Mendeteksi dan Menganalisis - Respons Insiden Keamanan AWS Panduan Pengguna

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mendeteksi dan Menganalisis

Respons Insiden Keamanan AWS monitor, triase, menyelidiki temuan keamanan dari Amazon GuardDuty dan integrasi melalui. AWS Security Hub Tindakan tambahan yang secara signifikan dapat meningkatkan ruang lingkup dan efektivitas Respons Insiden Keamanan AWS kemampuan pemantauan dan investigasi meliputi:

Mengaktifkan sumber deteksi yang didukung

catatan

Respons Insiden Keamanan AWS Biaya layanan tidak termasuk penggunaan dan biaya dan biaya lain yang terkait dengan sumber deteksi atau penggunaan AWS layanan lain yang didukung. Silakan merujuk ke fitur individual atau halaman layanan untuk detail biaya.

Amazon GuardDuty

GuardDuty adalah layanan deteksi ancaman yang terus memantau, menganalisis, dan memproses sumber data dan log di AWS lingkungan Anda. Pengaktifan tidak GuardDuty diperlukan untuk digunakan Respons Insiden Keamanan AWS; namun, untuk menggunakan respons proaktif dan fitur triaging peringatan Amazon GuardDuty harus diaktifkan.

Untuk mengaktifkan GuardDuty di seluruh organisasi Anda, silakan lihat Setting up GuardDuty bagian Panduan GuardDuty Pengguna Amazon.

Kami sangat menyarankan agar Anda mengaktifkan GuardDuty semua yang didukung Wilayah AWS. Ini memungkinkan GuardDuty untuk menghasilkan temuan tentang aktivitas yang tidak sah atau tidak biasa bahkan di wilayah yang tidak Anda gunakan secara aktif. Untuk informasi selengkapnya, rujuk GuardDuty Wilayah Amazon dan titik akhir

Mengaktifkan GuardDuty menyediakan Respons Insiden Keamanan AWS akses ke data deteksi ancaman kritis, meningkatkan kemampuannya untuk mengidentifikasi dan menanggapi potensi masalah keamanan di lingkungan Anda AWS .

AWS Security Hub

Security Hub dapat menyerap temuan keamanan dari beberapa AWS layanan dan mendukung solusi keamanan pihak ketiga. Integrasi ini dapat membantu Respons Insiden Keamanan AWS memantau dan menyelidiki temuan yang berasal dari alat deteksi lainnya.

Untuk mengaktifkan integrasi Security Hub with Organizations, silakan lihat Panduan AWS Security Hub Pengguna.

Ada beberapa cara untuk mengaktifkan integrasi di Security Hub. Untuk integrasi produk pihak ketiga, Anda mungkin perlu membeli integrasi dari AWS Marketplace, dan kemudian mengkonfigurasi integrasi. Informasi integrasi menyediakan tautan untuk menyelesaikan tugas-tugas ini. Pelajari lebih lanjut tentang cara mengaktifkan AWS Security Hub integrasi.

Respons Insiden Keamanan AWS dapat memantau dan menyelidiki temuan dari alat-alat berikut ketika mereka terintegrasi dengan AWS Security Hub:

Dengan mengaktifkan integrasi ini, Anda dapat secara signifikan meningkatkan ruang lingkup dan efektivitas Respons Insiden Keamanan AWS kemampuan pemantauan dan investigasi.

Menganalisis temuan.

Respons Insiden Keamanan AWS otomatisasi dan tim layanan AWS CIRT akan menganalisis semua temuan dari alat yang didukung. Kami akan mulai belajar tentang lingkungan Anda dengan berkomunikasi dengan Anda menggunakan AWS Support Cases. Misalnya, ketika kita perlu memahami apakah suatu temuan adalah perilaku yang diharapkan atau harus ditingkatkan menjadi suatu insiden. Saat kami belajar lebih banyak dari lingkungan Anda, kami akan menyesuaikan layanan dan mengurangi jumlah komunikasi.

Melaporkan suatu peristiwa.

Anda dapat meningkatkan acara keamanan melalui portal Respons Insiden Keamanan AWS layanan. Penting untuk tidak menunggu selama acara keamanan. Respons Insiden Keamanan AWS menggunakan teknik otomatis dan manual untuk menyelidiki peristiwa keamanan, menganalisis log, dan mencari pola anomali. Kemitraan dan pemahaman Anda tentang lingkungan Anda mempercepat analisis ini.

Berkomunikasi.

Respons Insiden Keamanan AWS membuat Anda mendapat informasi selama penyelidikan dengan melibatkan kontak keamanan Anda melalui kasus kejadian. Beberapa rekan tim dapat mendukung acara Anda, semua menggunakan tiket acara untuk konten dan pembaruan yang disediakan pelanggan. AWS

Komunikasi dapat mencakup pemberitahuan otomatis ketika peringatan keamanan dihasilkan; komunikasi selama analisis acara; membangun jembatan panggilan; analisis artefak yang sedang berlangsung seperti file log; dan mendapatkan hasil investigasi kepada Anda selama acara keamanan.

Layanan ini akan membuat Respons Insiden Keamanan AWS kasus untuk berkomunikasi dengan tim Anda. Kami akan membuat kasus terhadap akun keanggotaan Anda. Pendekatan ini memusatkan komunikasi dari semua akun Anda ke satu tempat. Awalan “[Kasus proaktif]” membantu mengidentifikasi kasus yang diprakarsai oleh. Respons Insiden Keamanan AWS

Dengan terlibat secara aktif dengan komunikasi ini dan memberikan tanggapan tepat waktu, Anda dapat membantu Respons Insiden Keamanan AWS layanan untuk:

  • Lebih memahami lingkungan Anda dan perilaku yang diharapkan.

  • Kurangi positif palsu dari waktu ke waktu.

  • Meningkatkan akurasi dan relevansi peringatan.

  • Pastikan respons cepat terhadap insiden keamanan asli.

  • Ingat, efektivitas Respons Insiden Keamanan AWS layanan meningkat dengan kolaborasi Anda, yang mengarah ke AWS lingkungan yang lebih aman dan dipantau secara efisien.