# SEC 4. Wie erkennen und untersuchen Sie Sicherheitsereignisse?
<a name="sec-04"></a>

Erfassen und analysieren Sie Ereignisse mithilfe von Protokollen und Kennzahlen, um Einblick zu erhalten. Ergreifen Sie Maßnahmen bei Sicherheitsereignissen und potenziellen Bedrohungen, um Ihren Workload zu schützen.

**Topics**
+ [SEC04-BP01 Konfigurieren der Service- und Anwendungsprotokollierung](sec_detect_investigate_events_app_service_logging.md)
+ [SEC04-BP02 Erfassen von Protokollen, Erkenntnissen und Metriken an standardisierten Orten](sec_detect_investigate_events_logs.md)
+ [SEC04-BP03 Korrelieren und Anreichern von Sicherheitswarnmeldungen](sec_detect_investigate_events_security_alerts.md)
+ [SEC04-BP04 Initiieren von Abhilfemaßnahmen für nicht konforme Ressourcen](sec_detect_investigate_events_noncompliant_resources.md)

# SEC04-BP01 Konfigurieren der Service- und Anwendungsprotokollierung
<a name="sec_detect_investigate_events_app_service_logging"></a>

Bewahren Sie Protokolle zu Sicherheitsereignissen von Services und Anwendungen auf. Dies ist ein grundlegendes Sicherheitsprinzip für Prüfungs-, Untersuchungs- und betriebliche Anwendungsfälle und eine übliche Sicherheitsanforderung gemäß Governance-, Risiko- und Compliance (GRC)-Standards, -Richtlinien und -Prozeduren.

 **Gewünschtes Ergebnis:** Eine Organisation sollte in der Lage sein, Sicherheitsereignisprotokolle in zuverlässiger und konsistenter Weise sowie zeitnah aus AWS-Services und -Anwendungen abzurufen, wenn diese für einen internen Prozess oder eine Verpflichtung wie etwa die Reaktion auf einen Sicherheitsvorfall benötigt werden. Erwägen Sie die Zentralisierung von Protokollen für bessere betriebliche Ergebnisse. 

 **Typische Anti-Muster:** 
+  Protokolle werden dauerhaft gespeichert oder zu früh gelöscht. 
+  jeder kann auf die Protokolle zugreifen. 
+  Nutzung ausschließlich manueller Prozesse für die Verwaltung und Verwendung von Protokollen 
+  Speichern aller Arten von Protokollen nur für den Fall, dass sie benötigt werden 
+  Prüfung der Protokollintegrität nur bei Bedarf 

 **Vorteile der Nutzung dieser bewährten Methode:** Implementieren Sie einen Mechanismus für die Ursachenanalyse (RCA) für Sicherheitsvorfälle sowie eine Evidenzquelle für Ihre Governance-, Risiko- und Compliance-Anforderungen. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Bei einer Sicherheitsuntersuchung oder in anderen bedarfsabhängigen Anwendungsfällen müssen Sie relevante Protokolle konsultieren können, um alle Aspekte und den Zeitrahmen des Vorfalls zu verstehen. Protokolle werden auch für die Generierung von Alarmen benötigt, die darauf hinweisen, dass bestimmte Ereignisse vorgekommen sind. Es ist sehr wichtig, Abfrage-, Abruf- sowie Benachrichtigungsmechanismen auszuwählen, zu aktivieren, zu speichern und einzurichten. 

 **Implementierungsschritte** 
+  **Wählen und aktivieren Sie Protokollquellen.** Vor einer Sicherheitsuntersuchung müssen Sie relevante Protokolle erfassen, um die Aktivitäten in einem AWS-Konto retroaktiv rekonstruieren zu können. Wählen und aktivieren Sie für Ihre Workloads relevante Protokollquellen. 

   Die Kriterien für die Auswahl der Protokollquelle sollten auf den Anwendungsfällen Ihres Unternehmens basieren. Richten Sie einen Trail für jedes AWS-Konto mit AWS CloudTrail oder einen AWS Organizations-Trail ein, und konfigurieren Sie dafür einen Amazon S3-Bucket. 

   AWS CloudTrail ist ein Protokollservice, der API-Aufrufe an ein AWS-Konto verfolgt und AWS-Serviceaktivitäten erfasst. Dieser ist standardmäßig mit einer 90-tägigen Aufbewahrung von Managementereignissen aktiviert, die [über den CloudTrail-Ereignisverlauf](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) mit der AWS-Managementkonsole, der AWS CLI oder einem AWS-SDK abgerufen werden können. Für längere Aufbewahrungszeiten und Abrufbarkeit von Datenereignissen [erstellen Sie einen CloudTrail-Trail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) und verbinden diesen mit einem Amazon S3-Bucket sowie optional mit einer Amazon CloudWatch-Protokollgruppe. Sie können auch einen [CloudTrail-Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) erstellen, der CloudTrail-Protokolle bis zu sieben Jahre lang aufbewahrt und eine SQL-basierte Abfragemöglichkeit bietet. 

   AWS empfiehlt, dass Kunden, die eine VPC nutzen, Netzwerkdatenverkehr- und DNS-Protokolle mit [VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) und [Amazon Route 53 Resolver Query Logs](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html) einrichten und diese per Stream zu einem Amazon S3-Bucket oder einer CloudWatch-Protokollgruppe leiten. Sie können ein VPC-Flow-Protokoll für eine VPC, ein Subnetz oder eine Netzwerkschnittstelle erstellen. Für VPC-Flow-Protokolle können Sie wählen, wie und wo Flow-Protokolle verwendet werden sollen, um Kosten zu sparen. 

   AWS CloudTrail-Protokolle, VPC-Flow-Protokolle und Route 53 Resolver Query Logs sind die grundlegenden Protokollquellen zur Unterstützung von Sicherheitsuntersuchungen in AWS. Sie können auch [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) verwenden, um diese Protokolldaten zu erfassen, zu normalisieren und im Apache Parquet-Format und mit dem Open Cybersecurity Schema Framework (OCSF) zu speichern, das Abfragen ermöglicht. Security Lake unterstützt auch andere AWS-Protokolle sowie Protokolle aus Drittquellen. 

   AWS-Services können Protokolle generieren, die von den grundlegenden Protokollquellen nicht erfasst werden, wie etwa Protokolle von Elastic Load Balancing, AWS WAF-Protokolle, Recorder-Protokolle von AWS Config, Amazon GuardDuty-Ergebnisse, Amazon Elastic Kubernetes Service (Amazon EKS)-Prüfprotokolle sowie Instance-Betriebssystem- und Anwendungsprotokolle von Amazon EC2. Eine vollständige Liste von Protokoll- und Überwachungslösungen finden Sie unter [Anhang A: Cloud Capability-Definitionen – Protokollierung und Ereignisse](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/logging-and-events.html) in der [Anleitung zur Reaktion auf AWS-Sicherheitsvorfälle](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html). 
+  **Untersuchen Sie die Protokollierungsmöglichkeiten für jede(n) AWS-Service und -Anwendung:** Jede(r) AWS-Service und -Anwendung bietet Optionen für die Speicherung von Protokollen, jeweils mit eigenen Aufbewahrungs- und Lebenszyklus-Funktionen. Die beiden verbreitetsten Protokollspeicherservices sind Amazon Simple Storage Service (Amazon S3) und Amazon CloudWatch. Für lange Aufbewahrungszeiten wird die Verwendung von Amazon S3 empfohlen, wegen seiner Kosteneffektivität und der flexiblen Lebenszyklus-Funktionen. Wenn die primäre Protokollierungsoption Amazon CloudWatch-Protokolle sind, sollten Sie erwägen, weniger häufig benötigte Protokolle in Amazon S3 zu archivieren. 
+  **Wählen Sie den Protokollspeicher:** Die Wahl des Protokollspeichers hängt generell vom verwendeten Abfragetool, den Aufbewahrungsfunktionen, der Vertrautheit damit und den Kosten ab. Die wichtigsten Optionen für die Protokollspeicherung sind ein Amazon S3-Bucket oder eine CloudWatch-Protokollgruppe. 

   Ein Amazon S3-Bucket bietet kosteneffektiven und dauerhaften Speicher mit optionaler Lebenszyklusrichtlinie. In Amazon S3-Buckets gespeicherte Protokolle können mit Services wie Amazon Athena abgefragt werden. 

   Eine CloudWatch-Protokollgruppe bietet dauerhaften Speicher und eine integrierte Abfragemöglichkeit über CloudWatch Logs Insights. 
+  **Legen Sie die benötigte Aufbewahrungszeit für Protokolle fest:** Wenn Sie einen Amazon S3-Bucket oder eine CloudWatch-Protokollgruppe für die Speicherung von Protokollen verwenden, müssen Sie adäquate Lebenszyklen für jede Protokollquelle einrichten, um Speicher- und Abrufkosten zu optimieren. Normalerweise haben Kunden Protokolle zwischen drei Monaten bis einem Jahr für Abfragen verfügbar, bei einer Gesamtaufbewahrungszeit von bis zu sieben Jahren. Die Wahl von Verfügbarkeit und Aufbewahrungszeit sollte sich nach Ihren Sicherheitsanforderungen und einer Kombination aus gesetzlichen, regulatorischen und unternehmensinternen Vorschriften richten. 
+  **Aktivieren Sie die Protokollierung für jede(n) AWS-Service und -Anwendung mit korrekten Aufbewahrungs- und Lebenszyklusrichtlinien:** Suchen Sie für jeden AWS-Service oder jede AWS-Anwendung in Ihrer Organisation nach den entsprechenden Anleitungen zur Protokollkonfiguration: 
  + [ Konfigurieren eines AWS CloudTrail-Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
  + [Konfigurieren von VPC-Flow-Protokollen](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
  + [ Konfigurieren des Amazon GuardDuty-Ergebnisexports](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html)
  + [ Konfigurieren der AWS Config-Aufzeichnung](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-config.html)
  + [ Konfigurieren des Web-ACL-Datenverkehrs von AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html)
  + [ Konfigurieren der Netzwerkdatenverkehrsprotokolle von AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html)
  + [ Konfigurieren der Zugriffsprotokolle von Elastic Load Balancing](https://docs.aws.amazon.com/) 
  + [ Konfigurieren von Resolver-Query-Protokollen von Amazon Route 53 ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html)
  + [ Konfigurieren von Amazon RDS-Protokollen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.html)
  + [ Konfigurieren von Amazon EKS-Steuerebenenprotokollen](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html)
  + [ Konfigurieren eines Amazon CloudWatch-Agenten für Amazon EC2-Instances und On-Premises-Server](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
+  **Wählen und implementieren Sie Abfragemechanismen für Ihre Protokolle:** Für Protokollabfragen können Sie [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) für in CloudWatch-Protokollgruppen gespeicherte Daten sowie [Amazon Athena](https://aws.amazon.com/athena/) und [Amazon OpenSearch Service](https://aws.amazon.com/opensearch-service/) für in Amazon S3 gespeicherte Daten verwenden. Sie können auch Abfragetools von Drittanbietern wie etwa den SIEM (Security Information and Event Management)-Service verwenden. 

   Bei der Auswahl eines Tools zur Protokollabfrage sollten Sie die Personen, die Prozesse und die Technologieaspekte Ihrer Sicherheitsoperationen berücksichtigen. Wählen Sie ein Tool, das betriebliche, geschäftliche und sicherheitsrelevante Aspekte berücksichtigt und langfristig sowohl zugänglich als auch wartbar ist. Denken Sie daran, dass Tools zur Protokollabfrage optimal funktionieren, wenn die Anzahl der zu durchsuchenden Protokolle im Rahmen der Limits des jeweiligen Tools liegt. Es ist nicht ungewöhnlich, aus Kostengründen oder aufgrund technischer Einschränkungen mehrere Abfragetools zu verwenden. 

   Beispielsweise können Sie ein SIEM-Tool eines Drittanbieters für Abfragen der letzten 90 Datentage, aber aufgrund der Protokollerfassungskosten für SIEM Athena für Abfragen verwenden, die darüber hinaus gehen. Prüfen Sie unabhängig von der Implementierung, ob Ihr Konzept die Anzahl der für die Maximierung der operationalen Effizienz erforderlichen Tools minimiert, besonders für Untersuchungen von Sicherheitsvorfällen. 
+  **Verwenden Sie Protokolle für Benachrichtigungen:** AWS bietet verschiedene Benachrichtigungsmöglichkeiten über mehrere Sicherheitsservices: 
  +  [AWS Config](https://aws.amazon.com/config/) überwacht und zeichnet Ihre AWS-Ressourcenkonfigurationen auf. Darüber hinaus ermöglicht es Ihnen, die Auswertung und Korrektur der gewünschten Konfigurationen zu automatisieren. 
  +  [Amazon GuardDuty](https://aws.amazon.com/guardduty/) ist ein Bedrohungserkennungsservice, der kontinuierlich nach schädlichen Aktivitäten und nicht autorisierten Verhaltensweisen sucht, um Ihr AWS-Konten und Ihre Workloads zu schützen. GuardDuty erfasst, aggregiert und analysiert Informationen aus Quellen wie AWS CloudTrail-Verwaltungs- und Datenereignissen, DNS-Protokollen, VPC-Flow-Protokollen und Amazon EKS-Prüfprotokollen. GuardDuty ruft unabhängige Datenströme direkt von CloudTrail, VPC-Flow-Protokollen, DNS-Abfrageprotokollen und Amazon EKS ab. Sie müssen keine Amazon S3-Bucket-Richtlinien verwalten oder die Art und Weise der Erfassung und Speicherung von Protokollen verändern. Es wird jedoch empfohlen, diese Protokolle für Ihre eigenen Untersuchungs- und Compliance-Zwecke aufzubewahren. 
  +  [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) bietet einen zentralen Ort, an dem Ihre Sicherheitswarnungen oder Ergebnisse von mehreren AWS-Services und optionalen Produkten von Drittanbietern aggregiert, organisiert und priorisiert werden. So erhalten Sie einen umfassenden Überblick über Sicherheitswarnungen und den Compliance-Status. 

   Sie können auch benutzerdefinierte Alarm-Engines für Sicherheitsalarme verwenden, die von diesen Services nicht abgedeckt werden, bzw. für bestimmte Alarme, die für Ihre Umgebung relevante sind. Für Informationen zur Erstellung dieser Alarm- und Erkennungsmechanismen vgl. [Erkennung in der AWS-Sicherheits- und Vorfallreaktionsanleitung](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html). 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [SEC04-BP02 Erfassen von Protokollen, Erkenntnissen und Metriken an standardisierten Orten](sec_detect_investigate_events_logs.md) 
+  [SEC07-BP04 Definieren eines skalierbaren Datenlebenszyklusmanagements](sec_data_classification_lifecycle_management.md) 
+  [SEC10-BP06 Vorabbereitstellen von Tools](sec_incident_response_pre_deploy_tools.md) 

 **Zugehörige Dokumente:** 
+ [AWS-Sicherheits- und Vorfallreaktionsanleitung ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html)
+ [ Erste Schritte mit Amazon Security Lake ](https://aws.amazon.com/security-lake/getting-started/)
+ [ Erste Schritte: Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+  [Security Partner Solutions: Logging and Monitoring](https://aws.amazon.com/security/partner-solutions/#logging-monitoring) (Partnerlösungen im Bereich Sicherheit: Protokollierung und Überwachung) 

 **Zugehörige Videos:** 
+ [AWS re:Invent 2022 - Introducing Amazon Security Lake ](https://www.youtube.com/watch?v=V7XwbPPjXSY) (AWS re:Invent 2022 – Vorstellung von Amazon Security Lake)

 **Zugehörige Beispiele:** 
+ [ Assisted Log Enabler für AWS](https://github.com/awslabs/assisted-log-enabler-for-aws/)
+ [ Historischer Export von Ergebnissen von AWS Security Hub CSPM](https://github.com/aws-samples/aws-security-hub-findings-historical-export)

 **Zugehörige Tools:** 
+ [ Snowflake for Cybersecurity ](https://www.snowflake.com/en/data-cloud/workloads/cybersecurity/)

# SEC04-BP02 Erfassen von Protokollen, Erkenntnissen und Metriken an standardisierten Orten
<a name="sec_detect_investigate_events_logs"></a>

 Sicherheitsteams stützen sich auf Protokolle und Erkenntnisse, um Ereignisse zu analysieren, die auf unbefugte Aktivitäten oder unbeabsichtigte Änderungen hindeuten könnten. Um diese Analyse zu rationalisieren, sollten Sie Sicherheitsprotokolle und Ergebnisse an standardisierten Orten erfassen.  Dies macht Datenpunkte von Interesse für die Korrelation verfügbar und kann die Integration von Tools vereinfachen. 

 **Gewünschtes Ergebnis:** Sie verfügen über einen standardisierten Ansatz zum Sammeln, Analysieren und Visualisieren von Protokolldaten, Erkenntnissen und Metriken. Sicherheitsteams können Sicherheitsdaten über verschiedene Systeme hinweg effizient korrelieren, analysieren und visualisieren, um potenzielle Sicherheitsereignisse zu erkennen und Anomalien zu identifizieren. Systeme für Sicherheitsinformation und Ereignisverwaltung (Security Information and Event Management, SIEM) oder andere Mechanismen sind integriert, um Protokolldaten abzufragen und zu analysieren, damit Sie zeitnah auf Sicherheitsereignisse reagieren, diese verfolgen und eskalieren können. 

 **Typische Anti-Muster:** 
+  Teams besitzen und verwalten eigenständig Protokolle und Metriksammlungen, die nicht mit der Protokollierungsstrategie der Organisation übereinstimmen. 
+  Teams verfügen nicht über angemessene Zugriffskontrollen, um die Sichtbarkeit und Veränderung der erfassten Daten einzuschränken. 
+  Teams regeln ihre Sicherheitsprotokolle, Erkenntnisse und Metriken nicht als Teil ihrer Richtlinie zur Datenklassifizierung. 
+  Teams vernachlässigen bei der Konfiguration von Datensammlungen die Anforderungen an die Datenhoheit und die Lokalisierung. 

 **Vorteile der Einführung dieser bewährten Methode:** Eine standardisierte Protokollierungslösung zur Erfassung und Abfrage von Protokolldaten und -ereignissen verbessert die aus den darin enthaltenen Informationen gewonnenen Erkenntnisse. Die Konfiguration eines automatisierten Lebenszyklus für die gesammelten Protokolldaten kann die durch die Speicherung von Protokollen entstehenden Kosten reduzieren. Sie können eine fein abgestufte Zugriffskontrolle für die gesammelten Protokollinformationen einrichten, je nachdem, wie sensibel die Daten sind und welche Zugriffsmuster Ihre Teams benötigen. Sie können Tools integrieren, um die Daten zu korrelieren, zu visualisieren und Erkenntnisse daraus abzuleiten. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Die zunehmende AWS-Nutzung innerhalb einer Organisation führt zu einer wachsenden Anzahl von verteilten Workloads und Umgebungen. Jeder dieser Workloads und jede dieser Umgebungen generiert Daten über die darin stattfindenden Aktivitäten. Die Erfassung und lokale Speicherung dieser Daten stellt eine Herausforderung für den Sicherheitsbetrieb dar. Sicherheitsteams verwenden Tools wie Sicherheitsinformations- und Ereignisverwaltungssysteme (SIEM), um Daten aus verteilten Quellen zu sammeln und Korrelations-, Analyse- und Reaktionsabläufe durchzuführen. Dies erfordert die Verwaltung einer komplexen Reihe von Berechtigungen für den Zugriff auf die verschiedenen Datenquellen und einen zusätzlichen Aufwand beim Betrieb der Extract, Transform, Load (ETL)-Prozesse. 

 Um diese Herausforderungen zu meistern, sollten Sie alle relevanten Quellen von Sicherheitsprotokolldaten in einem [Protokollarchiv](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/log-archive.html)-Konto zusammenfassen. Dies ist beschrieben in: [Organizing Your AWS Environment Using Multiple Accounts](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/security-ou-and-accounts.html#log-archive-account). Dazu gehören alle sicherheitsrelevanten Daten aus Ihrem Workload und Protokolle, die AWS-Services erzeugen, wie [AWS CloudTrail](https://aws.amazon.com/cloudtrail/), [AWS WAF](https://aws.amazon.com/waf/), [Elastic Load Balancing](https://aws.amazon.com/elasticloadbalancing/) und [Amazon Route 53](https://aws.amazon.com/route53/). Es hat mehrere Vorteile, diese Daten an standardisierten Orten in einem separaten AWS-Konto mit entsprechenden kontoübergreifenden Berechtigungen zu erfassen. Diese Vorgehensweise hilft, die Manipulation von Protokollen in gefährdeten Workloads und Umgebungen zu verhindern, bietet einen einzigen Integrationspunkt für zusätzliche Tools und bietet ein einfacheres Modell für die Konfiguration der Datenaufbewahrung und des Lebenszyklus.  Bewerten Sie die Auswirkungen der Datenhoheit, der Compliance-Bereiche und anderer Vorschriften, um festzustellen, ob mehrere Speicherorte für Sicherheitsdaten und Aufbewahrungsfristen erforderlich sind. 

 Um die Erfassung und Standardisierung von Protokollen und Erkenntnissen zu erleichtern, bewerten Sie [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) in Ihrem Protokollarchiv-Konto. Sie können Security Lake so konfigurieren, dass Daten aus gängigen Quellen wie CloudTrail, Route 53, [Amazon EKS](https://aws.amazon.com/eks/) und [VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) automatisch aufgenommen werden. Außerdem können Sie AWS Security Hub CSPM auch als Datenquelle in Security Lake konfigurieren, sodass Sie Erkenntnisse aus anderen AWS-Services wie [Amazon GuardDuty](https://aws.amazon.com/guardduty/) und [Amazon Inspector](https://aws.amazon.com/inspector/) mit Ihren Protokolldaten korrelieren können.  Ferner haben Sie die Möglichkeit, Datenquellen von Drittanbietern zu integrieren oder eigene Datenquellen zu konfigurieren. Alle Integrationen standardisieren Ihre Daten in das [Open Cybersecurity Schema Framework](https://github.com/ocsf) (OCSF)-Format und werden in [Amazon S3](https://aws.amazon.com/s3/)-Buckets als Parquet-Dateien gespeichert, sodass keine ETL-Verarbeitung erforderlich ist. 

 Die Speicherung von Sicherheitsdaten an standardisierten Orten bietet erweiterte Analysemöglichkeiten. AWS empfiehlt Ihnen die Bereitstellung von Tools für Sicherheitsanalysen, die in einer AWS-Umgebung arbeiten, in einem [Security-Tooling](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/security-ou-and-accounts.html#security-tooling-accounts)-Konto, das von Ihrem Protokollarchiv-Konto getrennt ist.  Dieser Ansatz ermöglicht es Ihnen, Kontrollen in der Tiefe zu implementieren, um die Integrität und Verfügbarkeit der Protokolle und des Protokollverwaltungsprozesses zu schützen, und zwar unabhängig von den Tools, die auf sie zugreifen.  Erwägen Sie die Nutzung von Services wie [Amazon Athena](https://aws.amazon.com/athena/), um On-Demand-Abfragen durchzuführen, die mehrere Datenquellen miteinander in Beziehung setzen. Sie können auch Visualisierungstools wie [Quick](https://aws.amazon.com/quicksight/) integrieren. KI-gestützte Lösungen werden zunehmend verfügbar und können Funktionen wie die Übersetzung von Erkenntnissen in für Menschen lesbare Zusammenfassungen und Interaktion in natürlicher Sprache übernehmen.  Diese Lösungen lassen sich oft leichter integrieren, wenn ein standardisierter Datenspeicher für Abfragen zur Verfügung steht. 

## Implementierungsschritte
<a name="implementation-steps"></a>

1.  ** Erstellen Sie die Konten „Protokollarchiv“ und „Security Tooling“** 

   1.  Erstellen Sie mit AWS Organizations [die Konten „Protokollarchiv“ und „Security Tooling“](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_create.html) unter einer Sicherheitsorganisationseinheit. Wenn Sie AWS Control Tower zur Verwaltung Ihrer Organisation verwenden, werden die Konten für Protokollarchiv und Security Tooling automatisch für Sie erstellt. Konfigurieren Sie bei Bedarf Rollen und Berechtigungen für den Zugriff auf diese Konten und deren Verwaltung. 

1.  **Konfigurieren Sie Ihre standardisierten Speicherorte für Sicherheitsdaten** 

   1.  Legen Sie Ihre Strategie für die Erstellung standardisierter Sicherheitsdatenorte fest.  Sie können dies durch Optionen wie allgemeine Data-Lake-Architekturansätze, Datenprodukte von Drittanbietern oder [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/getting-started.html) erreichen. AWS empfiehlt, dass Sie Sicherheitsdaten von AWS-Regionen erfassen, die [für Ihre Konten aktiviert](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) sind, auch wenn sie nicht aktiv genutzt werden. 

1.  **Konfigurieren Sie die Veröffentlichung von Datenquellen an Ihren standardisierten Standorten** 

   1.  Identifizieren Sie die Quellen für Ihre Sicherheitsdaten und konfigurieren Sie sie so, dass sie an Ihren standardisierten Standorten veröffentlicht werden. Evaluieren Sie Optionen für den automatischen Export von Daten in das gewünschte Format im Gegensatz zu solchen, bei denen ETL-Prozesse entwickelt werden müssen. Mit Amazon Security Lake können Sie Daten aus unterstützten AWS-Quellen und integrierten Drittsystemen [sammeln](https://docs.aws.amazon.com/security-lake/latest/userguide/source-management.html). 

1.  **Konfigurieren Sie Tools für den Zugriff auf Ihre standardisierten Speicherorte** 

   1.  Konfigurieren Sie Tools wie Amazon Athena, Quick oder Lösungen von Drittanbietern, um den erforderlichen Zugriff auf Ihre standardisierten Standorte zu erhalten.  Konfigurieren Sie diese Tools so, dass sie über das Security Tooling-Konto mit kontoübergreifendem Zugriff auf das Protokollarchiv-Konto arbeiten, sofern zutreffend. [Erstellen Sie Subscriber in Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-management.html), um diesen Tools Zugriff auf Ihre Daten zu geben. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [ SEC01-BP01 Trennen von Workloads mithilfe von Konten ](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_multi_accounts.html) 
+  [SEC07-BP04 Definieren eines skalierbaren Datenlebenszyklusmanagements](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_lifecycle_management.html) 
+  [SEC08-BP04 Durchsetzen der Zugriffskontrolle](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_data_rest_access_control.html) 
+  [OPS08-BP02 Analysieren von Workload-Protokollen](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_workload_observability_analyze_workload_logs.html) 

 **Zugehörige Dokumente:** 
+  [AWS Whitepapers: Organizing Your AWS Environment Using Multiple Accounts](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) 
+  [AWS Prescriptive Guidance: AWS Security Reference Architecture (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html) 
+  [AWS Prescriptive Guidance: Logging and monitoring guide for application owners](https://docs.aws.amazon.com/prescriptive-guidance/latest/logging-monitoring-for-application-owners/introduction.html) 

 **Zugehörige Beispiele:** 
+  [Aggregating, searching, and visualizing log data from distributed sources with Amazon Athena and Quick](https://aws.amazon.com/blogs/security/aggregating-searching-and-visualizing-log-data-from-distributed-sources-with-amazon-athena-and-amazon-quicksight/) 
+  [How to visualize Amazon Security Lake findings with Quick](https://aws.amazon.com/blogs/security/how-to-visualize-amazon-security-lake-findings-with-amazon-quicksight/) 
+  [Generate AI powered insights for Amazon Security Lake using Amazon SageMaker AI Studio and Amazon Bedrock](https://aws.amazon.com/blogs/security/generate-ai-powered-insights-for-amazon-security-lake-using-amazon-sagemaker-studio-and-amazon-bedrock/) 
+  [Identify cybersecurity anomalies in your Amazon Security Lake data using Amazon SageMaker AI](https://aws.amazon.com/blogs/machine-learning/identify-cybersecurity-anomalies-in-your-amazon-security-lake-data-using-amazon-sagemaker/) 
+  [Ingest, transform, and deliver events published by Amazon Security Lake to Amazon OpenSearch Service](https://aws.amazon.com/blogs/big-data/ingest-transform-and-deliver-events-published-by-amazon-security-lake-to-amazon-opensearch-service/) 
+  [How to use AWS Security Hub CSPM and Amazon OpenSearch Service for SIEM](https://aws.amazon.com/blogs/security/how-to-use-aws-security-hub-and-amazon-opensearch-service-for-siem/) 

 **Zugehörige Tools:** 
+  [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) 
+  [Amazon Security Lake-Partnerintegrationen](https://aws.amazon.com/security-lake/partners/) 
+  [Open Cybersecurity Schema Framework (OCSF)](https://github.com/ocsf) 
+  [Amazon Athena](https://aws.amazon.com/athena/) 
+  [Quick](https://aws.amazon.com/quicksight/) 
+  [Amazon Bedrock](https://aws.amazon.com/bedrock/) 

# SEC04-BP03 Korrelieren und Anreichern von Sicherheitswarnmeldungen
<a name="sec_detect_investigate_events_security_alerts"></a>

 Unerwartete Aktivitäten können mehrere Sicherheitswarnmeldungen aus verschiedenen Quellen auslösen, die eine weitere Korrelation und Anreicherung erfordern, um den gesamten Kontext zu verstehen. Implementieren Sie die automatische Korrelation und Anreicherung von Sicherheitswarnmeldungen, um eine genauere Identifizierung von Vorfällen und eine bessere Reaktion darauf zu ermöglichen. 

 **Gewünschtes Ergebnis:** Da die Aktivitäten in Ihren Workloads und Umgebungen unterschiedliche Warnmeldungen erzeugen, korrelieren automatische Mechanismen die Daten und reichern sie mit zusätzlichen Informationen an. Diese Vorverarbeitung ermöglicht ein detaillierteres Verständnis des Ereignisses, was Ihren Ermittlern hilft, die Kritikalität des Ereignisses zu bestimmen und festzustellen, ob es sich um einen Vorfall handelt, der eine formelle Reaktion erfordert. Dieses Verfahren entlastet Ihre Überwachungs- und Untersuchungsteams. 

 **Typische Anti-Muster:** 
+  Verschiedene Personengruppen untersuchen Erkenntnisse und Warnmeldungen, die von verschiedenen Systemen generiert werden, sofern nicht durch Anforderungen der Aufgabentrennung etwas anderes vorgeschrieben ist.   
+  Ihre Organisation leitet alle Sicherheitserkenntnisse und -warnmeldungen an Standardspeicherorte weiter, verlangt aber von den Ermittlern, dass sie diese manuell korrelieren und anreichern. 
+  Sie verlassen sich ausschließlich auf die Intelligenz von Bedrohungserkennungssystemen, um über Erkenntnisse zu berichten und die Kritikalität zu bestimmen. 

 **Vorteile der Einführung dieser bewährten Methode:** Die automatische Korrelation und Anreicherung von Warnmeldungen trägt dazu bei, die gesamte kognitive Belastung und die manuelle Datenaufbereitung zu reduzieren, die Ihre Ermittler benötigen. Diese Methode kann die Zeit verkürzen, die benötigt wird, um festzustellen, ob es sich bei dem Ereignis um einen Vorfall handelt, und eine formelle Reaktion einzuleiten. Zusätzlicher Kontext hilft Ihnen auch, den wahren Schweregrad eines Ereignisses genau zu bewerten, da er höher oder niedriger sein kann, als eine einzelne Warnmeldung vermuten lässt. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** niedrig  

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Sicherheitswarnmeldungen können von vielen verschiedenen Quellen innerhalb von AWS stammen, darunter: 
+  Services wie [Amazon GuardDuty](https://aws.amazon.com/guardduty/), [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/), [Amazon Macie](https://aws.amazon.com/macie/), [Amazon Inspector](https://aws.amazon.com/inspector/), [AWS Config](https://aws.amazon.com/config/), [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com//latest/UserGuide/what-is-access-analyzer.html) und [Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html) 
+  Warnmeldungen aus der automatisierten Analyse von AWS-Service-, Infrastruktur- und Anwendungsprotokollen, z. B. von [Security Analytics for Amazon OpenSearch Service.](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/security-analytics.html) 
+  Warnungen als Reaktion auf Änderungen in Ihrer Abrechnungsaktivität aus Quellen wie [Amazon CloudWatch](https://aws.amazon.com/pm/cloudwatch), [Amazon EventBridge](https://aws.amazon.com/eventbridge/) oder [AWS Budgets](https://aws.amazon.com/aws-cost-management/aws-budgets/). 
+  Quellen von Drittanbietern wie Threat Intelligence Feeds und [Security Partner Solutions](https://aws.amazon.com/security/partner-solutions/) vom AWS Partner Network 
+  [Kontakt durch AWS-Vertrauen und -Sicherheit](https://repost.aws/knowledge-center/aws-abuse-report) oder andere Quellen, wie Kunden oder interne Mitarbeiter. 

 In ihrer grundlegendsten Form enthalten Warnmeldungen Informationen darüber, wer (*Prinzipal* oder *Identität*) was *(* *Aktion*, die ergriffen wird) im Hinblick auf (*Ressourcen*, die betroffen sind) macht. Ermitteln Sie für jede dieser Quellen, ob es Möglichkeiten gibt, Zuordnungen zwischen den Identifikatoren für diese Identitäten, Aktionen und Ressourcen als Grundlage für die Durchführung von Korrelationen zu erstellen. Dies kann in Form einer Integration von Quellen für Warnmeldungen mit einem SIEM-Tool (Security Information and Event Management) erfolgen, das eine automatische Korrelation für Sie durchführt, oder durch den Aufbau eigener Datenpipelines und -verarbeitung oder durch eine Kombination aus beidem. 

 Ein Beispiel für einen Dienst, der eine Korrelation für Sie durchführen kann, ist [Amazon Detective](https://aws.amazon.com/detective). Detective nimmt laufend Warnmeldungen aus verschiedenen AWS- und Drittquellen auf und nutzt verschiedene Formen von Informationen, um eine visuelle Grafik ihrer Beziehungen zur Unterstützung von Ermittlungen zusammenzustellen. 

 Während die anfängliche Kritikalität eines Alarms eine Hilfe für die Priorisierung ist, bestimmt der Kontext, in dem der Alarm auftrat, seine wahre Kritikalität. Zum Beispiel kann Amazon GuardDuty eine Warnmeldung ausgeben, dass eine Amazon EC2-Instance innerhalb Ihres Workloads einen unerwarteten Domain-Namen abfragt. GuardDuty könnte dieser Warnmeldung von sich aus eine niedrige Kritikalität zuweisen. Eine automatische Korrelation mit anderen Aktivitäten zum Zeitpunkt der Warnmeldung könnte jedoch aufdecken, dass mehrere hundert EC2-Instances von derselben Identität bereitgestellt wurden, was die Gesamtbetriebskosten erhöht. In diesem Fall könnte GuardDuty diesen korrelierten Ereigniskontext als neue Sicherheitswarnung veröffentlichen und die Kritikalität auf hoch setzen, was die weiteren Maßnahmen beschleunigen würde. 

### Implementierungsschritte
<a name="implementation-steps"></a>

1.  Identifizieren Sie Quellen für Informationen zu Sicherheitswarnmeldungen. Verstehen Sie, wie Warnmeldungen aus diesen Systemen Identität, Aktion und Ressourcen darstellen, um festzustellen, wo eine Korrelation möglich ist. 

1.  Richten Sie einen Mechanismus zur Erfassung von Warnmeldungen aus verschiedenen Quellen ein. Ziehen Sie zu diesem Zweck Services wie Security Hub CSPM, EventBridge und CloudWatch in Betracht. 

1.  Identifizieren Sie Quellen für die Korrelation und Anreicherung von Daten. Beispiele für Quellen sind CloudTrail, VPC-Flow-Protokolle, Amazon Security Lake sowie Infrastruktur- und Anwendungsprotokolle. 

1.  Integrieren Sie Ihre Warnmeldungen mit Ihren Datenkorrelations- und -anreicherungsquellen, um detailliertere Kontexte für Sicherheitsereignisse zu erstellen und die Kritikalität zu ermitteln. 

   1.  Amazon Detective, SIEM-Tools oder andere Lösungen von Drittanbietern können ein gewisses Maß an Erfassung, Korrelation und Anreicherung automatisch durchführen. 

   1.  Sie können auch AWS-Services nutzen, um Ihre eigenen zu erstellen. Sie können zum Beispiel eine Funktion AWS Lambda aufrufen, um eine Amazon Athena-Abfrage von AWS CloudTrail oder Amazon Security Lake auszuführen, und die Ergebnisse in EventBridge veröffentlichen. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [SEC10-BP03 Vorbereiten forensischer Funktionen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_prepare_forensic.html) 
+  [OPS08-BP04 Erstellen umsetzbarer Warnmeldungen](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_workload_observability_create_alerts.html) 
+  [REL06-BP03 Senden von Benachrichtigungen (Verarbeitung und Benachrichtigung in Echtzeit)](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_monitor_aws_resources_notification_monitor.html) 

 **Zugehörige Dokumente:** 
+  [AWS-Leitfaden für Security Incident Response](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) 

 **Zugehörige Beispiele:** 
+  [How to enrich AWS Security Hub CSPM findings with account metadata](https://aws.amazon.com/blogs/security/how-to-enrich-aws-security-hub-findings-with-account-metadata/) 
+  [How to use AWS Security Hub CSPM and Amazon OpenSearch Service for SIEM](https://aws.amazon.com/blogs/security/how-to-use-aws-security-hub-and-amazon-opensearch-service-for-siem/) 

 **Zugehörige Tools:** 
+  [Amazon Detective](https://aws.amazon.com/detective/) 
+  [Amazon EventBridge](https://aws.amazon.com/eventbridge/) 
+  [AWS Lambda](https://aws.amazon.com/lambda/) 
+  [Amazon Athena](https://aws.amazon.com/athena/) 

# SEC04-BP04 Initiieren von Abhilfemaßnahmen für nicht konforme Ressourcen
<a name="sec_detect_investigate_events_noncompliant_resources"></a>

 Ihre detektivischen Kontrollen können Sie auf Ressourcen aufmerksam machen, die nicht mit Ihren Konfigurationsanforderungen übereinstimmen. Sie können programmatisch definierte Abhilfemaßnahmen einleiten, entweder manuell oder automatisch, um diese Ressourcen zu korrigieren und mögliche Auswirkungen zu minimieren. Wenn Sie Abhilfemaßnahmen programmatisch definieren, können Sie sofort und konsequent handeln. 

 Automatisierung kann zwar den Sicherheitsbetrieb verbessern, aber Sie sollten die Automatisierung sorgfältig implementieren und verwalten.  Schaffen Sie geeignete Überwachungs- und Kontrollmechanismen, um zu überprüfen, ob die automatisierten Antworten effektiv und genau sind und mit den Organisationsrichtlinien und der Risikobereitschaft übereinstimmen. 

 **Gewünschtes Ergebnis:** Sie definieren Standards für die Ressourcenkonfiguration und die Schritte zur Behebung, wenn festgestellt wird, dass die Ressourcen nicht konform sind. Wo immer möglich, haben Sie Abhilfemaßnahmen programmatisch definiert, sodass sie entweder manuell oder durch Automatisierung eingeleitet werden können. Es gibt Erkennungssysteme, die nicht konforme Ressourcen identifizieren und Warnungen in zentralisierten Tools veröffentlichen, die von Ihrem Sicherheitspersonal überwacht werden. Diese Tools unterstützen die Durchführung Ihrer programmatischen Korrekturen, entweder manuell oder automatisch. Automatische Abhilfemaßnahmen verfügen über angemessene Überwachungs- und Kontrollmechanismen, um ihre Verwendung zu steuern. 

 **Typische Anti-Muster:** 
+  Sie implementieren Automatisierung, versäumen es aber, Abhilfemaßnahmen gründlich zu testen und zu validieren. Dies kann unbeabsichtigte Folgen haben, wie z. B. die Unterbrechung legitimer Geschäftsabläufe oder die Instabilität des Systems. 
+  Sie verbessern die Reaktionszeiten und Verfahren durch Automatisierung, aber ohne angemessene Überwachung und Mechanismen, die bei Bedarf menschliches Eingreifen und Urteilsvermögen ermöglichen. 
+  Sie verlassen sich ausschließlich auf Abhilfemaßnahmen, anstatt Abhilfemaßnahmen als Teil eines umfassenderen Programms zur Reaktion auf Vorfälle und zur Wiederherstellung zu nutzen. 

 **Vorteile der Einführung dieser bewährten Methode:** Automatische Abhilfemaßnahmen können schneller auf Fehlkonfigurationen reagieren als manuelle Prozesse. So können Sie potenzielle Auswirkungen auf Ihr Unternehmen minimieren und das Zeitfenster für unbeabsichtigte Nutzungen verringern. Wenn Sie Abhilfemaßnahmen programmatisch definieren, werden sie konsistent angewendet, was das Risiko menschlicher Fehler verringert. Die Automatisierung kann auch eine größere Anzahl von Alarmen gleichzeitig verarbeiten, was besonders in Umgebungen von großem Maßstab wichtig ist.   

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Wie unter [SEC01-BP03 Identifizieren und Validieren von Kontrollzielen](sec_securely_operate_control_objectives.md) beschrieben, können Services wie [AWS Config](https://aws.amazon.com/config/) Ihnen dabei helfen, die Konfiguration der Ressourcen in Ihren Konten auf die Einhaltung Ihrer Anforderungen hin zu überwachen.  Wenn nicht konforme Ressourcen entdeckt werden, empfehlen wir Ihnen, den Versand von Warnmeldungen an eine Cloud Security Posture Management (CSPM)-Lösung wie [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) zu konfigurieren, um bei der Abhilfe zu unterstützen. Diese Lösungen bieten einen zentralen Ort für Ihre Sicherheitsbeauftragten, um Probleme zu überwachen und Korrekturmaßnahmen zu ergreifen. 

 Einige Situationen, in denen Ressourcen nicht konform sind, können zwar einzigartig sein und erfordern menschliches Urteilsvermögen, um Abhilfe zu schaffen. Für andere Fälle gibt es jedoch eine Standardreaktion, die Sie programmatisch definieren können. Eine Standardreaktion auf eine falsch konfigurierte VPC-Sicherheitsgruppe könnte zum Beispiel darin bestehen, die unzulässigen Regeln zu entfernen und den Eigentümer zu benachrichtigen. Antworten können in [AWS Lambda](https://aws.amazon.com/pm/lambda)-Funktionen, in [AWS-Systems Manager-Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)-Dokumenten oder durch andere von Ihnen bevorzugte Code-Umgebungen definiert werden. Vergewissern Sie sich, dass die Umgebung in der Lage ist, sich bei AWS zu authentifizieren, indem Sie eine IAM-Rolle mit der geringsten Berechtigung verwenden, die für die Durchführung von Korrekturmaßnahmen erforderlich ist. 

 Sobald Sie die gewünschte Abhilfemaßnahme definiert haben, können Sie festlegen, wie Sie diese einleiten möchten. AWS Config kann [Abhilfemaßnahmen](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html) für Sie einleiten. Wenn Sie Security Hub CSPM verwenden, können Sie dies über [Angepasste Aktionen](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cwe-custom-actions.html) tun, wodurch die Suchinformationen in [Amazon EventBridge](https://aws.amazon.com/eventbridge/) veröffentlicht werden. Eine EventBridge-Regel kann dann Ihre Abhilfe einleiten. Sie können die benutzerdefinierte Aktion in Security Hub CSPM so konfigurieren, dass sie entweder automatisch oder manuell ausgeführt wird.   

 Für programmatische Abhilfemaßnahmen empfehlen wir Ihnen, umfassende Protokolle und Audits für die durchgeführten Maßnahmen sowie deren Ergebnisse zu führen. Prüfen und analysieren Sie diese Protokolle, um die Effektivität der automatisierten Prozesse zu bewerten und Verbesserungsmöglichkeiten zu identifizieren. Erfassen Sie Protokolle in [Amazon CloudWatch Logs](https://docs.aws.amazon.com/Amazon/latest/logs/WhatIsLogs.html) und Abhilfeergebnisse als [Erkenntnis](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html) in Security Hub CSPM. 

 Als Ausgangspunkt können Sie [ Automatische Sicherheitsreaktion in AWS](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/) verwenden, das über vorgefertigte Abhilfemaßnahmen zur Behebung häufiger Sicherheitsfehlkonfigurationen verfügt. 

### Implementierungsschritte
<a name="implementation-steps"></a>

1.  Analysieren und priorisieren Sie Warnmeldungen. 

   1.  Konsolidieren Sie Sicherheitswarnungen von verschiedenen AWS-Services in Security Hub CSPM für eine zentrale Übersicht, Priorisierung und Abhilfe. 

1.  Entwickeln Sie Abhilfemaßnahmen. 

   1.  Verwenden Sie Services wie Systems Manager und AWS Lambda, um programmatische Korrekturen durchzuführen. 

1.  Konfigurieren Sie, wie Abhilfemaßnahmen eingeleitet werden. 

   1.  Definieren Sie mithilfe von Systems Manager benutzerdefinierte Aktionen, die Erkenntnisse an EventBridge veröffentlichen. Konfigurieren Sie diese Aktionen so, dass sie manuell oder automatisch ausgelöst werden. 

   1.  Sie können auch [Amazon Simple Notification Service (SNS)](https://aws.amazon.com/sns/) verwenden, um Benachrichtigungen und Warnmeldungen an relevante Beteiligte (wie das Sicherheitsteam oder das Vorfallsreaktionsteam) zu senden, damit diese bei Bedarf manuell eingreifen oder eskalieren können. 

1.  Prüfen und analysieren Sie die Protokolle der Abhilfemaßnahmen auf Wirksamkeit und Verbesserung. 

   1.  Senden Sie die Protokollausgabe an CloudWatch Logs. Erfassen Sie die Ergebnisse als Erkenntnis in Security Hub CSPM. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [SEC06-BP03 Reduzieren der manuellen Verwaltung und des interaktiven Zugriffs](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_compute_reduce_manual_management.html) 

 **Zugehörige Dokumente:** 
+  [AWS Security Incident Response Guide – Detection](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html) 

 **Zugehörige Beispiele:** 
+  [Automatische Sicherheitsreaktion in AWS](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/) 
+  [Monitor EC2 instance key pairs using AWS Config](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/monitor-ec2-instance-key-pairs-using-aws-config.html) 
+  [Create AWS Config custom rules by using AWS CloudFormation Guard policies](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/create-aws-config-custom-rules-by-using-aws-cloudformation-guard-policies.html) 
+  [Automatically remediate unencrypted Amazon RDS DB instances and clusters](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-remediate-unencrypted-amazon-rds-db-instances-and-clusters.html) 

 **Zugehörige Tools:** 
+  [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) 
+  [Automatische Sicherheitsreaktion in AWS](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/)