Analisis

Setelah peristiwa keamanan diidentifikasi dan dilaporkan, langkah selanjutnya adalah menganalisis apakah peristiwa yang dilaporkan adalah positif palsu atau insiden nyata. AMS menggunakan otomatisasi dan teknik investigasi manual untuk menangani peristiwa keamanan. Analisis ini mencakup investigasi log dari sumber deteksi yang berbeda seperti log lalu lintas jaringan, log host, CloudTrail peristiwa, log AWS layanan, dan sebagainya. Analisis juga mencari pola yang menunjukkan perilaku anomali dengan korelasi.

Kemitraan Anda diperlukan untuk memahami konteks khusus untuk lingkungan akun dan untuk menetapkan apa yang normal untuk akun dan beban kerja Anda. Ini membantu AMS mengidentifikasi anomali lebih cepat dan respons insiden yang dipercepat.

Menangani komunikasi dari AMS tentang peristiwa keamanan

AMS memberi Anda informasi selama penyelidikan dengan melibatkan kontak keamanan Anda melalui tiket insiden. Manajer pengiriman layanan cloud AMS (CSDM) dan arsitek cloud AMS (CA) Anda adalah titik kontak yang harus dihubungi untuk komunikasi apa pun selama penyelidikan keamanan aktif.

Komunikasi mencakup pemberitahuan otomatis ketika peringatan keamanan dihasilkan, komunikasi setelah analisis peristiwa, membangun jembatan panggilan dan pengiriman artefak yang sedang berlangsung seperti file log, snapshot sumber daya yang terinfeksi, dan mendapatkan hasil investigasi kepada Anda selama acara keamanan.

Bidang standar yang disertakan dalam pemberitahuan peringatan keamanan AMS tercantum di bawah ini. Bidang ini memberi Anda informasi sehingga Anda dapat merutekan acara ke tim yang sesuai dalam organisasi Anda untuk perbaikan.

Bidang tambahan disediakan tergantung pada Jenis Temuan, misalnya Temuan EKS mencakup detail Pod, Container, dan Cluster.