Mendeteksi dan Menganalisis

Melaporkan Acara

Anda dapat meningkatkan acara keamanan melalui Respons Insiden Keamanan AWS portal. Penting untuk tidak menunggu selama acara keamanan. Respons Insiden Keamanan AWS menggunakan teknik otomatis dan manual untuk menyelidiki peristiwa keamanan, menganalisis log, dan mencari pola anomali. Kemitraan dan pemahaman Anda tentang lingkungan Anda mempercepat analisis ini.

Mengaktifkan sumber deteksi yang didukung

Amazon GuardDuty

Untuk mengaktifkan GuardDuty di seluruh organisasi Anda, silakan lihat Setting up GuardDuty bagian Panduan GuardDuty Pengguna Amazon.

Kami sangat menyarankan agar Anda mengaktifkan GuardDuty semua yang didukung Wilayah AWS. Ini memungkinkan GuardDuty untuk menghasilkan temuan tentang aktivitas yang tidak sah atau tidak biasa bahkan di wilayah yang tidak Anda gunakan secara aktif. Untuk informasi selengkapnya, rujuk GuardDuty Wilayah Amazon dan titik akhir

Mengaktifkan GuardDuty menyediakan Respons Insiden Keamanan AWS akses ke data deteksi ancaman kritis, meningkatkan kemampuannya untuk mengidentifikasi dan menanggapi potensi masalah keamanan di lingkungan Anda AWS .

AWS Security Hub CSPM

Security Hub CSPM dapat menyerap temuan keamanan dari beberapa AWS layanan dan mendukung solusi keamanan pihak ketiga. Integrasi ini dapat membantu Respons Insiden Keamanan AWS memantau dan menyelidiki temuan yang berasal dari alat deteksi lainnya.

Untuk mengaktifkan Security Hub CSPM dengan integrasi Organizations, silakan merujuk ke AWS Security Hub CSPM Panduan Pengguna.

Ada beberapa cara untuk mengaktifkan integrasi pada Security Hub CSPM. Untuk integrasi produk pihak ketiga, Anda mungkin perlu membeli integrasi dari AWS Marketplace, dan kemudian mengkonfigurasi integrasi. Informasi integrasi menyediakan tautan untuk menyelesaikan tugas-tugas ini. Pelajari lebih lanjut tentang cara mengaktifkan AWS Security Hub CSPM integrasi.

Respons Insiden Keamanan AWS dapat memantau dan menyelidiki temuan dari alat-alat berikut ketika mereka terintegrasi dengan AWS Security Hub CSPM:

Dengan mengaktifkan integrasi ini, Anda dapat secara signifikan meningkatkan ruang lingkup dan efektivitas Respons Insiden Keamanan AWS kemampuan pemantauan dan investigasi.

Deteksi

Jika “Respons Proaktif” diaktifkan https://docs.aws.amazon.com/security-ir/latest/userguide/setup- monitoring-and-investigation-workflows .html Respons Insiden Keamanan AWS menyerap temuan dari Amazon dan GuardDuty melalui EventBridge aturan AWS Security Hub CSPM Amazon yang diterapkan ke akun Anda selama orientasi.

Respons Insiden Keamanan AWS secara otomatis mengarsipkan GuardDuty temuan Amazon yang ditentukan selama triase otomatis menjadi jinak atau terkait dengan aktivitas yang diharapkan. Anda dapat melihat temuan yang diarsipkan di GuardDuty konsol Amazon dengan memilih Diarsipkan dari filter Status temuan. Untuk informasi selengkapnya, lihat Melihat temuan yang dihasilkan di GuardDuty konsol di Panduan GuardDuty Pengguna Amazon.

Respons Insiden Keamanan AWS secara otomatis mengarsipkan GuardDuty temuan Amazon yang ditentukan selama triase otomatis menjadi jinak atau terkait dengan aktivitas yang diharapkan. Pengarsipan ini hanya terjadi untuk temuan yang telah diprioritaskan dan memiliki hasil yang ditetapkan sebagai “arsip”. Temuan yang sedang diselidiki aktif tetap terlihat di GuardDuty konsol Amazon bahkan setelah penyelidikan selesai. Anda dapat melihat temuan yang diarsipkan di GuardDuty konsol Amazon dengan memilih Diarsipkan dari filter temuan. Untuk informasi selengkapnya tentang bekerja dengan temuan yang diarsipkan, lihat Bekerja dengan temuan di Panduan GuardDuty Pengguna Amazon.

Ketika AWS Security Hub CSPM menelan temuan keamanan, sistem memperbarui setiap temuan dengan catatan yang menunjukkan bahwa triase otomatis telah dimulai. Status alur kerja berubah dari BARU ke NOTIFIED, yang menghapus temuan dari tampilan AWS Security Hub CSPM temuan default. Jika triase menentukan bahwa temuan itu jinak atau terkait dengan aktivitas yang diharapkan, sistem menambahkan catatan ke temuan dan memperbarui status alur kerja ke SUPPRESSED.

Analisis: Triase Otomatis

Respons Insiden Keamanan AWS secara otomatis melakukan triase temuan keamanan. Proses triase menentukan apakah aktivitas yang terdeteksi mewakili perilaku yang diharapkan, dengan menganalisis data dari berbagai sumber termasuk muatan temuan, metadata AWS layanan, data AWS pencatatan dan pemantauan (seperti dan Log Aliran AWS CloudTrail VPC), intelijen AWS ancaman, dan konteks yang diundang untuk Anda berikan tentang lingkungan Anda dan lokal. AWS

Jika triase otomatis menentukan bahwa aktivitas yang terdeteksi diharapkan, sistem tidak mengambil tindakan investigasi lebih lanjut.

Analisis: Investigasi Keamanan Respon Insiden

Respons Insiden Keamanan AWS Engineering adalah tim profesional keamanan global yang selalu tersedia dengan keahlian AWS dan respons insiden keamanan. Jika triase otomatis tidak dapat menentukan bahwa aktivitas tersebut diharapkan, Respons Insiden Keamanan AWS Engineering dilibatkan untuk melakukan penyelidikan keamanan. Jika acara itu tertelan dari Security Hub, sebuah catatan diposting ke temuan terkait yang menyatakan bahwa penyelidikan Respons Insiden Keamanan AWS Engineering sedang berlangsung.

Respons Insiden Keamanan AWS Rekayasa melakukan penyelidikan keamanan langsung dengan menganalisis metadata layanan tambahan dan intelijen ancaman, meninjau wawasan dari temuan dan investigasi masa lalu di lingkungan Anda, dan menerapkan keahlian respons insiden. Bergantung pada preferensi Penahanan Anda (lihat Mengandung) Rekayasa Respons Insiden AWS Keamanan dapat melibatkan tim Respons Insiden organisasi Anda melalui kasus Respons Insiden Keamanan di Respons Insiden Keamanan AWS konsol untuk memverifikasi apakah aktivitas yang terdeteksi diharapkan dan diizinkan Menanggapi kasus yang AWS dihasilkan.

Berkomunikasi

AWS Security Incident Response membuat Anda mendapat informasi selama investigasi keamanan dengan terlibat dengan tim Respons Insiden Anda melalui kasus Respons Insiden Keamanan. Beberapa anggota Respons Insiden Keamanan AWS Teknik dapat mendukung penyelidikan. Komunikasi dapat mencakup: pengakuan atau pemberitahuan tentang pembuatan investigasi keamanan; membangun jembatan panggilan; analisis artefak seperti file log; permintaan konfirmasi aktivitas yang diharapkan; dan berbagi hasil investigasi.

Ketika Respons Insiden Keamanan AWS secara proaktif melibatkan tim Respons Insiden Anda, sebuah kasus dibuat di akun Respons Insiden Keamanan AWS Keanggotaan Anda, yang memusatkan komunikasi untuk semua akun Organisasi di satu tempat. Kasus-kasus ini berisi awalan “[Kasus proaktif]” dalam judulnya, yang mengidentifikasi mereka seperti yang diprakarsai oleh. Respons Insiden Keamanan AWS Dengan secara aktif terlibat dan memberikan tanggapan tepat waktu terhadap komunikasi ini, tim Respons Insiden Anda dapat membantu Respons Insiden Keamanan AWS melakukan hal berikut:

Efektivitas Respons Insiden Keamanan AWS meningkatkan dengan kolaborasi Anda dan menghasilkan AWS lingkungan yang lebih efektif dipantau dan aman.

Memperbarui Temuan

Respons Insiden Keamanan AWS mengelola temuan secara berbeda tergantung pada sumber dan hasil triasenya.

Layanan Tuning

Jika kuota layanan akun Anda mengizinkan, cobalah Respons Insiden Keamanan AWS menerapkan aturan GuardDuty penindasan Amazon atau aturan otomatisasi.AWS Security Hub CSPM Aturan ini menekan temuan future yang cocok dengan jenis dan sumber aktivitas resmi yang diketahui (misalnya, alamat IP sumber, ASN, prinsipal identitas, atau sumber daya). AWS Security Hub CSPM aturan diterapkan dengan prioritas 10, yang memungkinkan Anda untuk mengganti otomatisasi ini dengan aturan yang ditentukan sendiri jika diperlukan.

Dengan cara ini, Respons Insiden Keamanan AWS menyetel sumber deteksi berdasarkan perilaku yang diharapkan di AWS lingkungan Anda. Tim Respons Insiden Anda diberi tahu tentang modifikasi pada set aturan ini, dan perubahan akan dibatalkan berdasarkan permintaan.