Cómo reportar de manera automática cuando se abusa de la cuenta root en Amazon Web Services (AWS)

Las áreas de Seguridad Informática o Cumplimiento, en ocasiones requiere ser reportadas de manera automática, cuando la cuenta Root de AWS sea usada o en efecto cuando están tratando de hacer login con password incorrecto en la Consola.

Para resolverlo existen 2 maneras de realizarlo; tal como sucede en muchos casos cuando se involucran varios servicios de AWS. Escogeremos la más eficiente y fácil de implementar.

Opción 1

  • Crear un Cloud Trail que envíe todos los eventos a CloudWatch Logs → Logs → Logs Group
  • Crear una Filtro para que los intentos de inicio de sesión se filtre y se cree la métrica.
  • Crear una alarma para monitorear cuando el login de Root ocurre o es fallido.
  • Crear un Topic en SNS para reportar vía email o SMS al equipo de Seguridad de la Información.

    • La solución del caso de uso involucra 4 Servicios como son Cloud Trail -CloudWatch-SNS-S3

    Opción 2

  • Crear un Topic SNS para reportar vía email o SMS.
  • Habilitar Cloud Trail.
  • Crear una Regla de evento en Cloud Watch con el patrón cuando el Login es satisfactorio o fallido.

    • Desventaja Opción 1: El flujo del tráfico tiene mayor interdependencia de varios servicios de AWS que se deben configurar, y adicionalmente esto hace que la alarma necesite en CloudWatch un Datapoint de monitoreo de 5 minutos y envíe la notificación a SNS.

    Por lo anterior, mostraremos la implementación de la opción 1 que nos llevará a los siguientes 4 pasos del gráfico.