Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Perlindungan data di Accelerate
AMS Accelerate memanfaatkan native Layanan AWS seperti Amazon GuardDuty, Amazon Macie (opsional), dan alat dan proses kepemilikan internal lainnya, untuk terus memantau akun terkelola Anda. Setelah alarm dipicu, AMS Accelerate bertanggung jawab atas triase awal dan respons terhadap alarm. Proses respons AMS didasarkan pada standar NIST. AMS Accelerate secara teratur menguji proses respons menggunakan Simulasi Respons Insiden Keamanan dengan Anda untuk menyelaraskan alur kerja Anda dengan program respons keamanan pelanggan yang ada.
Ketika AMS Accelerate mendeteksi pelanggaran, atau ancaman pelanggaran yang akan segera terjadi, AWS atau kebijakan keamanan Anda, Accelerate mengumpulkan informasi, termasuk sumber daya yang terkena dampak dan perubahan terkait konfigurasi apa pun. AMS Accelerate menyediakan follow-the-sun dukungan 24/7/365 dengan operator khusus yang secara aktif meninjau dan menyelidiki dasbor pemantauan, antrian insiden, dan permintaan layanan di semua akun terkelola Anda. Accelerate menyelidiki temuan dengan pakar keamanan internal untuk menganalisis aktivitas dan memberi tahu Anda melalui kontak eskalasi keamanan yang tercantum di akun Anda.
Berdasarkan temuan, Accelerate secara proaktif terlibat dengan Anda. Jika Anda menemukan bahwa aktivitas tersebut tidak sah atau mencurigakan, AMS bekerja sama dengan Anda untuk menyelidiki dan memulihkan atau mengatasi masalah tersebut. Ada jenis temuan tertentu yang dihasilkan oleh GuardDuty yang mengharuskan Anda untuk mengkonfirmasi dampak sebelum Accelerate mengambil tindakan apa pun. Misalnya, jenis GuardDuty temuan UnauthorizedAccess:IAMUser/ConsoleLogin, menunjukkan bahwa salah satu pengguna Anda telah masuk dari lokasi yang tidak biasa; AMS memberi tahu Anda dan meminta Anda meninjau temuan tersebut untuk mengonfirmasi apakah perilaku ini sah.
Monitor dengan Amazon Macie
AMS Accelerate mendukung, dan merupakan praktik terbaik untuk digunakan, Amazon Macie untuk mendeteksi daftar data sensitif yang besar dan komprehensif, seperti informasi kesehatan pribadi (PHI), informasi identitas pribadi (PII), dan data keuangan.
Anda dapat mengonfigurasi Macie untuk berjalan secara berkala di bucket Amazon S3 apa pun. Ini mengotomatiskan evaluasi objek baru atau yang dimodifikasi dalam ember dari waktu ke waktu. Saat temuan keamanan dihasilkan, AMS memberi tahu Anda dan bekerja sama dengan Anda untuk memulihkan temuan sesuai kebutuhan.
Untuk informasi lebih lanjut, lihat Menganalisis temuan Amazon Macie.
Monitor dengan GuardDuty
GuardDuty adalah layanan pemantauan keamanan berkelanjutan yang menggunakan umpan intelijen ancaman, seperti daftar alamat IP dan domain berbahaya, dan pembelajaran mesin untuk mengidentifikasi aktivitas yang tidak terduga dan berpotensi tidak sah dan berbahaya di lingkungan Anda. AWS Ini mungkin termasuk masalah seperti eskalasi hak istimewa, penggunaan kredensional yang terbuka, atau komunikasi dengan alamat IP berbahaya, atau domain. GuardDuty memantau perilaku Akun AWS akses untuk tanda-tanda kompromi, seperti penerapan infrastruktur yang tidak sah, instance yang diterapkan di Wilayah yang belum pernah Anda gunakan. AWS GuardDuty juga mendeteksi panggilan API yang tidak biasa, seperti perubahan kebijakan kata sandi untuk mengurangi kekuatan kata sandi. Untuk informasi selengkapnya, silakan lihat Panduan Pengguna GuardDuty .
Untuk melihat dan menganalisis GuardDuty temuan Anda, selesaikan langkah-langkah berikut:
Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/
. Pilih Temuan, lalu pilih temuan tertentu untuk melihat detail. Detail untuk setiap temuan berbeda tergantung pada jenis temuan, sumber daya yang terlibat, dan sifat aktivitas.
Untuk informasi selengkapnya tentang bidang pencarian yang tersedia, lihat detail GuardDuty pencarian.
Gunakan aturan GuardDuty penekanan untuk memfilter temuan
Aturan penekanan adalah seperangkat kriteria yang terdiri dari atribut filter yang dipasangkan dengan nilai. Anda dapat menggunakan aturan penekanan untuk menyaring temuan bernilai rendah yang tidak ingin Anda tindaklanjuti, seperti temuan positif palsu, atau aktivitas yang diketahui. Memfilter temuan Anda membantu mempermudah mengenali ancaman keamanan yang mungkin berdampak paling besar terhadap lingkungan Anda.
Untuk memfilter temuan, aturan penekanan secara otomatis mengarsipkan temuan baru yang sesuai dengan kriteria yang Anda tentukan. Temuan yang diarsipkan tidak dikirim ke AWS Security Hub, Amazon S3, CloudTrail atau Acara. Jadi, filter penekanan mengurangi data yang tidak dapat ditindaklanjuti jika Anda menggunakan temuan melalui GuardDuty Security Hub atau aplikasi peringatan dan tiket SIEM pihak ketiga.
AMS memiliki serangkaian kriteria yang ditentukan untuk mengidentifikasi aturan penekanan untuk akun terkelola Anda. Ketika akun terkelola memenuhi kriteria ini, AMS menerapkan filter dan membuat permintaan layanan (SR) kepada Anda yang merinci filter penekanan yang diterapkan.
Anda dapat berkomunikasi dengan AMS melalui SR untuk memodifikasi atau mengembalikan filter penekanan.
Lihat temuan yang diarsipkan
GuardDuty terus menghasilkan temuan bahkan ketika temuan tersebut sesuai dengan aturan penindasan Anda. Temuan yang ditekan ditandai sebagai diarsipkan. GuardDuty menyimpan temuan yang diarsipkan selama 90 hari. Anda dapat melihat temuan yang diarsipkan di GuardDuty konsol selama 90 hari tersebut dengan memilih Diarsipkan dari tabel temuan. Atau, lihat temuan yang diarsipkan melalui GuardDuty API menggunakan ListFindingsAPI dengan FindingCriteria of service.archived sama dengan true.
Kasus penggunaan umum untuk aturan penindasan
Jenis temuan berikut memiliki kasus penggunaan umum untuk menerapkan aturan penekanan.
Recon: EC2 /Portscan: Gunakan aturan penekanan untuk mengarsipkan temuan secara otomatis saat menggunakan pemindai kerentanan resmi.
UnauthorizedAccess:EC2/SSHBrutePaksa: Gunakan aturan penekanan untuk mengarsipkan temuan secara otomatis saat ditargetkan ke instance benteng.
Recon:EC2/PortProbeUnprotectedPort: Gunakan aturan penekanan untuk mengarsipkan temuan secara otomatis ketika ditargetkan ke instance yang sengaja diekspos.
Monitor dengan Amazon Route 53 Resolver DNS Firewall
Amazon Route 53 Resolver merespons secara rekursif kueri DNS dari sumber daya AWS untuk catatan publik, nama DNS khusus Amazon VPC, dan zona host pribadi Amazon Route 53, dan tersedia secara default di semua. VPCs Dengan Route 53 Resolver DNS Firewall, Anda dapat memfilter dan mengatur lalu lintas DNS keluar untuk virtual private cloud (VPC) Anda. Untuk melakukannya, Anda membuat kumpulan aturan pemfilteran yang dapat digunakan kembali di grup aturan DNS Firewall, mengasosiasikan grup aturan ke VPC Anda, lalu memantau aktivitas di log dan metrik DNS Firewall. Berdasarkan aktivitas, Anda dapat menyesuaikan perilaku DNS Firewall. Untuk informasi selengkapnya, lihat Menggunakan DNS Firewall untuk memfilter lalu lintas DNS keluar.
Untuk melihat dan mengelola konfigurasi Route 53 Resolver DNS Firewall Anda, gunakan prosedur berikut:
Masuk ke AWS Management Console dan buka konsol VPC Amazon di. https://console.aws.amazon.com/vpc/
Di bawah DNS Firewall, pilih Grup aturan.
Tinjau, edit, atau hapus konfigurasi yang ada, atau buat grup aturan baru. Untuk informasi selengkapnya, lihat Cara kerja Route 53 Resolver DNS Firewall.
Amazon Route 53 Resolver DNS Firewall pemantauan dan keamanan
Amazon Route 53 DNS Firewall menggunakan konsep asosiasi aturan, tindakan aturan, dan prioritas evaluasi aturan. Daftar domain adalah seperangkat spesifikasi domain yang dapat digunakan kembali yang Anda gunakan dalam aturan DNS Firewall, di dalam grup aturan. Ketika Anda mengasosiasikan grup aturan dengan VPC, DNS Firewall membandingkan kueri DNS Anda terhadap daftar domain yang digunakan dalam aturan. Jika DNS Firewall menemukan kecocokan, maka ia menangani kueri DNS sesuai dengan tindakan aturan yang cocok. Untuk informasi selengkapnya tentang grup aturan dan aturan, lihat Grup dan aturan DNS Firewall.
Daftar domain dibagi dalam dua kategori utama:
Daftar domain terkelola, yang AWS membuat dan memelihara untuk Anda.
Daftar domain Anda sendiri, yang Anda buat dan pelihara.
Kelompok aturan dievaluasi berdasarkan indeks prioritas asosiasi mereka.
Secara default, AMS menerapkan konfigurasi dasar yang terdiri dari aturan dan grup aturan berikut:
Satu kelompok aturan bernama
DefaultSecurityMonitoringRule. Grup aturan memiliki prioritas asosiasi tertinggi yang tersedia pada saat pembuatan untuk setiap VPC yang ada di setiap diaktifkan. Wilayah AWSSatu aturan bernama
DefaultSecurityMonitoringRuledengan prioritas 1 dalam grupDefaultSecurityMonitoringRuleaturan, menggunakan daftar DomainAWSManagedDomainsAggregateThreatListTerkelola dengan tindakan ALERT.
Jika Anda memiliki konfigurasi yang ada, konfigurasi dasar diterapkan dengan prioritas lebih rendah daripada konfigurasi yang ada. Konfigurasi Anda yang ada adalah default. Anda menggunakan konfigurasi dasar AMS sebagai tangkapan semua jika konfigurasi yang ada tidak memberikan instruksi prioritas yang lebih tinggi tentang cara menangani resolusi kueri. Untuk mengubah atau menghapus konfigurasi dasar, lakukan salah satu hal berikut:
Hubungi Cloud Service Delivery Manager (CSDM) atau Cloud Architect (CA) Anda.
Buat permintaan layanan.
Enkripsi data di AMS Accelerate
AMS Accelerate menggunakan beberapa Layanan AWS untuk enkripsi data.
Amazon Simple Storage Service menawarkan beberapa opsi enkripsi objek yang melindungi data saat transit dan saat istirahat. Enkripsi di sisi server mengenkripsi objek Anda sebelum menyimpannya ke dalam disk di pusat datanya lalu mendekripsinya saat Anda mengunduh objek. Selama Anda mengautentikasi permintaan dan telah memiliki izin akses, tidak ada perbedaan dalam cara mengakses objek terenkripsi atau tidak terenkripsi. Untuk informasi selengkapnya, lihat Perlindungan data di Amazon S3.
