Analizzare

Dopo aver identificato e segnalato un evento di sicurezza, il passaggio successivo consiste nell'analizzare se l'evento segnalato è un falso positivo o un incidente reale. AMS utilizza l'automazione e le tecniche investigative manuali per gestire gli eventi di sicurezza. L'analisi include l'analisi dei log provenienti da diverse fonti di rilevamento, come i registri del traffico di rete, i registri degli host, CloudTrail gli eventi, i registri dei AWS servizi e così via. L'analisi cerca anche modelli che mostrano un comportamento anomalo per correlazione.

La collaborazione è necessaria per comprendere il contesto specifico dell'ambiente dell'account e stabilire ciò che è normale per l'account e i carichi di lavoro. Ciò consente ad AMS di identificare un'anomalia più rapidamente e di accelerare la risposta agli incidenti.

Gestisci le comunicazioni di AMS relative agli eventi di sicurezza

AMS ti tiene informato durante le indagini contattando i tuoi contatti di sicurezza tramite una segnalazione in caso di incidente. Il vostro AMS cloud service delivery manager (CSDM) e l'architetto cloud AMS (CA) sono i punti di contatto a cui rivolgervi per qualsiasi comunicazione durante un'indagine di sicurezza attiva.

La comunicazione include la notifica automatica quando viene generato un avviso di sicurezza, l'analisi della comunicazione dopo l'evento, la creazione di call bridge e la consegna continua di elementi quali file di registro, istantanee delle risorse infette e la trasmissione dei risultati delle indagini all'utente durante l'evento di sicurezza.

I campi standard inclusi nelle notifiche di avviso di sicurezza AMS sono elencati di seguito. Questi campi forniscono informazioni che consentono di indirizzare gli eventi ai team appropriati all'interno dell'organizzazione per la correzione.

Vengono forniti campi aggiuntivi a seconda del tipo di risultato, ad esempio EKS Findings include i dettagli di Pod, Container e Cluster.