Kuruluşların operasyonları için bulut altyapısına daha fazla bağımlı olması nedeniyle kurumsal savunucular, bulut ortamlarını izlemelerine ve çok fazla hasara yol açmadan önce tehdit aktörlerini tespit etmelerine yardımcı olabilecek araçlara ihtiyaç duyuyor. CloudGrappler, tehdit aktörleri tarafından kullanılan taktikleri, teknikleri ve prosedürleri (TTP’ler) aramak üzere kuruluşun Azure ve Amazon Web Hizmetleri ortamlarını taramak üzere tasarlanmış, Permiso’nun açık kaynaklı bir aracıdır.
Güvenlik ekipleri, taramaya dahil edilmesi gereken veri kaynaklarının bir listesini ve bulut tehdit aktörleri tarafından yaygın olarak kullanılan önceden tanımlanmış TTP’lerin bir listesini tanımlar ve CloudGrappler, bulduğu her şeyin ayrıntılı bir dökümünü içeren bir JSON raporu sunmak için günlükleri ve diğer olay verilerini tarar. Güvenlik ekibi ayrıca giriş dosyasına dinamik olarak yeni sorgular ekleyebilir, birden çok sorgu içeren yeni bir giriş dosyası oluşturabilir ve sonuçları tarih aralığı ve dosya boyutu gibi kriterlere göre filtrelemenin yollarını tanımlayabilir.
CloudGrappler, bulut ortamlarını sorgulamak için orijinal olarak Cado Security tarafından geliştirilen cloudgrep’i kullanır.
Araç, zaman damgaları, kaynak adları ve dosya yolları gibi ilgili meta verileri yakalar. Tarama tamamlandığında CloudGrappler, ilgili tehdit aktörü, şiddet düzeyi ve risk değerlendirmesiyle ilgili ayrıntılar da dahil olmak üzere, tespit edilen olaylarla ilgili bağlam sağlamak için sonuçları Permiso’nun tehdit istihbaratı verileriyle ilişkilendirir. Permiso, tarama aracının belirli tehdit aktörlerini sorgulayabildiğini, tekil olayları arayabildiğini veya ayrıntılı olay analizi sağlayabileceğini söyledi.