10cec938593406d99cd6aa4de1fbc09_P18.png\" alt=\"P18.png\" /></p>\n<p>添加Lambda 基本权限策略和 S3,DynamoDB 权限策略<br />\n<img src=\"https://dev-media.amazoncloud.cn/afe120c86176478fb4af09a25dbdc1aa_P19.png\" alt=\"P19.png\" /><br />\n<img src=\"https://dev-media.amazoncloud.cn/752e045027ba4e829c360db5455076ff_P20.png\" alt=\"P20.png\" /><br />\n<img src=\"https://dev-media.amazoncloud.cn/5b924f39d73e44b2b8526dd18f91e5ae_P21.png\" alt=\"P21.png\" /><br />\n<img src=\"https://dev-media.amazoncloud.cn/762779ed8c7b483ba7d1510c1c5701f1_P22.png\" alt=\"P22.png\" /></p>\n<h2><a id=\"_DynamoDB__66\"></a>五 创建DynamoDB 触发器</h2>\n<p>DynamoDB 数据记录发生变化时，触发Lambda函数转换为S3列表文件</p>\n<p>DynamoDB &gt; 表 &gt; 表名&gt; 触发&gt; 创建触发器<br />\n<img src=\"https://dev-media.amazoncloud.cn/588e67f93867417c859030d057aa8629_P23.png\" alt=\"P23.png\" /><br />\n触发函数关联lambda函数<br />\n<img src=\"https://dev-media.amazoncloud.cn/93b4fc8041e3431f9a3c5e1e855e63a3_P24.png\" alt=\"P24.png\" /></p>\n<h2><a id=\"_Lambda_74\"></a>六 创建Lambda函数</h2>\n<p>Lambda&gt; 创建函数<br />\n<img src=\"https://dev-media.amazoncloud.cn/71af21adadd24d258ba1f3bd4a4e9868_P25.png\" alt=\"P25.png\" /><br />\n用前面创建的权限任务组授权Lambda函数，运行时选node.js 14.0 ，Github 上的Lambda函数要求运行是node.js 8.0 ,亚马逊云科技 中国区已经没有8.0<br />\n<img src=\"https://dev-media.amazoncloud.cn/a29dc72dc4ea4752ab8b5eb8d6efb8e2_P26.png\" alt=\"P26.png\" /></p>\n<p>从https://github.com/fortinet/aws-lambda-GuardDuty 下载zip格式代码包，上传到Lambda函数<br />\n<img src=\"https://dev-media.amazoncloud.cn/e66a8fee6e3c4450838381ef67150a76_P27.png\" alt=\"P27.png\" /></p>\n<p>设置Lambda函数运行参数，大小写敏感。</p>\n<pre><code class=\"lang-\">MIN_SEVERITY\t安全威胁级别，参考值 3\nS3_BUCKET\t 存储桶名字\nS3_BLOCKLIST_KEY\t存在存储桶里的威胁源列表文件名\nREGION\t亚马逊云科技 区域，中国宁夏区或中国北京区\nDDB_TABLE_NAME\tDynamoDB数据库名\n</code></pre>\n<p><img src=\"https://dev-media.amazoncloud.cn/e18729890e9d4b7a9c6fd8d5e658cf93_P28.png\" alt=\"P28.png\" /><br />\n<img src=\"https://dev-media.amazoncloud.cn/6fad3fb0c603422197c245bdeea4acdc_P29.png\" alt=\"P29.png\" /><br />\n<img src=\"https://dev-media.amazoncloud.cn/a79360df4cc34b25827b0f2a497f3426_P30.png\" alt=\"P30.png\" /><br />\n把函数运行时间适当延长，15-30秒<br />\n<img src=\"https://dev-media.amazoncloud.cn/0a1e0a062cc7474aa752e3ee53267788_P31.png\" alt=\"P31.png\" /></p>\n<h2><a id=\"_CloudWatch_97\"></a>七 创建CloudWatch规则</h2>\n<p>CloudWatch监控GuardDuty生成的Findings安全事件，触发Lambda函数转换Findings为DynamoDB 数据记录</p>\n<p>CloudWatch &gt; 规则&gt; 创建规则<br />\n<img src=\"https://dev-media.amazoncloud.cn/362f7c5204cf4ee48e4d854e1ece7a2e_P32.png\" alt=\"P32.png\" /><br />\n规则事件源为GuardDuty Findings，规则类型为事件模式，目标为Lambda函数。<br />\n<img src=\"https://dev-media.amazoncloud.cn/732dff611fc347669cb134554c110903_P33.png\" alt=\"P33.png\" /></p>\n<h2><a id=\"__105\"></a>八 测试产生威胁源</h2>\n<p>在Lambda函数测度页面，生成GuardDuty Findings, 生成威胁源数据，修改IP和 ID值 产生威胁源IP</p>\n<p>Lambda &gt; 函数&gt;测试<br />\n<img src=\"https://dev-media.amazoncloud.cn/b22e24f8792a41a4ac75ac53f5b7ab85_P34.png\" alt=\"P34.png\" /></p>\n<pre><code class=\"lang-\">{\n &quot;id&quot;: &quot;fa9fa4a5-0232-188d-da1c-af410bcfc344&quot;,\n &quot;detail&quot;: {\n &quot;service&quot;: {\n &quot;serviceName&quot;: &quot;GuardDuty&quot;,\n &quot;action&quot;: {\n &quot;networkConnectionAction&quot;: {\n &quot;connectionDirection&quot;: &quot;INBOUND&quot;,\n &quot;remoteIpDetails&quot;: {\n &quot;ipAddressV4&quot;: &quot;223.6.6.6&quot;\n }\n }\n },\n &quot;additionalInfo&quot;: {\n &quot;threatListName&quot;: &quot;GeneratedFindingThreatListName&quot;\n },\n &quot;eventLastSeen&quot;: &quot;2021-04-21T22:12:01.720Z&quot;\n },\n &quot;severity&quot;: 3\n }\n}\n</code></pre>\n<h4><a id=\"S3DynamoDB__133\"></a>执行结果无错误，如果有错误一般是S3或DynamoDB 权限问题。</h4>\n<p><img src=\"https://dev-media.amazoncloud.cn/141bb4fa6aab4c74b7bcbdb285bc31a3_P35.png\" alt=\"P35.png\" /></p>\n<h4><a id=\"DynamoDB__136\"></a>验证DynamoDB 数据库记录</h4>\n<p>DynamoDB &gt; 表 &gt; 表名&gt; 项目<br />\n<img src=\"https://dev-media.amazoncloud.cn/a1d0647e88d9455695187bc0a2ef72a0_P36.png\" alt=\"P36.png\" /></p>\n<h4><a id=\"S3__139\"></a>验证S3 存储桶威胁源列表文件</h4>\n<p>S3 &gt; 存储桶 &gt; 对象<br />\n<img src=\"https://dev-media.amazoncloud.cn/7cdd0c091587448dad17ea55e7d5815a_P37.png\" alt=\"P37.png\" /><br />\n记录此文件的URL https://xxx.amazonaws.com.cn/iplist.txt</p>\n<h2><a id=\"_FortiGate__GuardDuty_144\"></a>九 FortiGate集成亚马逊云科技 GuardDuty威胁源</h2>\n<p>FortiGate Security Fabric 创建IP地址威胁来源<br />\n<img src=\"https://dev-media.amazoncloud.cn/85d7a61f6e3d403a979ff4f0b67955e4_P38.png\" alt=\"P38.png\" /><br />\n链接到S3存储桶文件<br />\n<img src=\"https://dev-media.amazoncloud.cn/a3ed0e1050ff4e4a8c6671316a268de7_P39.png\" alt=\"P39.png\" /><br />\n验证威胁源列表动态同步到FortiGate<br />\n<img src=\"https://dev-media.amazoncloud.cn/ee6ccd6e1d284834a5a68dc1f9a9b6ce_P40.png\" alt=\"P40.png\" /><br />\nFortiGate 的DNS安全、反病毒、web过滤模块调用威胁源从IP层拦截威胁<br />\n<img src=\"https://dev-media.amazoncloud.cn/20be9cc091e0447792f49359391421bd_P41.png\" alt=\"P41.png\" /></p>\n<h2><a id=\"_154\"></a>本篇作者</h2>\n<h4><a id=\"_155\"></a>刘瀚文</h4>\n<p>产品技术专家，亚马逊云科技产品部网络方向。</p>\n<h4><a id=\"_158\"></a>岑义涛</h4>\n<p>Fortinet亚太区产品市场总监, AWS 认证Solutions Architecture- Professional 及 Security- Specialty<br />\n负责Fortinet SD-WAN，SASE，云安全等战略产品在亚太地区的落地与推广。10年以上企业级网络安全和云服务经验。在云、网、安全融合方面有丰富的规划与实践经验。</p>\n"}