本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
分析
识别并报告安全事件后,下一步是分析报告的事件是误报事件还是真实事件。AMS 使用自动化和手动调查技术来处理安全事件。分析包括调查来自不同检测源的日志,例如网络流量日志、主机日志、CloudTrail 事件、 AWS 服务日志等。该分析还通过相关性寻找显示异常行为的模式。
您的合作伙伴关系需要了解特定于账户环境的背景,并确定您的账户和工作负载的正常情况。这有助于 AMS 更快地识别异常并加快事件响应。
处理来自 AMS 的有关安全事件的通信
在调查期间,AMS 会通过事件单与您的安全联系人联系,随时向您通报情况。在主动安全调查期间,您的 AMS 云服务交付经理 (CSDM) 和 AMS 云架构师 (CA) 是联系人,可以联系他们进行任何沟通。
通信包括在生成安全警报时自动通知、事件分析后进行通信、建立呼叫桥接以及持续交付项目(例如日志文件、受感染资源的快照),以及在安全事件期间向您提供调查结果。
AMS 安全警报通知中包含的标准字段如下所示。这些字段为您提供信息,以便您可以将事件发送给组织内的相应团队进行补救。
查找类型
查找标识符(如果相关)
查找严重性
查找描述
查找创建日期和时间
AWS 账户编号
区域(如果相关)
AWS 资源(IAM user/role/policy、 EC2、S3、EKS)
根据查找结果类型,还会提供其他字段,例如,EKS Finding 包括 Pod、容器和集群详细信息。
