Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Rilevamento
<a name="detection"></a>

 Un avviso è il componente principale della fase di rilevamento. Genera una notifica per avviare il processo di risposta agli incidenti in base all'attività di minaccia dell' AWS account di interesse. 

 La precisione degli avvisi è difficile; non è sempre possibile determinare con assoluta certezza se un incidente si è verificato, è in corso o se si verificherà in futuro. Ecco alcuni motivi: 
+  I meccanismi di rilevamento si basano sulla deviazione di base, sugli schemi noti e sulla notifica da parte di entità interne o esterne. 
+  A causa della natura imprevedibile della tecnologia e delle persone, rispettivamente dei *mezzi e degli* *attori degli incidenti di sicurezza, i valori di base cambiano nel* tempo. **I modelli anomali emergono attraverso *tattiche*, tecniche e procedure nuove o modificate per gli attori delle minacce ().** TTPs 
+  Le modifiche alle persone, alla tecnologia e ai processi non vengono incorporate immediatamente nel processo di risposta agli incidenti. Alcune vengono scoperte durante lo svolgimento di un'indagine. 

# Sorgenti di avviso
<a name="alert-sources"></a>

 È consigliabile prendere in considerazione l'utilizzo delle seguenti fonti per definire gli avvisi: 
+ **Risultati**: AWS servizi come [Amazon GuardDuty, Amazon](https://aws.amazon.com/guardduty/) [Macie [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/), Amazon](https://aws.amazon.com/macie/) [Inspector [AWS Config](https://aws.amazon.com/config/)](https://aws.amazon.com/inspector/)[, IAM Access Analyzer [e Network](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html) Access](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) Analyzer generano risultati che possono essere utilizzati per creare avvisi.
+ Registri: **i log** di AWS servizi, infrastrutture e applicazioni archiviati nei bucket e nei gruppi di log di Amazon S3 possono essere analizzati CloudWatch e correlati per generare avvisi. 
+ Attività di **fatturazione: un cambiamento improvviso nell'attività di fatturazione può** indicare un evento di sicurezza. Consulta la documentazione sulla [creazione di un allarme di fatturazione per monitorare gli AWS addebiti stimati. A tal fine, è necessario tenere](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/monitor_estimated_charges_with_cloudwatch.html) sotto controllo questa situazione. 
+ **Intelligence sulle minacce informatiche**: se ti abboni a un feed di intelligence sulle minacce informatiche di terze parti, puoi correlare tali informazioni con altri strumenti di registrazione e monitoraggio per identificare potenziali indicatori di eventi. 
+ **Strumenti per i partner**: i partner di AWS Partner Network (APN) offrono prodotti di alto livello che possono aiutarti a raggiungere i tuoi obiettivi di sicurezza. Per quanto riguarda la risposta agli incidenti, i prodotti dei partner con endpoint detection and response (EDR) o SIEM possono aiutarti a raggiungere gli obiettivi di risposta agli incidenti. Per ulteriori informazioni, vedere [Security Partner Solutions](https://aws.amazon.com/security/partner-solutions/) e [Security Solutions](https://aws.amazon.com/marketplace/solutions/security) nel. Marketplace AWS
+ **AWS fiducia e sicurezza**: Supporto potremmo contattare i clienti se identifichiamo attività abusive o dannose.
+ **Contatto una tantum**: poiché possono essere clienti, sviluppatori o altro personale dell'organizzazione a notare qualcosa di insolito, è importante disporre di un metodo noto e ben pubblicizzato per contattare il team di sicurezza. Le scelte più comuni includono sistemi di biglietteria, indirizzi e-mail di contatto e moduli web. Se la tua organizzazione lavora con il pubblico in generale, potresti aver bisogno anche di un meccanismo di contatto di sicurezza rivolto al pubblico. 

 Per ulteriori informazioni sulle funzionalità cloud che puoi utilizzare durante le tue indagini, consulta questo documento[Appendice A: Definizioni delle funzionalità cloud](appendix-a-cloud-capability-definitions.md). 

# Il rilevamento come parte dell'ingegneria del controllo della sicurezza
<a name="detection-as-security-control-engineering"></a>

 I meccanismi di rilevamento sono parte integrante dello sviluppo del controllo della sicurezza. Una volta definiti i controlli *direttivi* e *preventivi**, è necessario costruire i relativi controlli *investigativi* e reattivi*. Ad esempio, un'organizzazione stabilisce un controllo direttivo relativo all'utente root di un AWS account, che dovrebbe essere utilizzato solo per attività specifiche e ben definite. Lo associano a un controllo preventivo implementato utilizzando la politica di controllo dei servizi (SCP) di un' AWS organizzazione. Se si verifica un'attività dell'utente root oltre la linea di base prevista, un controllo investigativo implementato con una EventBridge regola e un argomento SNS avviserà il Security Operations Center (SOC). Il controllo reattivo prevede che il SOC selezioni il playbook appropriato, esegua l'analisi e lavori fino alla risoluzione dell'incidente. 

 Il modo migliore per definire i controlli di sicurezza è la modellazione delle minacce dei carichi di lavoro in esecuzione. AWS La criticità dei controlli investigativi verrà stabilita esaminando l'analisi dell'impatto aziendale (BIA) per il particolare carico di lavoro. Gli avvisi generati dai controlli investigativi non vengono gestiti man mano che arrivano, ma piuttosto in base alla loro criticità iniziale, per essere corretti durante l'analisi. Il set di criticità iniziale aiuta a stabilire le priorità; il contesto in cui si è verificato l'avviso determinerà la sua vera criticità. Ad esempio, un'organizzazione utilizza Amazon GuardDuty come componente del controllo investigativo utilizzato per le istanze EC2 che fanno parte di un carico di lavoro. Il risultato `Impact:EC2/SuspiciousDomainRequest.Reputation` viene generato e ti informa che l'istanza Amazon EC2 elencata all'interno del tuo carico di lavoro sta interrogando un nome di dominio sospettato di essere dannoso. Questo avviso è impostato di default su un livello di gravità basso e, man mano che la fase di analisi procede, è stato stabilito che diverse centinaia di istanze EC2 di questo tipo sono `p4d.24xlarge` state implementate da un attore non autorizzato, con un aumento significativo dei costi operativi dell'organizzazione. A questo punto, il team addetto alla risposta agli incidenti decide di aumentare la criticità di questo avviso, aumentando il senso di *urgenza* e accelerando ulteriori azioni. Tieni presente che la gravità del GuardDuty rilevamento non può essere modificata. 

# Implementazioni del controllo investigativo
<a name="detective-control-implementations"></a>

 È importante capire come vengono implementati i controlli investigativi perché aiutano a determinare come verrà utilizzato l'avviso per un particolare evento. Esistono due implementazioni principali dei controlli investigativi tecnici: 
+  Il **rilevamento comportamentale** si basa su modelli matematici comunemente denominati apprendimento automatico (ML) o intelligenza artificiale (AI). Il rilevamento viene effettuato per inferenza; pertanto, l'avviso potrebbe non riflettere necessariamente un evento reale. 
+  Il **rilevamento basato su regole** è deterministico; i clienti possono impostare i parametri esatti dell'attività su cui ricevere avvisi, e questo è certo. 

 Le moderne implementazioni di sistemi di rilevamento, come un sistema di rilevamento delle intrusioni (IDS), sono generalmente dotate di entrambi i meccanismi. Di seguito sono riportati alcuni esempi di rilevamenti comportamentali e basati su regole con. GuardDuty 
+  Quando il risultato `Exfiltration:IAMUser/AnomalousBehavior` viene generato, ti informa che «è stata rilevata una richiesta API anomala nel tuo account». Se approfondisci la documentazione, ti viene detto che «Il modello ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari», indicando che questo risultato è di natura comportamentale. 
+  Per la scoperta`Impact:S3/MaliciousIPCaller`, GuardDuty sta analizzando le chiamate API dal servizio CloudTrail Amazon S3, confrontando `SourceIPAddress` l'elemento di registro con una tabella di indirizzi IP pubblici che include feed di intelligence sulle minacce. Una volta trovata una corrispondenza diretta con una voce, genera il risultato. 

 Consigliamo di implementare una combinazione di avvisi comportamentali e basati su regole, poiché non è sempre possibile implementare avvisi basati su regole per ogni attività all'interno del modello di minaccia. 

# Rilevamento basato sulle persone
<a name="people-based-detection"></a>

 Fino a questo punto, abbiamo discusso del rilevamento basato sulla tecnologia. L'altra importante fonte di rilevamento proviene da persone interne o esterne all'organizzazione del cliente. *Gli addetti ai lavori* possono essere definiti come dipendenti o collaboratori, mentre *gli estranei* sono entità come i ricercatori in materia di sicurezza, le forze dell'ordine, i notiziari e i social media. 

 Sebbene il rilevamento basato sulla tecnologia possa essere configurato sistematicamente, il rilevamento basato sulle persone si presenta in una varietà di forme come e-mail, biglietti, posta, post di notizie, telefonate e interazioni di persona. Ci si può aspettare che le notifiche di rilevamento basate sulla tecnologia vengano fornite quasi in tempo reale, ma non ci sono aspettative di tempistiche per il rilevamento basato sulle persone. È fondamentale che la cultura della sicurezza incorpori, faciliti e potenzi i meccanismi di rilevamento basati sulle persone per un approccio di difesa approfondito alla sicurezza. 

# Riepilogo
<a name="detection-summary"></a>

 Per quanto riguarda il rilevamento, è importante disporre di un mix di avvisi basati su regole e basati sul comportamento. Inoltre, è necessario disporre di meccanismi che consentano alle persone, interne ed esterne, di inviare un ticket relativo a un problema di sicurezza. Gli esseri umani possono essere una delle fonti più preziose per gli eventi di sicurezza, quindi è importante disporre di processi che consentano alle persone di esprimere le proprie preoccupazioni. È necessario utilizzare i modelli di minaccia del proprio ambiente per iniziare a rilevare gli edifici. I modelli di minaccia ti aiuteranno a creare avvisi basati sulle minacce più pertinenti al tuo ambiente. Infine, è possibile utilizzare framework come MITRE ATT&CK per comprendere tattiche, tecniche e procedure degli attori delle minacce (). TTPs Il framework MITRE ATT&CK può essere utile da utilizzare come linguaggio comune tra i vari meccanismi di rilevamento.