Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Deteksi
Peringatan adalah komponen utama dari fase deteksi. Ini menghasilkan pemberitahuan untuk memulai proses respons insiden berdasarkan aktivitas ancaman AWS akun yang menarik.
Akurasi peringatan merupakan hal yang menantang; terjadinya, berlangsungnya, atau akan terjadinya suatu insiden tidak selalu dapat ditentukan dengan pasti. Berikut ini beberapa alasannya:
+ Mekanisme deteksi didasarkan pada simpangan dasar, pola yang diketahui, dan pemberitahuan dari entitas internal atau eksternal.
+ Karena sifat teknologi dan manusia yang tidak dapat diprediksi, yaitu *cara* dan *aktor* insiden keamanan, garis dasar berubah seiring waktu. Pola nakal muncul melalui *taktik*, *teknik*, dan *prosedur* aktor ancaman baru atau yang dimodifikasi ()TTPs.
+ Perubahan pada orang, teknologi, dan proses tidak segera dimasukkan ke dalam proses respons insiden. Sebagian di antaranya ditemukan dalam proses penyelidikan.
# Sumber peringatan
Anda sebaiknya mempertimbangkan sumber berikut untuk menentukan peringatan:
+ **Temuan** — AWS layanan seperti [Amazon GuardDuty, Amazon](https://aws.amazon.com/guardduty/) [Macie [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/), Amazon](https://aws.amazon.com/macie/) [Inspector](https://aws.amazon.com/inspector/),, [IAM Access Analyzer [AWS Config](https://aws.amazon.com/config/), [dan Network Access](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html)](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) Analyzer menghasilkan temuan yang dapat digunakan untuk membuat peringatan.
+ **Log — log** AWS layanan, infrastruktur, dan aplikasi yang disimpan di bucket Amazon S3 dan grup CloudWatch log dapat diuraikan dan dikorelasikan untuk menghasilkan peringatan.
+ **Aktivitas penagihan** – Perubahan mendadak dalam aktivitas penagihan dapat mengindikasikan adanya peristiwa keamanan. Ikuti dokumentasi tentang [Membuat alarm penagihan untuk memantau perkiraan AWS biaya Anda](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/monitor_estimated_charges_with_cloudwatch.html) untuk memantau hal ini.
+ **Intelijen ancaman siber** – Jika Anda berlangganan feed intelijen ancaman siber pihak ketiga, Anda dapat menghubungkan informasi tersebut dengan alat pencatatan dan pemantauan lainnya untuk mengidentifikasi indikator potensial peristiwa.
+ **Alat partner** – Partner di AWS Partner Network (APN) menawarkan produk unggulan yang dapat membantu Anda memenuhi tujuan keamanan Anda. Untuk respons insiden, produk partner dengan deteksi dan respons titik akhir (EDR) atau SIEM dapat membantu mendukung tujuan respons insiden Anda. Untuk informasi selengkapnya, lihat [Solusi Partner Keamanan](https://aws.amazon.com/security/partner-solutions/) dan [Solusi Keamanan di AWS Marketplace](https://aws.amazon.com/marketplace/solutions/security).
+ **AWS kepercayaan dan keamanan** — Dukungan dapat menghubungi pelanggan jika kami mengidentifikasi aktivitas kasar atau berbahaya.
+ ** Sekali kontak** – Karena sesuatu yang tidak biasa mungkin saja diperhatikan oleh pelanggan, developer, atau staf lain di organisasi Anda, penting agar Anda memiliki metode yang dikenali dan dipublikasikan dengan baik untuk menghubungi tim keamanan Anda. Pilihan populer termasuk sistem tiket, alamat email kontak, dan formulir web. Jika organisasi Anda bekerja dengan masyarakat umum, Anda mungkin juga memerlukan mekanisme kontak keamanan yang digunakan publik.
Untuk informasi selengkapnya tentang kemampuan cloud yang dapat Anda gunakan selama penyelidikan, lihat [Lampiran A: Definisi kemampuan cloud](appendix-a-cloud-capability-definitions.md) di dokumen ini.
# Deteksi sebagai bagian dari rekayasa kontrol keamanan
Mekanisme deteksi merupakan bagian integral dari pengembangan kontrol keamanan. Ketika kontrol *direktif* dan *pencegahan* ditentukan, kontrol *detektif* dan *responsif* terkait harus dibangun. Sebagai contoh, sebuah organisasi menetapkan kontrol direktif yang terkait dengan pengguna root AWS akun, yang seharusnya hanya digunakan untuk aktivitas spesifik dan sangat terdefinisi dengan baik. Mereka mengaitkannya dengan kontrol preventif yang diterapkan dengan menggunakan kebijakan kontrol layanan AWS organisasi (SCP). Jika aktivitas pengguna root di luar baseline yang diharapkan terjadi, kontrol detektif yang diterapkan dengan EventBridge aturan dan topik SNS akan memperingatkan pusat operasi keamanan (SOC). Dalam kontrol responsif, SOC memilih playbook yang sesuai, melakukan analisis, dan bekerja sampai insiden terselesaikan.
Kontrol keamanan paling baik ditentukan oleh pemodelan ancaman beban kerja yang berjalan di AWS. Tingkat kekritisan kontrol detektif akan ditetapkan dengan melihat analisis dampak bisnis (BIA) untuk beban kerja tertentu. Peringatan yang dihasilkan oleh kontrol detektif tidak ditangani saat masuk, melainkan berdasarkan kekritisan awalnya, untuk disesuaikan selama analisis. Set kekritisan awal adalah bantuan untuk menentukan prioritas; konteks terjadinya peringatan akan menentukan kekritisan yang sebenarnya. Sebagai contoh, sebuah organisasi menggunakan Amazon GuardDuty sebagai komponen kontrol detektif yang digunakan untuk instans EC2 yang merupakan bagian dari beban kerja. Temuan `Impact:EC2/SuspiciousDomainRequest.Reputation` ini dibuat, menginformasikan Anda bahwa instans Amazon EC2 yang terdaftar dalam beban kerja Anda sedang melakukan kueri terhadap nama domain yang dicurigai berbahaya. Peringatan ini ditetapkan secara default sebagai tingkat keparahan rendah, dan saat fase analisis berlangsung, ditentukan bahwa beberapa ratus instans EC2 jenis `p4d.24xlarge` telah digunakan oleh aktor yang tidak memiliki otorisasi, meningkatkan biaya operasi organisasi tersebut secara signifikan. Pada titik ini, tim respons insiden membuat keputusan untuk menyesuaikan kekritisan peringatan ini menjadi *tinggi*, meningkatkan rasa urgensi dan mempercepat tindakan lebih lanjut. Perhatikan bahwa tingkat keparahan GuardDuty temuan tidak dapat diubah.
# Menerapkan kontrol detektif
Penting untuk memahami bagaimana kontrol detektif diterapkan karena kontrol tersebut membantu menentukan bagaimana peringatan akan digunakan untuk peristiwa tertentu. Ada dua implementasi utama untuk kontrol detektif teknis:
+ **Deteksi perilaku** bergantung pada model matematika yang biasa disebut sebagai machine learning (ML) atau kecerdasan buatan (AI). Deteksi dilakukan dengan inferensi; oleh karena itu, peringatan mungkin tidak mencerminkan peristiwa yang sebenarnya.
+ **Deteksi berbasis aturan** bersifat deterministik; pelanggan dapat mengatur parameter yang tepat dari aktivitas apa yang akan memunculkan peringatan, dan itu bersifat pasti.
Implementasi modern sistem detektif, seperti sistem deteksi intrusi (IDS), umumnya memiliki dengan kedua mekanisme tersebut. Berikut adalah beberapa contoh untuk deteksi berbasis aturan dan perilaku dengan. GuardDuty
+ Ketika temuan `Exfiltration:IAMUser/AnomalousBehavior` dibuat, temuan tersebut menginformasikan bahwa “terdapat permintaan API anomali di akun Anda”. Saat Anda melihat lebih jauh ke dalam dokumentasi, ia memberi tahu Anda bahwa “Model ML mengevaluasi semua permintaan API di akun Anda dan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh musuh,” yang menunjukkan bahwa temuan ini bersifat perilaku.
+ Untuk temuan GuardDuty ini`Impact:S3/MaliciousIPCaller`, menganalisis panggilan API dari layanan Amazon S3 di CloudTrail, membandingkan elemen `SourceIPAddress` log dengan tabel alamat IP publik yang mencakup umpan intelijen ancaman. Setelah menemukan kecocokan langsung dengan sebuah entri, temuan akan dihasilkan.
Kami merekomendasikan untuk menerapkan campuran peringatan berbasis perilaku dan aturan, karena menerapkan peringatan berbasis aturan untuk setiap aktivitas dalam model ancaman Anda bukanlah hal yang selalu memungkinkan.
# Deteksi berbasis orang
Pada titik ini, kita telah membahas deteksi berbasis teknologi. Sumber deteksi penting lainnya berasal dari orang-orang di dalam atau di luar organisasi pelanggan. *Orang dalam* dapat didefinisikan sebagai karyawan atau kontraktor, dan *orang luar* adalah entitas seperti peneliti keamanan, penegak hukum, berita, dan media sosial.
Meskipun deteksi berbasis teknologi dapat dikonfigurasi secara sistematis, deteksi berbasis orang datang dalam berbagai bentuk seperti email, tiket, surat, kiriman berita, panggilan telepon, dan interaksi langsung. Notifikasi deteksi berbasis teknologi dapat diharapkan untuk dikirimkan secara hampir waktu nyata, tetapi deteksi berbasis orang tidak memiliki jadwal yang bisa diacu secara pasti. Sangat penting bahwa budaya keamanan menggabungkan, memfasilitasi, dan memberdayakan mekanisme deteksi berbasis orang untuk pendekatan pertahanan yang mendalam terhadap keamanan.
# Ringkasan
Dengan deteksi, penting untuk memiliki campuran peringatan berbasis aturan dan perilaku. Selain itu, Anda harus memiliki mekanisme untuk orang, baik secara internal maupun eksternal, untuk mengirimkan tiket tentang masalah keamanan. Manusia dapat menjadi salah satu sumber paling berharga untuk peristiwa keamanan, jadi penting untuk memiliki proses bagi orang untuk mengeskalasikan kekhawatirannya. Anda sebaiknya menggunakan model ancaman lingkungan Anda untuk mulai membangun deteksi. Model ancaman akan membantu Anda membangun peringatan berdasarkan ancaman yang paling relevan dengan lingkungan Anda. Terakhir, Anda dapat menggunakan kerangka kerja seperti MITRE ATT&CK untuk memahami taktik, teknik, dan prosedur aktor ancaman (). TTPs Kerangka kerja MITRE ATT&CK dapat membantu untuk digunakan sebagai bahasa umum di berbagai mekanisme deteksi Anda.