Analisar

Depois que um evento de segurança é identificado e relatado, a próxima etapa é analisar se o evento relatado é um falso positivo ou um incidente real. O AMS usa automação e técnicas de investigação manual para lidar com eventos de segurança. A análise inclui a investigação de registros de diferentes fontes de detecção, como registros de tráfego de rede, registros de host, CloudTrail eventos, registros AWS de serviços e assim por diante. A análise também busca padrões que mostram um comportamento anômalo por correlação.

Sua parceria é necessária para entender o contexto específico do ambiente da conta e estabelecer o que é normal para sua conta e suas cargas de trabalho. Isso ajuda o AMS a identificar uma anomalia mais rapidamente e a uma resposta acelerada a incidentes.

Gerencie as comunicações do AMS sobre eventos de segurança

O AMS mantém você informado durante a investigação, envolvendo seus contatos de segurança por meio de um ticket de incidente. Seu gerente de prestação de serviços em nuvem (CSDM) e o arquiteto de nuvem (CA) do AMS são os pontos de contato a serem contatados para qualquer comunicação durante uma investigação de segurança ativa.

A comunicação inclui a notificação automática quando um alerta de segurança é gerado, a comunicação após a análise do evento, o estabelecimento de pontes de chamadas e a entrega contínua de artefatos, como arquivos de log, captura instantânea dos recursos infectados e obtenção dos resultados da investigação durante o evento de segurança.

Os campos padrão incluídos nas notificações de alerta de segurança do AMS estão listados abaixo. Esses campos fornecem informações para que você possa encaminhar eventos para as equipes apropriadas em sua organização para remediação.

Campos adicionais são fornecidos dependendo do tipo de descoberta, por exemplo, as descobertas do EKS incluem detalhes do pod, do contêiner e do cluster.