Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erkennen und Analysieren
Ein Ereignis melden
Sie können über das AWS Security Incident Response Portal ein Sicherheitsereignis auslösen. Es ist wichtig, während eines Sicherheitsereignisses nicht zu warten. AWS Security Incident Response verwendet automatisierte und manuelle Techniken, um Sicherheitsereignisse zu untersuchen, Protokolle zu analysieren und nach anomalen Mustern zu suchen. Ihre Partnerschaft und Ihr Verständnis Ihrer Umgebung beschleunigen diese Analyse.
Aktivierung unterstützter Erkennungsquellen
Anmerkung
AWS Security Incident Response Die Servicekosten beinhalten keine Nutzungs- und sonstigen Kosten und Gebühren im Zusammenhang mit unterstützten Erkennungsquellen oder der Nutzung anderer AWS Dienste. Einzelheiten zu den Kosten finden Sie auf den Seiten der einzelnen Funktionen oder Dienste.
Amazon GuardDuty
Informationen zur Aktivierung GuardDuty in Ihrer gesamten Organisation finden Sie im Setting up GuardDuty Abschnitt des GuardDuty Amazon-Benutzerhandbuchs.
Wir empfehlen Ihnen dringend, alle unterstützten GuardDuty Optionen zu aktivieren AWS-Regionen. Auf diese Weise können GuardDuty Sie auch in Regionen, die Sie nicht aktiv nutzen, Erkenntnisse über unbefugte oder ungewöhnliche Aktivitäten gewinnen. Weitere Informationen finden Sie unter GuardDuty Amazon-Regionen und -Endpunkte
GuardDuty Die Aktivierung ermöglicht AWS Security Incident Response den Zugriff auf wichtige Daten zur Bedrohungserkennung und verbessert so die Fähigkeit, potenzielle Sicherheitsprobleme in Ihrer AWS Umgebung zu erkennen und darauf zu reagieren.
AWS Security Hub CSPM
Security Hub CSPM kann Sicherheitsergebnisse von verschiedenen AWS Diensten und unterstützten Sicherheitslösungen von Drittanbietern aufnehmen. Diese Integrationen können dabei helfen, Ergebnisse anderer Erkennungstools zu AWS Security Incident Response überwachen und zu untersuchen.
Informationen zur Aktivierung von Security Hub CSPM mit Organisationsintegration finden Sie im AWS Security Hub CSPM Benutzerhandbuch.
Es gibt mehrere Möglichkeiten, Integrationen auf Security Hub CSPM zu aktivieren. Für Produktintegrationen von Drittanbietern müssen Sie die Integration möglicherweise bei der erwerben und AWS Marketplace dann konfigurieren. Die Integrationsinformationen enthalten Links, mit denen Sie diese Aufgaben ausführen können. Erfahren Sie mehr darüber, wie Sie AWS Security Hub CSPM Integrationen aktivieren können.
AWS Security Incident Response kann die Ergebnisse der folgenden Tools überwachen und untersuchen, wenn diese integriert AWS Security Hub CSPM sind:
Durch die Aktivierung dieser Integrationen können Sie den Umfang und die Effektivität der Überwachungs- und AWS Security Incident Response Ermittlungsfunktionen erheblich verbessern.
Erkennung
Wenn „Proactive Response“ aktiviert ist, https://docs.aws.amazon.com/security-ir/latest/userguide/setup AWS Security Incident Response nimmt monitoring-and-investigation-workflows .html Ergebnisse von Amazon GuardDuty und AWS Security Hub CSPM anhand von EventBridge Amazon-Regeln auf, die während des Onboardings auf Ihre Konten übertragen werden.
AWS Security Incident Response archiviert automatisch GuardDuty Amazon-Ergebnisse, die während der automatisierten Triage als harmlos eingestuft wurden oder mit erwarteten Aktivitäten in Verbindung stehen. Sie können archivierte Ergebnisse in der GuardDuty Amazon-Konsole anzeigen, indem Sie im Filter Status der Ergebnisse die Option Archiviert auswählen. Weitere Informationen finden Sie im GuardDuty Amazon-Benutzerhandbuch unter Generierte Ergebnisse in der GuardDuty Konsole anzeigen.
AWS Security Incident Response archiviert automatisch GuardDuty Amazon-Ergebnisse, die während der automatisierten Triage als harmlos eingestuft wurden oder mit erwarteten Aktivitäten in Verbindung stehen. Diese Archivierung erfolgt nur für Ergebnisse, die einer Triage unterzogen wurden und deren Ergebnis als „Archiv“ bezeichnet wurde. Ergebnisse, die derzeit untersucht werden, bleiben auch nach Abschluss einer Untersuchung in der GuardDuty Amazon-Konsole sichtbar. Sie können archivierte Ergebnisse in der GuardDuty Amazon-Konsole anzeigen, indem Sie im Ergebnisfilter Archiviert auswählen. Weitere Informationen zur Arbeit mit archivierten Ergebnissen finden Sie unter Arbeiten mit Ergebnissen im GuardDuty Amazon-Benutzerhandbuch.
Bei AWS Security Hub CSPM der Erfassung von Sicherheitsergebnissen aktualisiert das System jedes Ergebnis mit einem Hinweis, dass die automatische Prüfung begonnen hat. Der Workflow-Status ändert sich von NEU in BENACHRICHTIGT, wodurch das Ergebnis aus der Standardansicht der AWS Security Hub CSPM Ergebnisse entfernt wird. Wenn die Triage feststellt, dass ein Ergebnis harmlos ist oder mit einer erwarteten Aktivität zusammenhängt, fügt das System dem Ergebnis eine Notiz hinzu und aktualisiert den Workflow-Status auf UNTERDRÜCKT.
Analyse: Automatisierte Triage
AWS Security Incident Response analysiert automatisch Sicherheitsresultate. Der Triage-Prozess bestimmt, ob die erkannte Aktivität dem erwarteten Verhalten entspricht, indem Daten aus mehreren Quellen analysiert werden, darunter die gefundene Nutzlast, AWS Dienstmetadaten, AWS Protokollierungs- und Überwachungsdaten (wie AWS CloudTrail VPC-Flow-Logs), AWS Bedrohungsinformationen und den Kontext, den Sie zu Ihrer Umgebung AWS und den lokalen Umgebungen angeben müssen.
Wenn die automatische Triage feststellt, dass die erkannte Aktivität zu erwarten ist, ergreift das System keine weiteren Ermittlungsmaßnahmen.
Analyse: Reaktion auf Sicherheitsvorfälle
AWS Security Incident Response Engineering ist ein globales, stets verfügbares Team von Sicherheitsexperten mit Fachwissen in der Reaktion auf Sicherheitsvorfälle AWS und der Reaktion auf Sicherheitsvorfälle. Wenn durch die automatische Triage nicht festgestellt werden kann, dass die Aktivität erwartet wird, wird die AWS Security Incident Response technische Abteilung mit der Durchführung einer Sicherheitsuntersuchung beauftragt. Wenn das Ereignis von Security Hub aufgenommen wurde, wird ein Hinweis zu dem entsprechenden Ergebnis veröffentlicht, dass die Untersuchung durch AWS Security Incident Response Engineering im Gange ist.
AWS Security Incident Response Engineering führt eine praktische Sicherheitsuntersuchung durch, indem es zusätzliche Servicemetadaten und Bedrohungsinformationen analysiert, Erkenntnisse aus früheren Erkenntnissen und Untersuchungen in Ihrer Umgebung überprüft und Fachwissen zur Reaktion auf Vorfälle einsetzt. Abhängig von Ihren Containment-Einstellungen (siehe Contain) kann AWS Security Incident Response Engineering das Incident Response Team Ihres Unternehmens anhand eines Security Incident Response-Falls in der AWS Security Incident Response Konsole kontaktieren, um zu überprüfen, ob die erkannte Aktivität erwartet und autorisiert ist. Reaktion auf einen AWS generierten Fall.
Kommunizieren
AWS Security Incident Response hält Sie bei Sicherheitsuntersuchungen auf dem Laufenden, indem es Ihr Incident Response-Team im Rahmen eines Security Incident Response-Falls kontaktiert. Eine Untersuchung kann von mehreren AWS Security Incident Response Technikern unterstützt werden. Die Kommunikation kann Folgendes umfassen: Bestätigung oder Benachrichtigung über die Einleitung einer Sicherheitsuntersuchung, Einrichtung einer Call Bridge, Analyse von Artefakten wie Protokolldateien, Anfragen zur Bestätigung erwarteter Aktivitäten und Weitergabe von Untersuchungsergebnissen.
Wenn Sie Ihr Incident-Response-Team AWS Security Incident Response proaktiv einbeziehen, wird ein Fall in Ihrem AWS Security Incident Response Mitgliedskonto erstellt, wodurch die Kommunikation für alle Unternehmenskonten an einem Ort zentralisiert wird. Diese Fälle enthalten das Präfix „[Proactive case]“ im Titel, wodurch sie als initiiert von identifiziert werden. AWS Security Incident Response Indem Ihr Incident-Response-Team aktiv auf diese Mitteilungen eingeht und zeitnah darauf reagiert, kann es Sie bei folgenden Aufgaben unterstützen AWS Security Incident Response :
Sorgen Sie für eine schnelle Reaktion auf echte Sicherheitsvorfälle.
Machen Sie sich mit Ihrer Umgebung und den erwarteten Verhaltensweisen vertraut.
Reduzieren Sie im Laufe der Zeit die Anzahl falsch positiver Erkennungen.
Die Effektivität von AWS Security Incident Response verbessert sich mit Ihrer Zusammenarbeit und führt zu einer besser überwachten und sichereren AWS Umgebung.
Aktualisierung der Ergebnisse
AWS Security Incident Response verwaltet Ergebnisse je nach Quelle und Ergebnis der Triage unterschiedlich.
Optimierung der Dienste
Wenn Ihre Kontoservice-Kontingente dies zulassen, AWS Security Incident Response versucht, eine GuardDuty Amazon-Unterdrückungsregel oder eine AWS Security Hub CSPM Automatisierungsregel bereitzustellen. Diese Regeln unterdrücken future Ergebnisse, die dem Typ und der Quelle bekannter autorisierter Aktivitäten entsprechen (z. B. Quell-IP-Adresse, ASN, Identity Principal oder Ressource). AWS Security Hub CSPM Regeln werden mit Priorität 10 bereitgestellt, sodass Sie diese Automatisierungen bei Bedarf mit selbst definierten Regeln außer Kraft setzen können.
Auf diese Weise stimmen Sie die AWS Security Incident Response Erkennungsquellen auf der Grundlage des erwarteten Verhaltens in Ihrer AWS Umgebung ab. Ihr Incident Response Team wird über Änderungen an diesen Regelsätzen informiert, und Änderungen werden auf Anfrage rückgängig gemacht.
