Datenschutz in Accelerate - AMS Accelerate-Benutzerhandbuch
Überwachen Sie mit Amazon MacieÜberwachen Sie mit GuardDutyÜberwachen Sie mit der Amazon Route 53 Resolver DNS-FirewallDatenverschlüsselung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz in Accelerate

AMS Accelerate nutzt native Tools und Prozesse AWS-Services wie Amazon GuardDuty, Amazon Macie (optional) und andere interne proprietäre Tools und Prozesse, um Ihre verwalteten Konten kontinuierlich zu überwachen. Nach dem Auslösen eines Alarms übernimmt AMS Accelerate die Verantwortung für die erste Auswahl und Reaktion auf den Alarm. Die Reaktionsprozesse von AMS basieren auf NIST-Standards. AMS Accelerate testet gemeinsam mit Ihnen regelmäßig Reaktionsprozesse mithilfe von Security Incident Response Simulation, um Ihren Arbeitsablauf an die bestehenden Sicherheitsreaktionsprogramme für Kunden anzupassen.

Wenn AMS Accelerate einen Verstoß oder die unmittelbare Gefahr eines Verstoßes gegen Ihre Sicherheitsrichtlinien feststellt, sammelt Accelerate Informationen, einschließlich der betroffenen Ressourcen und aller konfigurationsbezogenen Änderungen. AWS AMS Accelerate bietet rund um die Uhr follow-the-sun Support mit engagierten Mitarbeitern, die Überwachungs-Dashboards, Warteschlangen und Serviceanfragen für all Ihre verwalteten Konten aktiv überprüfen und untersuchen. Accelerate untersucht die Ergebnisse zusammen mit internen Sicherheitsexperten, um die Aktivitäten zu analysieren und Sie über die in Ihrem Konto aufgeführten Ansprechpartner für die Sicherheitseskalation zu benachrichtigen.

Auf der Grundlage der Ergebnisse setzt sich Accelerate proaktiv mit Ihnen in Verbindung. Wenn Sie feststellen, dass die Aktivität nicht autorisiert oder verdächtig ist, arbeitet AMS mit Ihnen zusammen, um das Problem zu untersuchen und zu beheben oder einzudämmen. Es gibt bestimmte Arten von Ergebnissen, bei GuardDuty denen Sie die Auswirkungen bestätigen müssen, bevor Accelerate Maßnahmen ergreift. Beispielsweise weist der GuardDuty Befundtyp UnauthorizedAccess:IAMUser/darauf hinConsoleLogin, dass sich einer Ihrer Benutzer von einem ungewöhnlichen Ort aus angemeldet hat. AMS benachrichtigt Sie und bittet Sie, das Ergebnis zu überprüfen, um zu bestätigen, ob dieses Verhalten legitim ist.

Überwachen Sie mit Amazon Macie

AMS Accelerate unterstützt Amazon Macie, und es ist eine bewährte Methode, Amazon Macie zu verwenden, um eine große und umfassende Liste vertraulicher Daten wie persönliche Gesundheitsinformationen (PHI), persönlich identifizierbare Informationen (PII) und Finanzdaten zu erkennen.

Sie können Macie so konfigurieren, dass es regelmäßig auf jedem Amazon S3 S3-Bucket ausgeführt wird. Dadurch wird die Bewertung neuer oder geänderter Objekte innerhalb eines Buckets im Laufe der Zeit automatisiert. Sobald Sicherheitsfeststellungen generiert werden, benachrichtigt AMS Sie und arbeitet mit Ihnen zusammen, um die Sicherheitslücken bei Bedarf zu beheben.

Weitere Informationen finden Sie unter Analysieren der Amazon Macie Macie-Ergebnisse.

Überwachen Sie mit GuardDuty

GuardDuty ist ein Dienst zur kontinuierlichen Sicherheitsüberwachung, der Feeds mit Bedrohungsinformationen wie Listen bösartiger IP-Adressen und Domänen sowie maschinelles Lernen verwendet, um unerwartete und potenziell unautorisierte und bösartige Aktivitäten in Ihrer AWS Umgebung zu identifizieren. Dazu können Probleme wie die Eskalation von Rechten, die Verwendung offengelegter Anmeldeinformationen oder die Kommunikation mit bösartigen IP-Adressen oder Domänen gehören. GuardDuty überwacht das AWS-Konto Zugriffsverhalten auf Anzeichen einer Beeinträchtigung, wie z. B. unautorisierte Infrastrukturbereitstellungen oder Instanzen, die in einer AWS Region bereitgestellt werden, die Sie noch nie genutzt haben. GuardDuty erkennt auch ungewöhnliche API-Aufrufe, wie z. B. eine Änderung der Passwortrichtlinie zur Verringerung der Passwortstärke. Weitere Informationen finden Sie im GuardDuty -Benutzerhandbuch.

Gehen Sie wie folgt vor, um Ihre GuardDuty Ergebnisse einzusehen und zu analysieren:

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Wählen Sie Ergebnisse und dann ein bestimmtes Ergebnis aus, um Details anzuzeigen. Die Details für jedes Ergebnis unterscheiden sich je nach Art des Ergebnisses, den beteiligten Ressourcen und der Art der Aktivität.

Weitere Informationen zu verfügbaren Suchfeldern finden Sie unter GuardDuty Findungsdetails.

Verwenden Sie GuardDuty Unterdrückungsregeln, um Ergebnisse zu filtern

Eine Unterdrückungsregel besteht aus einer Reihe von Kriterien, die aus einem Filterattribut und einem Wert bestehen. Sie können Unterdrückungsregeln verwenden, um Ergebnisse mit geringem Wert zu filtern, auf die Sie nicht reagieren möchten, z. B. falsch positive Ergebnisse oder bekannte Aktivitäten. Durch das Filtern Ihrer Ergebnisse können Sie leichter die Sicherheitsbedrohungen erkennen, die sich möglicherweise am stärksten auf Ihre Umgebung auswirken.

Um Ergebnisse zu filtern, archivieren Unterdrückungsregeln automatisch neue Ergebnisse, die Ihren angegebenen Kriterien entsprechen. Archivierte Ergebnisse werden nicht an AWS Security Hub, Amazon S3 oder CloudTrail Events gesendet. Unterdrückungsfilter reduzieren also Daten, die nicht bearbeitet werden können, wenn Sie GuardDuty Ergebnisse über Security Hub oder eine SIEM-Warn- und Ticketing-Anwendung eines Drittanbieters nutzen.

AMS verfügt über eine Reihe definierter Kriterien zur Identifizierung von Unterdrückungsregeln für Ihre verwalteten Konten. Wenn ein verwaltetes Konto diese Kriterien erfüllt, wendet AMS die Filter an und erstellt eine Serviceanfrage (SR) an Sie, in der der verwendete Unterdrückungsfilter detailliert beschrieben wird.

Sie können mit AMS über einen SR kommunizieren, um die Unterdrückungsfilter zu ändern oder rückgängig zu machen.

Archivierte Ergebnisse anzeigen

GuardDuty generiert weiterhin Ergebnisse, auch wenn diese Ergebnisse Ihren Unterdrückungsregeln entsprechen. Unterdrückte Ergebnisse werden als archiviert markiert. GuardDuty speichert archivierte Ergebnisse 90 Tage lang. Sie können die archivierten Ergebnisse für diese 90 Tage in der GuardDuty Konsole anzeigen, indem Sie in der Tabelle mit den Ergebnissen die Option Archiviert auswählen. Oder zeigen Sie archivierte Ergebnisse über die GuardDuty API an, indem Sie die ListFindingsAPI verwenden, wobei findingCriteria service.archived gleich true ist.

Häufige Anwendungsfälle für Unterdrückungsregeln

Die folgenden Befundtypen haben häufig Anwendungsfälle für die Anwendung von Unterdrückungsregeln.

  • Recon: EC2 /Portscan: Verwenden Sie eine Unterdrückungsregel, um Ergebnisse automatisch zu archivieren, wenn Sie einen autorisierten Schwachstellenscanner verwenden.

  • UnauthorizedAccess:EC2/SSHBruteForce: Verwenden Sie eine Unterdrückungsregel, um Ergebnisse automatisch zu archivieren, wenn sie auf Bastion-Instances abzielen.

  • Recon:EC2/PortProbeUnprotectedPort: Verwenden Sie eine Unterdrückungsregel, um Ergebnisse automatisch zu archivieren, wenn sie auf absichtlich offengelegte Instanzen abzielen.

Überwachen Sie mit der Amazon Route 53 Resolver DNS-Firewall

Amazon Route 53 Resolver reagiert rekursiv auf DNS-Abfragen von AWS Ressourcen für öffentliche Aufzeichnungen, Amazon VPC-spezifische DNS-Namen und private gehostete Zonen von Amazon Route 53 und ist standardmäßig in allen verfügbar. VPCs Mit der Route-53-Resolver-DNS-Firewall können Sie ausgehenden DNS-Datenverkehr für Ihre virtuelle private Cloud (VPCs, Virtual Private Clouds) filtern und regulieren. Dazu erstellen Sie wiederverwendbare Sammlungen von Filterregeln in Regelgruppen der DNS-Firewall, ordnen die Regelgruppen Ihrer VPC zu und überwachen dann Aktivitäten in DNS-Firewall-Protokollen und -Metriken. Je nach Aktivität können Sie das Verhalten der DNS-Firewall entsprechend anpassen. Weitere Informationen finden Sie unter Verwenden der DNS-Firewall zum Filtern von ausgehendem DNS-Verkehr.

Gehen Sie wie folgt vor, um Ihre Route 53 Resolver DNS-Firewall-Konfiguration anzuzeigen und zu verwalten:

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie unter DNS-Firewall die Option Regelgruppen aus.

  3. Überprüfen, bearbeiten oder löschen Sie Ihre bestehende Konfiguration oder erstellen Sie eine neue Regelgruppe. Weitere Informationen finden Sie unter So funktioniert die Route 53 Resolver DNS Firewall.

Amazon Route 53 Resolver DNS-Firewall-Überwachung und Sicherheit

Die Amazon Route 53 DNS-Firewall verwendet die Konzepte Regelzuordnungen, Regelaktion und Regelauswertungspriorität. Eine Domainliste ist ein wiederverwendbarer Satz von Domainspezifikationen, die Sie in einer DNS-Firewall-Regel innerhalb einer Regelgruppe verwenden. Wenn Sie eine Regelgruppe mit einer VPC verknüpfen, vergleicht die DNS-Firewall Ihre DNS-Abfragen mit den Domainlisten, die in den Regeln verwendet werden. Wenn die DNS-Firewall eine Übereinstimmung findet, verarbeitet sie die DNS-Abfrage entsprechend der Aktion der Abgleichsregel. Weitere Informationen zu Regelgruppen und Regeln finden Sie unter Regelgruppen und Regeln für die DNS-Firewall.

Domainlisten lassen sich in zwei Hauptkategorien einteilen:

  • Verwaltete Domainlisten, die für Sie AWS erstellt und verwaltet werden.

  • Ihre eigenen Domainlisten, die Sie erstellen und verwalten.

Regelgruppen werden anhand ihres Zuordnungsprioritätsindex bewertet.

Standardmäßig stellt AMS eine Basiskonfiguration bereit, die aus der folgenden Regel und Regelgruppe besteht:

  • Eine Regelgruppe mit dem NamenDefaultSecurityMonitoringRule. Die Regelgruppe hat die höchste Zuordnungspriorität, die zum Zeitpunkt der Erstellung für jede vorhandene VPC in jeder aktivierten AWS-Region Version verfügbar ist.

  • Eine Regel DefaultSecurityMonitoringRule mit Priorität 1 innerhalb der DefaultSecurityMonitoringRule Regelgruppe, die die Liste der AWSManagedDomainsAggregateThreatList verwalteten Domänen mit der Aktion ALERT verwendet.

Wenn Sie über eine bestehende Konfiguration verfügen, wird die Basiskonfiguration mit einer niedrigeren Priorität als Ihre bestehende Konfiguration bereitgestellt. Ihre bestehende Konfiguration ist die Standardkonfiguration. Sie verwenden die AMS-Basiskonfiguration als Sammellösung, wenn Ihre bestehende Konfiguration keine Anweisung mit höherer Priorität zum Umgang mit der Abfrageauflösung enthält. Gehen Sie wie folgt vor, um die Basiskonfiguration zu ändern oder zu entfernen:

  • Wenden Sie sich an Ihren Cloud Service Delivery Manager (CSDM) oder Cloud Architect (CA).

  • Erstellen Sie eine Serviceanfrage.

Datenverschlüsselung in AMS Accelerate

AMS Accelerate verwendet mehrere AWS-Services zur Datenverschlüsselung.

Amazon Simple Storage Service bietet mehrere Objektverschlüsselungsoptionen, die Daten während der Übertragung und im Speicher schützen. Bei der serverseitigen Verschlüsselung wird das Objekt verschlüsselt, bevor es auf Datenträgern im Rechenzentrum gespeichert wird. Wenn die Objekte heruntergeladen werden, werden sie wieder entschlüsselt. Wenn Sie Ihre Anforderung authentifizieren und Zugriffsberechtigungen besitzen, gibt es in Bezug auf die Art und Weise, wie Sie auf verschlüsselte oder nicht verschlüsselte Objekte zugreifen, keinen Unterschied. Weitere Informationen finden Sie unter Datenschutz in Amazon S3.