分析

セキュリティイベントを特定して報告した後、次のステップは、報告されたイベントが誤検出か実際のインシデントかを分析することです。AMS は、自動化と手動調査の手法を使用してセキュリティイベントを処理します。分析には、ネットワークトラフィックログ、ホストログ、CloudTrail イベント、 AWS サービスログなど、さまざまな検出ソースからのログの調査が含まれます。この分析では、相関によって異常な動作を示すパターンも検索します。

パートナーシップは、アカウント環境に固有のコンテキストを理解し、アカウントとワークロードの正常性を確立するために必要です。これにより、AMS は異常をより迅速に特定し、インシデント対応を加速できます。

セキュリティイベントに関する AMS からの通信を処理する

AMS は、インシデントチケットを通じてセキュリティ連絡先を関与させることで、調査中に情報を提供します。AMS クラウドサービスデリバリーマネージャー (CSDM) と AMS クラウドアーキテクト (CA) は、アクティブなセキュリティ調査中の通信のために に連絡すべき連絡先です。

通信には、セキュリティアラートの生成時の自動通知、イベント分析後の通信、通話ブリッジの確立、ログファイルなどのアーティファクトの継続的な配信、感染したリソースのスナップショット、セキュリティイベント中の調査結果の取得が含まれます。

AMS セキュリティアラート通知に含まれる標準フィールドを以下に示します。これらのフィールドには、修復のために組織内の適切なチームにイベントをルーティングするための情報が表示されます。

検出結果タイプに応じて追加のフィールドが提供されます。例えば、EKS 検出結果には Pod、コンテナ、クラスターの詳細が含まれます。