PProfessNet Academy
Amazon AWS — fundamenty/05advanced12 min

Bezpieczeństwo: GuardDuty, Security Hub, IAM Access Analyzer

AWS ma własny zestaw usług bezpieczeństwa. ZEUS ich nie zastępuje — czyta z nich i konsoliduje wyniki z innymi chmurami. Poznajmy trzy najważniejsze.

GuardDuty — wykrywanie zagrożeń

GuardDuty to usługa detekcji oparta o uczenie maszynowe i threat intelligence. Analizuje CloudTrail, VPC Flow Logs i DNS logs, generując findings o podejrzanej aktywności: skompromitowane credentiale, komunikacja z C2, kopanie kryptowalut, rekonesans.

# Włącz GuardDuty w regionie
aws guardduty create-detector --enable

# Lista aktywnych findings
aws guardduty list-findings --detector-id <id> --output table

Findings mają severity (1-8) i typ, np. UnauthorizedAccess:EC2/SSHBruteForce.

Security Hub — jeden zbiór findings

Security Hub agreguje findings z GuardDuty, Inspector, Macie i Access Analyzer w jednym formacie (ASFF). Uruchamia też automatyczne sprawdzenia zgodności z AWS Foundational Security Best Practices, CIS Benchmark i PCI DSS.

aws securityhub enable-security-hub
aws securityhub get-findings \
  --filters '{"SeverityLabel":[{"Value":"CRITICAL","Comparison":"EQUALS"}]}' \
  --output table
UsługaCo wykrywa
GuardDutyaktywne zagrożenia (behawioralne)
Inspectorpodatności CVE w EC2/ECR
Maciewrażliwe dane (PII) w S3
Access Analyzernadmiarowy/zewnętrzny dostęp

IAM Access Analyzer — nadmiarowy dostęp

Access Analyzer wykrywa zasoby (S3, role IAM, KMS, kolejki), które są dostępne z zewnątrz konta lub organizacji — często przez przeoczenie w politykach. Pokazuje też nieużywane uprawnienia, co pomaga zawęzić role.

aws accessanalyzer create-analyzer \
  --analyzer-name org-analyzer --type ORGANIZATION
aws accessanalyzer list-findings --analyzer-arn <arn> --output table

Wskazówka: Access Analyzer to najlepszy sposób na realizację least privilege w praktyce — pokazuje, które uprawnienia faktycznie są używane, a które można odebrać bez ryzyka.

Jak to widzi ZEUS

ZEUS integruje się z tymi usługami przez Boto3 (rola read-only z polityką SecurityAudit). Zaciąga:

  1. findings GuardDuty — do wspólnej kolejki SecOps, obok alertów z Azure Defender i GCP SCC,
  2. findings Security Hub — żeby nie dublować skanów, które AWS już zrobił,
  3. wyniki Access Analyzer — do oceny identity posture i nadmiarowych uprawnień.

Konsolidacja jest sednem wartości ZEUS-a: alert GuardDuty, misconfig Security Hub i nadmiarowa rola z Access Analyzer trafiają do jednej kolejki z jednym modelem priorytetyzacji i mapowaniem MITRE ATT&CK.

W następnej lekcji: kontrola kosztów i tagowanie.