# Deteksi
<a name="detection"></a>

Deteksi terdiri dari dua bagian: deteksi perubahan konfigurasi yang tidak diinginkan atau tidak diharapkan, dan deteksi perilaku yang tidak diharapkan. Deteksi yang pertama dapat dilakukan di beberapa tempat dalam siklus hidup pengiriman aplikasi. Menggunakan infrastruktur sebagai kode (misalnya, templat CloudFormation), Anda dapat memeriksa konfigurasi yang tidak diinginkan sebelum melakukan deployment beban kerja dengan mengimplementasikan pemeriksaan dalam pipeline CI/CD atau kontrol sumber. Lalu, seiring dengan deployment beban kerja ke lingkungan produksi dan nonproduksi, Anda dapat memeriksa konfigurasi menggunakan AWS asli, sumber terbuka, atau alat Partner AWS. Pemeriksaan ini dapat dilakukan terhadap konfigurasi yang tidak memenuhi prinsip keamanan atau praktik terbaik, atau perubahan yang dibuat antara konfigurasi yang diuji dan yang di-deploy. Untuk aplikasi yang berjalan, Anda dapat memeriksa apakah konfigurasi telah diubah dengan cara yang tidak diharapkan, termasuk yang di luar peristiwa penskalaan otomatis atau deployment yang tidak dikenal. 

Untuk deteksi bagian yang kedua, perilaku yang tidak diharapkan, Anda dapat menggunakan alat atau memberikan peringatan saat terjadi peningkatan jenis panggilan API tertentu. Menggunakan Amazon GuardDuty, Anda dapat selalu menerima peringatan saat terdapat aktivitas yang tidak diharapkan dan berpotensi tidak sah atau berbahaya di akun AWS Anda. Anda juga harus memantau secara langsung perubahan panggilan API yang tidak Anda maksudkan untuk digunakan dalam beban kerja Anda, serta panggilan API yang mengubah postur keamanan.

Deteksi memungkinkan Anda untuk mengidentifikasi potensi kesalahan konfigurasi keamanan, ancaman, atau perilaku yang tidak diharapkan. Ini merupakan bagian yang sangat penting dalam siklus hidup keamanan dan dapat digunakan untuk mendukung proses yang berkualitas, kewajiban kepatuhan atau hukum, serta upaya identifikasi dan respons terhadap ancaman. Ada beberapa jenis mekanisme deteksi. Misalnya, log dari beban kerja Anda dapat dianalisis untuk exploit yang digunakan. Anda harus meninjau secara rutin mekanisme deteksi yang terkait dengan beban kerja Anda guna memastikan bahwa Anda telah memenuhi persyaratan dan kebijakan internal serta eksternal. Notifikasi dan peringatan otomatis harus didasarkan pada kondisi yang telah ditetapkan untuk memungkinkan tim atau alat Anda dapat melakukan penyelidikan. Mekanisme-mekanisme ini merupakan faktor reaktif penting yang dapat membantu organisasi Anda mengidentifikasi dan memahami cakupan aktivitas anomali. 

Di AWS, ada beberapa pendekatan yang dapat Anda gunakan saat menangani mekanisme deteksi. Bagian berikut akan menjelaskan cara menggunakan pendekatan ini:

**Topics**
+ [SEC04-BP01 Mengonfigurasi pencatatan log layanan dan aplikasi](sec_detect_investigate_events_app_service_logging.md)
+ [SEC04-BP02 Catat log, temuan, dan metrik di lokasi standar](sec_detect_investigate_events_logs.md)
+ [SEC04-BP03 Korelasikan dan perkaya data peringatan keamanan](sec_detect_investigate_events_security_alerts.md)
+ [SEC04-BP04 Mulai melakukan remediasi untuk sumber daya yang tidak mematuhi persyaratan](sec_detect_investigate_events_noncompliant_resources.md)

# SEC04-BP01 Mengonfigurasi pencatatan log layanan dan aplikasi
<a name="sec_detect_investigate_events_app_service_logging"></a>

Pertahankan log peristiwa keamanan dari layanan dan aplikasi. Ini merupakan prinsip fundamental dalam keamanan untuk audit, penyelidikan, dan kasus penggunaan operasional, serta merupakan persyaratan keamanan umum yang didorong oleh prosedur, kebijakan, dan standar tata kelola, risiko, serta kepatuhan (GRC).

 **Hasil yang diinginkan:** Organisasi harus dapat secara andal dan konsisten mengambil log peristiwa keamanan dari layanan dan aplikasi AWS secara tepat waktu ketika diperlukan untuk memenuhi proses atau kewajiban internal, misalnya untuk respons insiden keamanan. Sebaiknya pusatkan log untuk mendapatkan hasil operasional yang lebih baik. 

 **Anti-pola umum:** 
+  Log disimpan tanpa batas waktu yang jelas atau dihapus terlalu cepat. 
+  Semua orang dapat mengakses log. 
+  Sepenuhnya menggunakan proses manual untuk tata kelola dan penggunaan log. 
+  Menyimpan setiap jenis log untuk berjaga-jaga jika diperlukan. 
+  Memeriksa integritas log hanya jika diperlukan. 

 **Manfaat menerapkan praktik terbaik ini:** Menerapkan mekanisme analisis akar penyebab (RCA) untuk insiden keamanan dan sumber bukti untuk kewajiban tata kelola, risiko, dan kepatuhan Anda. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>

 Selama penyelidikan keamanan atau kasus penggunaan lain berdasarkan kebutuhan Anda, Anda harus dapat meninjau log yang relevan untuk mencatat dan memahami seluruh cakupan serta lini masa insiden. Log juga diperlukan untuk pembuatan peringatan yang mengindikasikan bahwa tindakan-tindakan tertentu telah terjadi. Sangat penting bagi Anda untuk memilih, menyalakan, menyimpan, dan menyiapkan mekanisme kueri dan pengambilan serta pembuatan peringatan. 

 **Langkah-langkah implementasi** 
+  **Pilih dan gunakan sumber log.** Sebelum melakukan penyelidikan keamanan, Anda perlu mengambil log yang relevan untuk merekonstruksi aktivitas secara surut di Akun AWS. Pilih sumber log yang relevan dengan beban kerja Anda. 

   Kriteria pemilihan sumber log harus didasarkan pada kasus penggunaan yang diperlukan oleh bisnis Anda. Tetapkan jejak untuk setiap Akun AWS dengan menggunakan AWS CloudTrail atau jejak AWS Organizations, dan konfigurasikan bucket Amazon S3 untuk jejak tersebut. 

   AWS CloudTrail adalah sebuah layanan pencatatan log yang melacak panggilan API yang dibuat terhadap Akun AWS yang merekam aktivitas layanan AWS. Hal ini dinyalakan secara default dengan retensi 90 hari dari peristiwa manajemen yang dapat [diambil melalui fasilitas Riwayat Peristiwa CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) menggunakan Konsol Manajemen AWS, AWS CLI, atau SDK AWS. Untuk retensi dan visibilitas peristiwa data yang lebih lama, Anda perlu [membuat CloudTrail Trail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) dan kaitkan dengan bucket Amazon S3, dan juga dengan grup log Amazon CloudWatch. Selain itu, Anda dapat membuat [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html), yang menyimpan dan mempertahankan log CloudTrail hingga tujuh tahun dan menyediakan fasilitas kueri berbasis SQL 

   AWS merekomendasikan agar pelanggan yang menggunakan lalu lintas jaringan berkemampuan VPC dan log DNS yang menggunakan [Log Alur VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) dan [log kueri Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html) untuk mengalirkannya ke sebuah bucket Amazon S3 atau grup log CloudWatch. Anda dapat membuat log arus VPC untuk VPC, subnet, dan antarmuka jaringan. Untuk Log Arus VPC, Anda dapat memilih cara dan tempat penggunaan Log Arus untuk mengurangi biaya. 

   Log AWS CloudTrail, Log Arus VPC, dan log kueri Route 53 Resolver merupakan sumber pencatatan log dasar untuk mendukung penyelidikan keamanan di AWS. Anda juga dapat menggunakan [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) untuk mengumpulkan, menormalkan, dan menyimpan data log ini dalam format Apache Parquet dan Open Cybersecurity Schema Framework (OCSF), yang siap untuk pelaksanaan kueri. Danau Keamanan juga mendukung log AWS lainnya dan log dari sumber pihak ketiga. 

   Layanan-layanan AWS dapat menghasilkan log yang tidak ditangkap oleh sumber log dasar, seperti log Penyeimbangan Beban Elastis, log AWS WAF, log perekam AWS Config, temuan Amazon GuardDuty, log audit Amazon Elastic Kubernetes Service (Amazon EKS), dan log aplikasi serta sistem operasi instans Amazon EC2. Untuk melihat daftar lengkap opsi pencatatan dan pemantauan, silakan lihat [Lampiran A: Definisi kemampuan cloud — Pencatatan Log dan Peristiwa](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/logging-and-events.html) yang ada di [Panduan Respons Insiden Keamanan AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html). 
+  **Kemampuan pencatatan log penelitian untuk masing-masing layanan dan aplikasi AWS:** Setiap layanan dan aplikasi AWS memberi Anda opsi untuk penyimpanan log, yang masing-masing memiliki kemampuan retensi dan siklus hidupnya sendiri. Dua layanan penyimpanan log yang paling umum adalah layanan Amazon Simple Storage Service (Amazon S3) dan Amazon CloudWatch. Untuk periode retensi yang panjang, sebaiknya gunakan Amazon S3 untuk mendapatkan efektivitas biaya dan kemampuan siklus hidup yang fleksibel. Jika opsi pencatatan log utama adalah Log Amazon CloudWatch, sebagai opsi, Anda dapat mempertimbangkan untuk mengarsipkan log yang jarang diakses ke Amazon S3. 
+  **Pilih penyimpanan log:** Pilihan penyimpanan log umumnya terkait dengan alat kueri yang Anda gunakan, kemampuan retensi, pemahaman, dan biaya. Opsi utama untuk penyimpanan log adalah bucket Amazon S3 atau grup Log CloudWatch. 

   Bucket Amazon S3 menyediakan penyimpanan yang tahan lama dan hemat biaya, dengan kebijakan siklus hidup opsional. Log yang disimpan di dalam bucket Amazon S3 dapat dikueri secara native dengan menggunakan layanan-layanan seperti Amazon Athena. 

   Grup log CloudWatch menyediakan penyimpanan yang tahan lama dan fasilitas kueri bawaan melalui Wawasan Log CloudWatch. 
+  **Identifikasi retensi log yang sesuai:** Saat menggunakan bucket Amazon S3 atau grup log CloudWatch untuk menyimpan log, Anda harus menetapkan siklus hidup yang memadai untuk setiap sumber log guna mengoptimalkan biaya penyimpanan dan pengambilan. Pada umumnya, para pelanggan memiliki waktu antara tiga bulan hingga satu tahun untuk melakukan kueri log, dengan periode retensi hingga tujuh tahun. Pilihan ketersediaan dan retensi harus selaras dengan persyaratan keamanan Anda serta gabungan mandat hukum, peraturan, dan bisnis. 
+  **Gunakan pencatatan log untuk masing-masing layanan dan aplikasi AWS yang memiliki kebijakan retensi dan siklus hidup yang tepat:** Untuk setiap layanan atau aplikasi AWS yang ada di organisasi Anda, cari panduan konfigurasi pencatatan log yang spesifik untuk aplikasi atau layanan tersebut: 
  + [ Konfigurasikan Jejak AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
  + [ Konfigurasikan Amazon VPC Flow Logs ](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
  + [ Konfigurasikan Ekspor Temuan Amazon GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html)
  + [ Konfigurasikan perekaman AWS Config](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-config.html)
  + [ Konfigurasikan lalu lintas ACL web AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html)
  + [ Konfigurasikan log lalu lintas jaringan AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html)
  + [ Konfigurasikan log akses Penyeimbangan Beban Elastis ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-access-logs.html)
  + [ Konfigurasikan log kueri Amazon Route 53 Resolver ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html)
  + [ Konfigurasikan log Amazon RDS ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.html)
  + [ Konfigurasikan log Bidang Kontrol Amazon EKS ](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html)
  + [ Konfigurasikan agen Amazon CloudWatch untuk instans Amazon EC2 dan server on-premise ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
+  **Pilih dan terapkan mekanisme kueri untuk log:** Untuk kueri log, Anda dapat menggunakan [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) untuk data yang disimpan di grup log CloudWatch, serta [Amazon Athena](https://aws.amazon.com/athena/) dan [Amazon OpenSearch Service](https://aws.amazon.com/opensearch-service/) untuk data yang disimpan di Amazon S3. Anda dapat menggunakan alat kueri pihak ketiga, misalnya sebuah layanan informasi keamanan dan manajemen peristiwa (SIEM). 

   Proses untuk memilih alat kueri log harus mempertimbangkan aspek orang, proses, dan teknologi dalam operasi keamanan Anda. Pilihlah sebuah alat yang memenuhi persyaratan operasional, bisnis, dan keamanan, serta dapat diakses dan dipelihara dalam jangka panjang. Perlu diingat bahwa alat kueri log bekerja secara optimal ketika jumlah log yang akan dipindai tidak melebihi batas alat. Tidak jarang terdapat beberapa alat kueri karena adanya kendala biaya atau teknis. 

   Misalnya, Anda mungkin menggunakan alat manajemen informasi dan peristiwa keamanan (SIEM) pihak ketiga untuk menjalankan kueri data selama 90 hari terakhir, tetapi menggunakan Athena untuk menjalankan kueri di atas 90 hari karena biaya penyerapan log SIEM. Terlepas dari implementasi, pastikan pendekatan Anda akan meminimalkan jumlah alat yang diperlukan untuk memaksimalkan efisiensi operasional, khususnya selama penyelidikan peristiwa keamanan. 
+  **Gunakan log untuk pembuatan peringatan:** AWS menyediakan peringatan melalui beberapa layanan keamanan: 
  +  [AWS Config](https://aws.amazon.com/config/) memantau dan merekam konfigurasi sumber daya AWS Anda serta memungkinkan Anda untuk mengotomatisasi evaluasi dan perbaikan berdasarkan konfigurasi yang diinginkan. 
  +  [Amazon GuardDuty](https://aws.amazon.com/guardduty/) adalah sebuah layanan deteksi ancaman yang terus memantau aktivitas berbahaya dan perilaku tidak terotorisasi untuk melindungi Akun AWS dan beban kerja Anda. GuardDuty menyerap, mengumpulkan, dan menganalisis informasi dari sumber, seperti peristiwa manajemen dan data AWS CloudTrail, log DNS, Log Aliran VPC, dan log Audit Amazon EKS. GuardDuty menarik aliran data independen secara langsung dari CloudTrail, Log Aliran VPC, log kueri DNS, dan Amazon EKS. Anda tidak perlu mengelola kebijakan bucket Amazon S3 atau mengubah cara Anda mengumpulkan dan menyimpan log. Sebaiknya tetap simpan dan mempertahankan log tersebut untuk tujuan penyelidikan dan kepatuhan. 
  +  [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) menyediakan satu tempat yang mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan Anda, atau temuan, dari beberapa layanan AWS serta produk pihak ketiga opsional untuk memberikan Anda tampilan peringatan keamanan dan status kepatuhan secara komprehensif. 

   Anda juga dapat menggunakan mesin pembuat peringatan kustom untuk peringatan keamanan yang tidak dicakup oleh layanan-layanan ini atau untuk peringatan tertentu yang relevan dengan lingkungan Anda. Untuk informasi tentang membuat peringatan dan deteksi ini, lihat [Deteksi di Panduan Respons Insiden Keamanan AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html). 

## Sumber daya
<a name="resources"></a>

 **Praktik-praktik terbaik terkait:** 
+  [SEC04-BP02 Catat log, temuan, dan metrik di lokasi standar](sec_detect_investigate_events_logs.md) 
+  [SEC07-BP04 Tentukan manajemen siklus hidup data yang dapat diskalakan](sec_data_classification_lifecycle_management.md) 
+  [SEC10-BP06 Melakukan deployment alat di awal](sec_incident_response_pre_deploy_tools.md) 

 **Dokumen terkait:** 
+ [Panduan Respons Insiden Keamanan AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html)
+ [ Memulai dengan Amazon Security Lake ](https://aws.amazon.com/security-lake/getting-started/)
+ [ Memulai: Log Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)

 **Video terkait:** 
+ [AWS re:Invent 2022 - Memperkenalkan Amazon Security Lake ](https://www.youtube.com/watch?v=V7XwbPPjXSY)

 **Contoh terkait:** 
+ [ Assisted Log Enabler untuk AWS](https://github.com/awslabs/assisted-log-enabler-for-aws/)
+ [Ekspor Historis Temuan AWS Security Hub CSPM](https://github.com/aws-samples/aws-security-hub-findings-historical-export)

# SEC04-BP02 Catat log, temuan, dan metrik di lokasi standar
<a name="sec_detect_investigate_events_logs"></a>

 Tim keamanan mengandalkan log dan temuan untuk melakukan analisis terhadap peristiwa yang mungkin mengindikasikan aktivitas yang tidak sah atau perubahan yang tidak disengaja. Untuk menyederhanakan analisis ini, lakukan perekaman log dan temuan keamanan di lokasi yang terstandardisasi.  Hal ini membuat titik data yang menjadi perhatian tersedia untuk korelasi dan dapat menyederhanakan integrasi alat. 

 **Hasil yang diinginkan:** Anda memiliki pendekatan standar untuk mengumpulkan, menganalisis, dan memvisualisasikan data log, temuan, dan metrik. Tim keamanan dapat secara efisien mengorelasikan, menganalisis, dan memvisualisasikan data keamanan di seluruh sistem yang berbeda untuk menemukan kemungkinan adanya potensi peristiwa keamanan dan mengidentifikasi anomali. Sistem manajemen informasi dan peristiwa keamanan (SIEM) atau mekanisme lainnya diintegrasikan untuk melakukan kueri dan analisis data log guna melakukan respons, pelacakan, dan eskalasi peristiwa keamanan secara tepat waktu. 

 **Anti-pola umum:** 
+  Tim secara mandiri memiliki dan mengelola pencatatan log dan pengumpulan metrik yang tidak konsisten dengan strategi pencatatan log organisasi. 
+  Tim tidak memiliki kontrol akses yang memadai untuk membatasi visibilitas dan perubahan terhadap data yang dikumpulkan. 
+  Tim tidak mengatur log, temuan, dan metrik keamanan mereka sebagai bagian dari kebijakan klasifikasi data. 
+  Tim mengabaikan persyaratan kedaulatan dan pelokalan data saat melakukan konfigurasi terhadap pengumpulan data. 

 **Manfaat menjalankan praktik terbaik ini:** Solusi pencatatan log standar untuk mengumpulkan dan menanyakan data dan peristiwa log akan meningkatkan wawasan yang diperoleh dari informasi yang dikandungnya. Konfigurasi siklus hidup otomatis untuk data log yang dikumpulkan dapat mengurangi biaya yang ditimbulkan oleh penyimpanan log. Anda dapat membuat kontrol akses terperinci untuk informasi log yang dikumpulkan sesuai dengan sensitivitas data dan pola akses yang dibutuhkan oleh tim-tim Anda. Anda dapat mengintegrasikan peralatan untuk mengorelasikan, memvisualisasikan, dan memperoleh wawasan dari data. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>

 Pertumbuhan penggunaan AWS dalam sebuah organisasi menghasilkan peningkatan jumlah beban kerja dan lingkungan yang terdistribusi. Karena masing-masing beban kerja dan lingkungan ini menghasilkan data tentang aktivitas di dalamnya, pencatatan dan penyimpanan data ini secara lokal akan menimbulkan kesulitan untuk operasi keamanan. Tim keamanan menggunakan alat-alat seperti, misalnya sistem manajemen informasi dan peristiwa keamanan (SIEM), untuk mengumpulkan data dari sumber terdistribusi serta menjalani alur kerja korelasi, analisis, dan respons. Hal ini membutuhkan pengelolaan serangkaian izin yang kompleks untuk mengakses berbagai sumber data dan overhead tambahan dalam mengoperasikan proses-proses extract, transform, and load (ETL). 

 Untuk mengatasi tantangan ini, pertimbangkan menggabungkan semua sumber data log keamanan yang relevan ke dalam akun Arsip Log seperti yang dijelaskan dalam [Mengatur Lingkungan AWS Anda dengan Menggunakan Beberapa Akun](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/security-ou-and-accounts.html#log-archive-account). Hal ini mencakup semua data terkait keamanan dari beban kerja dan log yang dihasilkan layanan AWS, seperti, [AWS CloudTrail](https://aws.amazon.com/cloudtrail/), [AWS WAF](https://aws.amazon.com/waf/), [Elastic Load Balancing](https://aws.amazon.com/elasticloadbalancing/), dan [Amazon Route 53](https://aws.amazon.com/route53/). Ada beberapa manfaat untuk merekam data ini di lokasi terstandardisasi dalam sebuah Akun AWS terpisah dengan izin lintas akun yang tepat. Praktik ini membantu mencegah log dimanipulasi dalam beban kerja dan lingkungan yang mengalami kebocoran keamanan, menyediakan satu titik integrasi untuk alat tambahan, dan menawarkan model yang lebih sederhana untuk mengonfigurasi retensi data dan siklus hidup data.  Evaluasi dampak kedaulatan data, cakupan kepatuhan, dan peraturan lainnya untuk menentukan apakah beberapa lokasi penyimpanan data dan periode retensi data keamanan diperlukan. 

 Untuk memudahkan perekaman dan standardisasi log dan temuan, lakukan evaluasi terhadap [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) di akun Arsip Log Anda. Anda dapat mengonfigurasi Danau Keamanan untuk secara otomatis menyerap data dari sumber umum seperti CloudTrail, Route 53, [Amazon EKS](https://aws.amazon.com/eks/), dan [VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html). Anda juga dapat mengonfigurasi AWS Security Hub CSPM sebagai sumber data ke Danau Keamanan, memungkinkan Anda untuk mengkorelasikan temuan dari layanan-layanan AWS lain, seperti [Amazon GuardDuty](https://aws.amazon.com/guardduty/) dan [Amazon Inspector](https://aws.amazon.com/inspector/), dengan data log Anda.  Anda juga dapat menggunakan integrasi sumber data pihak ketiga, atau mengonfigurasi sumber data kustom. Semua integrasi menstandardisasi data Anda ke dalam format [Open Cybersecurity Schema Framework](https://github.com/ocsf) (OCSF), dan disimpan dalam bucket [Amazon S3](https://aws.amazon.com/s3/) sebagai file Parket, sehingga tidak perlu ada pemrosesan ETL. 

 Menyimpan data keamanan di lokasi terstandardisasi akan memberikan kemampuan analitik tingkat lanjut. AWS merekomendasikan Anda untuk men-deploy alat untuk analitik keamanan yang beroperasi di sebuah lingkungan AWS ke akun [Peralatan Keamanan](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/security-ou-and-accounts.html#security-tooling-accounts) yang terpisah dari akun Arsip Log Anda. Pendekatan ini akan memungkinkan Anda untuk mengimplementasikan kontrol secara mendalam guna melindungi integritas dan ketersediaan log serta proses manajemen log, terpisah dari alat yang mengaksesnya.  Pertimbangkan untuk menggunakan layanan-layanan, seperti [Amazon Athena](https://aws.amazon.com/athena/), untuk menjalankan kueri sesuai permintaan yang menghubungkan beberapa sumber data. Anda juga dapat mengintegrasikan alat-alat visualisasi, seperti [Quick](https://aws.amazon.com/quicksight/). Solusi yang didukung AI makin banyak tersedia dan dapat melakukan berbagai fungsi, misalnya menerjemahkan temuan ke dalam ringkasan yang dapat dibaca manusia dan interaksi bahasa yang alami. Solusi ini sering kali lebih mudah diintegrasikan dengan memiliki lokasi penyimpanan data terstandardisasi untuk melakukan kueri. 

## Langkah-langkah implementasi
<a name="implementation-steps"></a>

1.  **Buat akun Arsip Log dan Peralatan Keamanan** 

   1.  Dengan menggunakan AWS Organizations, [buat akun Arsip Log dan Peralatan Keamanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_create.html) di bawah sebuah unit organisasi keamanan. Jika Anda menggunakan AWS Control Tower untuk mengelola organisasi Anda, maka akun Arsip Log dan Alat Keamanan akan dibuat untuk Anda secara otomatis. Konfigurasikan peran dan izin untuk mengakses dan mengelola akun ini sesuai kebutuhan. 

1.  **Konfigurasikan lokasi data keamanan terstandardisasi Anda** 

   1.  Tentukan strategi Anda untuk membuat lokasi data keamanan terstandardisasi.  Anda dapat mencapai ini melalui opsi seperti pendekatan arsitektur danau data umum, produk data pihak ketiga, atau [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/getting-started.html). AWS merekomendasikan agar Anda merekam data keamanan dari Wilayah AWS yang [ikut serta untuk akun](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) Anda, bahkan ketika tidak digunakan secara aktif. 

1.  **Konfigurasikan publikasi sumber data ke lokasi terstandardisasi Anda** 

   1.  Identifikasi sumber-sumber untuk data keamanan Anda dan konfigurasikan untuk dipublikasikan ke lokasi terstandardisasi Anda. Lakukan evaluasi terhadap opsi-opsi untuk mengekspor data secara otomatis dalam format yang diinginkan dan bukan opsi-opsi di mana proses ETL perlu dikembangkan. Dengan Amazon Security Lake, Anda dapat [mengumpulkan data](https://docs.aws.amazon.com/security-lake/latest/userguide/source-management.html) dari sumber AWS yang didukung dan sistem pihak ketiga yang terintegrasi. 

1.  **Konfigurasikan alat untuk mengakses lokasi terstandardisasi Anda** 

   1.  Konfigurasikan alat-alat seperti Amazon Athena, Quick, atau solusi pihak ketiga untuk memiliki akses yang diperlukan ke lokasi terstandardisasi Anda.  Konfigurasikan alat-alat ini agar dapat beroperasi di luar akun Alat Keamanan dengan akses baca lintas akun ke akun Arsip Log, jika diperlukan. [Buat pelanggan di Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-management.html) untuk memberi alat-alat ini akses ke data Anda. 

## Sumber daya
<a name="resources"></a>

 **Praktik-praktik terbaik terkait:** 
+  [ SEC01-BP01 Memisahkan beban kerja menggunakan akun ](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_multi_accounts.html) 
+  [SEC07-BP04 Menentukan manajemen siklus hidup data](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_lifecycle_management.html) 
+  [SEC08-BP04 Menerapkan kontrol akses](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_data_rest_access_control.html) 
+  [OPS08-BP02 Menganalisis log beban kerja](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_workload_observability_analyze_workload_logs.html) 

 **Dokumen terkait:** 
+  [Laporan resmi AWS: Mengatur Lingkungan AWS Anda dengan Menggunakan Beberapa Akun](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) 
+  [Panduan Preskriptif AWS: Arsitektur Referensi Keamanan AWS (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html) 
+  [Panduan Preskriptif AWS: Panduan pencatatan log dan pemantauan untuk pemilik aplikasi](https://docs.aws.amazon.com/prescriptive-guidance/latest/logging-monitoring-for-application-owners/introduction.html) 

 **Contoh terkait:** 
+  [Menggabungkan, mencari, dan memvisualisasikan data log dari sumber terdistribusi dengan Amazon Athena dan Quick](https://aws.amazon.com/blogs/security/aggregating-searching-and-visualizing-log-data-from-distributed-sources-with-amazon-athena-and-amazon-quicksight/) 
+  [Cara memvisualisasikan temuan Amazon Security Lake dengan Quick](https://aws.amazon.com/blogs/security/how-to-visualize-amazon-security-lake-findings-with-amazon-quicksight/) 
+  [Buat wawasan yang didukung AI untuk Amazon Security Lake menggunakan Amazon SageMaker AI Studio dan Amazon Bedrock](https://aws.amazon.com/blogs/security/generate-ai-powered-insights-for-amazon-security-lake-using-amazon-sagemaker-studio-and-amazon-bedrock/) 
+  [Identifikasi anomali keamanan siber dalam data Amazon Security Lake Anda menggunakan Amazon SageMaker AI](https://aws.amazon.com/blogs/machine-learning/identify-cybersecurity-anomalies-in-your-amazon-security-lake-data-using-amazon-sagemaker/) 
+  [Serap, transformasi, dan kirimkan peristiwa yang diterbitkan oleh Amazon Security Lake ke Amazon OpenSearch Service](https://aws.amazon.com/blogs/big-data/ingest-transform-and-deliver-events-published-by-amazon-security-lake-to-amazon-opensearch-service/) 
+  [Sederhanakan analisis log AWS CloudTrail dengan pembuatan kueri bahasa alami di CloudTrail Lake](https://aws.amazon.com/blogs/aws/simplify-aws-cloudtrail-log-analysis-with-natural-language-query-generation-in-cloudtrail-lake-preview/) 

 **Alat terkait:** 
+  [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) 
+  [Integrasi Partner Amazon Security Lake](https://aws.amazon.com/security-lake/partners/) 
+  [Kerangka Kerja Skema Keamanan Siber Terbuka (OCSF)](https://github.com/ocsf) 
+  [Amazon Athena](https://aws.amazon.com/athena/) 
+  [Quick](https://aws.amazon.com/quicksight/) 
+  [Amazon Bedrock](https://aws.amazon.com/bedrock/) 

# SEC04-BP03 Korelasikan dan perkaya data peringatan keamanan
<a name="sec_detect_investigate_events_security_alerts"></a>

 Aktivitas tak terduga dapat menghasilkan beberapa peringatan keamanan yang dibuat oleh sumber yang berbeda, sehingga membutuhkan korelasi dan pengayaan lebih lanjut untuk memahami konteksnya secara lengkap. Terapkan korelasi otomatis dan pengayaan peringatan keamanan untuk membantu mencapai identifikasi dan respons insiden yang lebih akurat. 

 **Hasil yang diinginkan:** Karena aktivitas menghasilkan peringatan yang berbeda dalam beban kerja dan lingkungan Anda, maka mekanisme otomatis menghubungkan data dan memperkaya data tersebut dengan informasi tambahan. Langkah-langkah sebelum pemrosesan (pre-processing) ini menyajikan pemahaman yang lebih mendetail tentang peristiwa, sehingga akan membantu penyelidik Anda dalam menentukan tingkat kekritisan peristiwa tersebut dan apakah peristiwa tersebut merupakan insiden yang memerlukan respons formal. Proses ini akan mengurangi beban pada tim pemantauan dan investigasi Anda. 

 **Anti-pola umum:** 
+  Grup orang yang berbeda menyelidiki temuan dan peringatan yang dihasilkan oleh berbagai sistem, kecuali jika ditentukan lain berdasarkan persyaratan pemisahan tugas.   
+  Organisasi Anda menyalurkan semua data temuan dan peringatan keamanan ke lokasi terstandardisasi, tetapi mengharuskan penyelidik melakukan korelasi dan pengayaan data secara manual. 
+  Anda hanya mengandalkan intelijen sistem deteksi ancaman untuk melaporkan temuan dan menetapkan tingkat kekritisan. 

 **Manfaat menjalankan praktik terbaik ini:** Korelasi otomatis dan pengayaan peringatan akan membantu Anda dalam mengurangi beban kognitif secara keseluruhan dan persiapan data manual yang diperlukan peneliti Anda. Praktik ini dapat mengurangi waktu yang dibutuhkan untuk menentukan apakah peristiwa tersebut merepresentasikan sebuah insiden dan memulai respons formal. Konteks tambahan juga akan membantu Anda untuk menilai secara akurat tingkat keparahan yang sebenarnya dari suatu peristiwa, karena hal itu bisa jadi lebih tinggi atau lebih rendah dari yang diindikasikan oleh satu peringatan mana pun. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah  

## Panduan implementasi
<a name="implementation-guidance"></a>

 Peringatan keamanan dapat berasal dari berbagai sumber yang ada di AWS, termasuk: 
+  Layanan-layanan seperti [Amazon GuardDuty](https://aws.amazon.com/guardduty/), [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/), [Amazon Macie](https://aws.amazon.com/macie/), [Amazon Inspector](https://aws.amazon.com/inspector/), [AWS Config](https://aws.amazon.com/config/), [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html), dan [Penganalisis Akses Jaringan](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html) 
+  Peringatan dari analisis otomatis layanan AWS, infrastruktur, dan log aplikasi, seperti dari [Security Analytics untuk Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/security-analytics.html). 
+  Alarm sebagai respons terhadap perubahan aktivitas penagihan Anda dari sumber seperti [Amazon CloudWatch](https://aws.amazon.com/cloudwatch), [Amazon EventBridge](https://aws.amazon.com/eventbridge/), atau [AWS Budgets](https://aws.amazon.com/aws-cost-management/aws-budgets/). 
+  Sumber pihak ketiga seperti umpan intelijen ancaman dan [Solusi Mitra Keamanan](https://aws.amazon.com/security/partner-solutions/) dari AWS Partner Network 
+  [Kontak oleh AWS Trust & Safety](https://repost.aws/knowledge-center/aws-abuse-report) atau sumber lain, seperti pelanggan atau karyawan internal. 
+  Gunakan [Threat Technique Catalog dari AWS (TTC)](https://aws.amazon.com/blogs/security/aws-cirt-announces-the-launch-of-the-threat-technique-catalog-for-aws/) untuk membantu mengidentifikasi dan mengaitkan perilaku pelaku ancaman melalui identifikasi indikator penyusupan (IoC). TTC merupakan perluasan dari kerangka kerja MITRE ATT&CK, yang mengategorikan seluruh perilaku dan teknik pelaku ancaman yang telah diketahui dan diamati, yang ditujukan terhadap sumber daya AWS. 

 Dalam bentuknya yang paling mendasar, peringatan berisi informasi tentang siapa (*principal* atau *identitas*) yang melakukan apa *(**tindakan* yang diambil) terhadap apa (*sumber daya* yang terdampak tindakan). Untuk masing-masing sumber ini, identifikasi apakah Anda dapat membuat pemetaan di seluruh pengidentifikasi untuk identitas, tindakan, dan sumber daya ini sebagai landasan untuk melakukan korelasi. Hal ini dapat berupa mengintegrasikan sumber peringatan dengan alat manajemen informasi dan peristiwa keamanan (SIEM) untuk melakukan korelasi secara otomatis untuk Anda, membuat pipeline dan pemrosesan data Anda sendiri, atau kombinasi keduanya. 

 Contoh layanan yang dapat melakukan korelasi untuk Anda adalah [Amazon Detective](https://aws.amazon.com/detective). Amazon Detective melakukan penyerapan peringatan yang berkelanjutan dari berbagai sumber AWS dan pihak ketiga, serta menggunakan berbagai bentuk intelijen untuk menyusun grafik visual tentang hubungan peringatan-peringatan tersebut untuk membantu penyelidikan. 

 Meskipun tingkat kekritisan awal sebuah peringatan dapat membantu dalam menentukan prioritisas, konteks yang mendasari terjadinya peringatan tersebut akan menentukan tingkat kekritisan yang sebenarnya. Sebagai contoh, [Amazon GuardDuty](https://aws.amazon.com/guardduty/) dapat mengingatkan bahwa instans Amazon EC2 dalam beban kerja Anda sedang mengueri nama domain yang tidak terduga. GuardDuty mungkin menetapkan tingkat kekritisan yang rendah untuk peringatan ini sendiri. Namun, korelasi otomatis dengan aktivitas lainnya yang terjadi kira-kira pada saat peringatan diberikan mungkin menunjukkan bahwa beberapa ratus instans EC2 di-deploy dengan identitas yang sama, sehingga akan meningkatkan biaya operasi secara keseluruhan. Dalam peristiwa ini, konteks peristiwa yang berkorelasi ini mungkin memerlukan peringatan keamanan baru dan tingkat kekritisannya mungkin harus diubah ke tinggi, sehingga akan mempercepat tindakan lebih lanjut. 

### Langkah-langkah implementasi
<a name="implementation-steps"></a>

1.  Identifikasi sumber untuk informasi peringatan keamanan. Pahami cara peringatan dari sistem ini merepresentasikan identitas, tindakan, dan sumber daya untuk menentukan di mana korelasi mungkin dilakukan. 

1.  Tetapkan sebuah mekanisme untuk merekam peringatan dari berbagai sumber. Pertimbangkan layanan-layanan seperti CSPM Security Hub, EventBridge, dan CloudWatch untuk tujuan ini. 

1.  Identifikasi sumber untuk korelasi dan pengayaan data. Contoh sumber meliputi [AWS CloudTrail](https://aws.amazon.com/cloudtrail/), [Log Aliran VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html), [log Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html), serta log infrastruktur dan aplikasi. Salah satu atau semua log ini dapat dikonsumsi melalui integrasi tunggal dengan [Amazon Security Lake](https://aws.amazon.com/security-lake/). 

1.  Integrasikan peringatan Anda dengan sumber korelasi dan pengayaan data untuk membuat konteks peristiwa keamanan yang lebih mendetail dan menetapkan tingkat kekritisannya. 

   1.  Amazon Detective, alat SIEM, atau solusi pihak ketiga lainnya dapat melakukan penyerapan, korelasi, dan pengayaan data pada tingkat tertentu secara otomatis. 

   1.  Anda juga dapat menggunakan layanan-layanan AWS untuk membuat solusi Anda sendiri. Misalnya, Anda dapat menginvokasi fungsi AWS Lambda untuk menjalankan kueri Amazon Athena terhadap AWS CloudTrail atau Amazon Security Lake, dan memublikasikan hasilnya ke EventBridge. 

## Sumber daya
<a name="resources"></a>

 **Praktik-praktik terbaik terkait:** 
+  [SEC10-BP03 Menyiapkan kemampuan forensik](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_prepare_forensic.html) 
+  [OPS08-BP04 Membuat peringatan yang dapat ditindaklanjuti](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_workload_observability_create_alerts.html) 
+  [REL06-BP03 Mengirimkan notifikasi (Pemrosesan dan pembuatan alarm waktu nyata)](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_monitor_aws_resources_notification_monitor.html) 

 **Dokumen terkait:** 
+  [AWS Panduan Respons Insiden Keamanan](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) 

 **Contoh terkait:** 
+  [Cara memperkaya temuan AWS Security Hub CSPM dengan metadata akun](https://aws.amazon.com/blogs/security/how-to-enrich-aws-security-hub-findings-with-account-metadata/) 

 **Alat terkait:** 
+  [Amazon Detective](https://aws.amazon.com/detective/) 
+  [Amazon EventBridge](https://aws.amazon.com/eventbridge/) 
+  [AWS Lambda](https://aws.amazon.com/lambda/) 
+  [Amazon Athena](https://aws.amazon.com/athena/) 

# SEC04-BP04 Mulai melakukan remediasi untuk sumber daya yang tidak mematuhi persyaratan
<a name="sec_detect_investigate_events_noncompliant_resources"></a>

 Kontrol deteksi Anda mungkin memberikan peringatan tentang sumber daya yang tidak mematuhi persyaratan-persyaratan konfigurasi Anda. Anda dapat mulai melakukan remediasi yang ditentukan secara programatis, baik secara manual maupun otomatis, untuk melakukan remediasi terhadap berbagai sumber daya ini dan membantu meminimalkan dampak-dampak yang mungkin ditimbulkannya. Ketika Anda menentukan remediasi secara programatis, Anda dapat mengambil tindakan yang cepat dan konsisten. 

 Meskipun otomatisasi dapat meningkatkan operasi keamanan, Anda harus mengimplementasikan dan mengelola otomatisasi dengan hati-hati.  Terapkan mekanisme pengawasan dan kontrol yang tepat untuk memastikan bahwa respons otomatis berjalan efektif, akurat, dan selaras dengan kebijakan organisasi dan tingkat risiko yang dapat diterima. 

 **Hasil yang diinginkan:** Anda menentukan standar-standar konfigurasi sumber daya bersama dengan langkah-langkah untuk memulihkan ketika sumber daya terdeteksi tidak sesuai. Jika memungkinkan, Anda sudah harus menentukan remediasi secara programatis sehingga remediasi ini dapat dimulai baik secara manual maupun dengan otomatisasi. Sistem deteksi tersedia untuk mengidentifikasi sumber daya yang tidak mematuhi persyaratan dan memublikasikan peringatan ke alat-alat tersentralisasi yang dipantau oleh personel keamanan Anda. Dengan alat-alat ini, remediasi programatis Anda dapat dijalankan, baik secara manual maupun otomatis. Remediasi otomatis memiliki mekanisme pengawasan dan kontrol yang tepat untuk mengatur penggunaannya. 

 **Anti-pola umum:** 
+  Anda mengimplementasikan otomatisasi, tetapi gagal menguji dan memvalidasi tindakan-tindakan remediasi secara menyeluruh. Hal ini dapat menimbulkan konsekuensi-konsekuensi yang tidak diinginkan, seperti mengganggu operasi bisnis yang sah atau menyebabkan ketidakstabilan terhadap sistem. 
+  Anda mengoptimalkan waktu dan prosedur respons melalui otomatisasi, tetapi tanpa pemantauan dan mekanisme yang tepat yang memungkinkan intervensi dan penilaian manusia saat diperlukan. 
+  Anda hanya mengandalkan remediasi, bukannya menggunakan remediasi sebagai salah satu bagian dari program respons dan pemulihan insiden yang lebih luas. 

 **Manfaat menjalankan praktik terbaik ini:** Remediasi otomatis dapat merespons kesalahan konfigurasi lebih cepat daripada proses manual, sehingga akan membantu Anda meminimalkan potensi dampak bisnis dan mengurangi jendela peluang terjadinya penggunaan yang tidak diinginkan. Ketika Anda menentukan remediasi secara terprogram, remediasi akan diterapkan secara konsisten, dan hal ini akan mengurangi risiko kesalahan manusia. Otomatisasi juga dapat menangani volume peringatan yang lebih besar yang muncul secara bersamaan, yang merupakan hal yang sangat penting di lingkungan yang beroperasi dalam skala besar.   

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>

 Seperti dijelaskan dalam [SEC01-BP03 Identifikasikan dan validasikan tujuan kontrol](sec_securely_operate_control_objectives.md), layanan seperti [AWS Config](https://aws.amazon.com/config/) dan [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) dapat membantu Anda memantau konfigurasi sumber daya di akun Anda untuk kepatuhan terhadap persyaratan Anda. Ketika sumber daya yang tidak mematuhi persyaratan terdeteksi, layanan seperti AWS Security Hub CSPM dapat membantu merutekan peringatan dengan tepat dan melakukan remediasi. Solusi ini akan menyediakan sebuah tempat terpusat bagi penyelidik keamanan Anda untuk memantau masalah dan mengambil tindakan korektif. 

 Selain AWS Security Hub CSPM, AWS juga memperkenalkan [Security Hub Advanced](https://aws.amazon.com/security-hub/). Layanan ini, yang diumumkan di re:Invent 2025, mentransformasi cara organisasi memprioritaskan masalah keamanan paling kritis mereka dan merespons dalam skala besar untuk melindungi lingkungan cloud mereka. Hub Keamanan yang disempurnakan sekarang menggunakan analitik tingkat lanjut untuk mengorelasikan, memperkaya, dan memprioritaskan secara otomatis sinyal keamanan di seluruh lingkungan cloud Anda. Hub Keamanan terintegrasi mulus dengan [Amazon GuardDuty](https://aws.amazon.com/guardduty/), [Amazon Inspector](https://aws.amazon.com/inspector/), [Amazon Macie](https://aws.amazon.com/macie/), dan [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/cspm/features/). Temuan yang dikorelasikan di Hub Keamanan dapat menghasilkan temuan baru yang disebut temuan eksposur (exposure finding), yang mencakup asumsi jalur serangan berdasarkan kerentanan yang ditemukan di setiap sumber daya. 

 Meskipun beberapa situasi sumber daya yang tidak mematuhi persyaratan bersifat unik dan memerlukan penilaian manusia untuk diremediasi, namun situasi lainnya memiliki respons standar yang dapat Anda tentukan secara programatis. Misalnya, respons standar terhadap grup keamanan VPC yang mengalami salah konfigurasi dapat berupa tindakan menghapus aturan yang tidak diizinkan dan memberi tahu pemiliknya. Respons dapat didefinisikan dalam fungsi [AWS Lambda](https://aws.amazon.com/pm/lambda), dokumen [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), atau melalui lingkungan kode lain yang Anda inginkan. Pastikan lingkungan tersebut dapat mengautentikasi ke AWS menggunakan peran IAM dengan jumlah izin minimal yang diperlukan untuk mengambil tindakan korektif. 

 Setelah Anda menentukan perbaikan yang diinginkan, Anda kemudian dapat menentukan cara pilihan yang akan Anda gunakan untuk memulainya. AWS Config dapat [memulai perbaikan](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html) untuk Anda. Jika Anda menggunakan CSPM Security Hub, Anda dapat melakukannya melalui [tindakan kustom](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cwe-custom-actions.html), yang menerbitkan informasi temuan ke [Amazon EventBridge](https://aws.amazon.com/eventbridge/). Aturan EventBridge kemudian dapat memulai remediasi Anda. Anda dapat mengonfigurasi remediasi di CSPM Security Hub untuk dijalankan secara otomatis atau manual.  

 Untuk remediasi terprogram, sebaiknya Anda memiliki log dan audit komprehensif untuk tindakan yang diambil, serta hasilnya. Lakukan peninjauan dan analisis terhadap log ini untuk menilai efektivitas proses yang terjadi secara otomatis, dan mengidentifikasi area perbaikan yang mungkin dilakukan. Rekam log di [Log Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) dan hasil remediasi sebagai [catatan temuan](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html) di CSPM Security Hub. 

 Sebagai titik awal, pertimbangkan [Respons Keamanan Otomatis AWS](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/), yang memiliki remediasi pra-bangun untuk menyelesaikan kesalahan konfigurasi keamanan yang sering terjadi. 

### Langkah-langkah implementasi
<a name="implementation-steps"></a>

1.  Analisis dan prioritaskan peringatan. 

   1.  Konsolidasikan peringatan keamanan dari berbagai layanan AWS ke dalam CSPM Security Hub untuk visibilitas, prioritas, dan remediasi terpusat. 

1.  Kembangkan remediasi. 

   1.  Gunakan layanan-layanan seperti Systems Manager dan AWS Lambda untuk menjalankan remediasi programatis. 

1.  Konfigurasikan cara remediasi dimulai. 

   1.  Menggunakan Systems Manager, tentukan tindakan kustom yang memublikasikan temuan ke EventBridge. Konfigurasikan tindakan-tindakan ini untuk dimulai secara manual atau otomatis. 

   1.  Anda juga dapat menggunakan [Amazon Simple Notification Service (SNS)](https://aws.amazon.com/sns/) untuk mengirim notifikasi dan peringatan kepada para pemangku kepentingan terkait (seperti tim keamanan atau tim respons insiden) untuk intervensi atau eskalasi manual, jika diperlukan. 

1.  Tinjau dan analisis log remediasi untuk menentukan efektivitas dan peningkatan. 

   1.  Mengirimkan output log ke CloudWatch Logs. Rekam hasil sebagai catatan temuan di CSPM Security Hub. 

## Sumber daya
<a name="resources"></a>

 **Praktik-praktik terbaik terkait:** 
+  [SEC06-BP03 Kurangi manajemen manual dan akses interaktif](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_compute_reduce_manual_management.html) 

 **Dokumen terkait:** 
+  [AWS Panduan Respons Insiden Keamanan - Deteksi](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html) 

 **Contoh terkait:** 
+  [Respons Keamanan Otomatis di AWS](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/) 
+  [Pantau pasangan kunci instans EC2 dengan menggunakan AWS Config](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/monitor-ec2-instance-key-pairs-using-aws-config.html) 
+  [Buat aturan kustom AWS Config dengan menggunakan kebijakan AWS CloudFormation Guard](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/create-aws-config-custom-rules-by-using-aws-cloudformation-guard-policies.html) 
+  [Secara otomatis memulihkan instans dan klaster Amazon RDS DB yang tidak terenkripsi](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-remediate-unencrypted-amazon-rds-db-instances-and-clusters.html) 

 **Alat terkait:** 
+  [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) 
+  [Respons Keamanan Otomatis di AWS](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/)