検出
アラートは、検出フェーズの主要コンポーネントです。対象の AWS アカウントのアクティビティに基づいて、インシデント対応プロセスの開始通知を生成します。
精度の高いアラートの生成は難しく、インシデントが発生したか、進行中か、または将来発生するかを常に確実に判断できるわけではありません。いくつかの理由を次に示します。
-
検出メカニズムは、ベースラインからの逸脱、既知のパターン、内部または外部エンティティからの通知に基づいています。
-
それぞれがセキュリティインシデントの手段とアクターであるテクノロジーと人員の予測不可能な性質が原因で、ベースラインは時間の経過に伴って変化します。不正なパターンは、脅威アクターの新しいまたは変更された戦術、技術、手順 (TTP) を通じて発生します。
-
人員、テクノロジー、プロセスへの変更は、インシデント対応プロセスにすぐには組み込まれません。調査の進行中に発見されるものもあります。
