本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 侦测性控制
<a name="detective-controls"></a>

*侦测性控制*是在事件发生后进行检测、记录日志和发出警报的安全控制措施。侦测控制是治理框架的基础部分。这些防护机制是第二道防线，它会通知您绕过预防性控制的安全问题。

例如，您可以应用侦测性控制，来检测和通知您 Amazon Simple Storage Service（Amazon S3）存储桶是否可以公开访问。虽然您可能已经制定了预防性控制措施，可以在账户级别禁用对 S3 存储桶的公开访问权限，然后通过禁用访问权限 SCPs，但威胁行为者可以通过以管理用户身份登录来规避这些预防性控制。在这些情况下，侦测性控制可以提醒您注意配置错误和潜在威胁。

**Topics**
+ [目标](#detective-objectives)
+ [流程](#detective-process)
+ [使用案例](#detective-use-cases)
+ [Technology](#detective-technology)
+ [业务成果](#detective-business-outcomes)

## 目标
<a name="detective-objectives"></a>
+ 侦测性控制可帮助您改进安全操作流程和质量流程。
+ 侦测性控制可帮助您履行监管、法律或合规义务。
+ 侦测性控制为安全运营团队提供了应对安全问题的可见性，包括绕过预防性控制的高级威胁。
+ 侦测性控制可以帮助您确定对安全问题和潜在威胁的适当应对措施。

## 流程
<a name="detective-process"></a>

您可以分两个阶段实施侦测性控制。首先，您将系统设置为将事件和资源状态记录到一个集中位置，例如 Amazon CloudWatch Logs。实施集中日志记录后，您可以分析这些日志，检测可能指示威胁的异常情况。每个分析都是一个控制，都将映射到您最初的需求和策略。例如，您可以创建侦测性控制，在日志中搜索特定的模式，并在匹配时生成警报。安全团队使用侦测性控制来提高他们对系统可能面临的威胁和风险的整体可见性。

## 使用案例
<a name="detective-use-cases"></a>

### 检测可疑行为
<a name="detective-use-case1"></a>

侦测性控制有助于识别任何异常活动，如特权用户凭证泄露、敏感数据遭到访问或泄露。这些控制是重要的反应因素，可以帮助您的公司识别和了解异常活动的范围。

### 检测欺诈
<a name="detective-use-case2"></a>

这些控制有助于检测和识别公司内部的威胁，例如，绕过策略和执行未经授权交易的用户。

### 合规
<a name="detective-use-case3"></a>

侦测性控制可以帮助您满足合规要求，例如，支付卡行业数据安全标准（PCI DS3），还有助于防止身份盗用。这些控制可以帮助您发现和保护受监管合规性约束的敏感信息，比如个人身份信息。

### 自动分析
<a name="detective-use-case4"></a>

侦测性控制可以自动分析日志，以检测异常情况和其他未经授权活动的指标。

您可以自动分析来自不同来源的日志，例如 AWS CloudTrail 日志、[VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)和域名系统（DNS）日志，检测潜在恶意活动的迹象。为了帮助组织工作，请将来自多个位置的安全警报或发现结果汇总 AWS 服务 到一个集中的位置。

## Technology
<a name="detective-technology"></a>

常见的侦测性控制是实现一个或多个监控服务，这些服务可以分析数据来源（如日志），识别安全威胁。在中 AWS 云，您可以分析 AWS CloudTrail 日志、Amazon S3 访问日志和 Amazon Virtual Private Cloud 流日志等来源，以帮助检测异常活动。 AWS 亚马逊 GuardDuty、Amazon Detective 和 Amazon Macie 等安全服务具有内置的监控功能。 AWS Security Hub CSPM

### GuardDuty 还有 Security Hub CSPM
<a name="detective-technology1"></a>

[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 使用威胁情报、机器学习和异常检测技术来持续监控您的日志源中是否存在恶意或未经授权的活动。仪表板可让您深入了解您的 AWS 账户 和工作负载的实时运行状况。您可以 GuardDuty与[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)云安全态势管理服务集成，该服务可检查是否遵守最佳实践，汇总警报并启用自动修复。 GuardDuty 将调查结果发送到 Security Hub CSPM，以此作为集中信息的一种方式。您可以进一步将 Security Hub CSPM 与安全信息和事件管理 (SIEM) 解决方案集成，以扩展组织的监控和警报功能。

### Macie
<a name="detective-technology2"></a>

[Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) 是一项完全托管的数据安全和数据隐私服务，它使用机器学习和模式匹配来帮助发现和保护 AWS中的敏感数据。以下是 Macie 中提供的一些侦测性控制和功能：
+ Macie 会检查存储桶清单和存储在 Amazon S3 中的所有对象。该信息可以在单个控制面板视图中显示，从而提供可见性并帮助您评估存储桶安全性。
+ 为了发现敏感数据，Macie 使用内置的托管数据标识符，还支持自定义数据标识符。
+ Macie 可以与其他工具进行原生集成 AWS 服务 。例如，Macie 将调查结果作为亚马逊 EventBridge 事件发布，这些事件会自动发送到 Security Hub CSPM。

以下是在 Macie 中配置侦测性控制的最佳实践：
+ 在所有账户上启用 Macie。借助委托管理功能，使用 AWS Organizations在多个账户上启用 Macie。
+ 使用 Macie 评估账户中 S3 存储桶的安全状况。这有助于通过提供数据位置和访问的可见性来防止数据丢失。有关更多信息，请参阅 [Analyzing your Amazon S3 security posture](https://docs.aws.amazon.com/macie/latest/user/monitoring-s3-inventory.html)（Macie 文档）。
+ 通过运行和调度自动处理和数据发现作业，自动发现 S3 存储桶中的敏感数据。这将定期检查 S3存储桶中的敏感数据。

### AWS Config
<a name="detective-technology3"></a>

[AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)审计和记录 AWS 资源的合规性。 AWS Config 发现现有 AWS 资源并生成完整清单，以及每种资源的配置详细信息。如果有任何配置更改，它会记录这些更改并提供通知。这可以帮助您检测和回滚未经授权的基础设施更改。您可以使用 AWS 托管规则，也可以创建自定义规则。

以下是在 AWS Config中配置侦测性控制的最佳实践：
+  AWS Config 为组织中的每个成员账户以及包含您要保护的资源的每个 AWS 区域 成员账户启用。
+ 设置 Amazon Simple Notification Service（Amazon SNS）警报以防任何配置更改。
+ 将配置数据存储在 S3 存储桶中，并使用 Amazon Athena 进行分析。
+ 使用 AWS Systems Manager的[自动化](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)功能，自动修复不合规的资源。
+ 使用 EventBridge 或 Amazon SNS 设置有关不 AWS 合规资源的通知。

### Trusted Advisor
<a name="detective-technology4"></a>

[AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html) 可以用作侦探性控制服务。通过一系列检查， Trusted Advisor 确定您可以优化基础架构、提高性能和安全性或降低成本的领域。 Trusted Advisor 根据 AWS 最佳实践提供建议，您可以遵循这些建议来改进服务和资源。商业和企业支持计划提供对Well-Architecte AWS d Frameworketed Frame [work支柱](https://docs.aws.amazon.com/wellarchitected/latest/framework/the-pillars-of-the-framework.html)的所有可用支票的访问权限。

以下是在 Trusted Advisor中配置侦测性控制的最佳实践：
+ 查看检查级别摘要
+ 针对警告和错误状态实施特定于资源的建议。
+  Trusted Advisor 经常检查以积极审查和实施其建议。

### Amazon Inspector
<a name="detective-technology5"></a>

[Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) 是一项自动漏洞管理服务，启用后，它会持续扫描您的工作负载，查找任何意外的网络暴露或软件漏洞。它将调查结果转化为风险评分，帮助您确定后续步骤，比如修复或确认合规状态。

以下是在 Amazon Inspector 中配置侦测性控制的最佳实践：
+ 在所有账户上启用 Amazon Inspector EventBridge 并将其集成到 Security Hub CSPM 中，以配置安全漏洞的报告和通知。
+ 根据 Amazon Inspector 风险评分，确定修复和其他操作的优先级。

## 业务成果
<a name="detective-business-outcomes"></a>

### 减少人工和错误
<a name="detective-business-outcome1"></a>

您可以使用基础设施即代码（IaC）来实现自动化。自动部署、配置监控和修复服务及工具可降低人工出错的风险，并减少扩展这些检测控制所需的时间和精力。自动化有助于开发安全操作手册，减少安全分析师的手动操作。定期审查有助于调整自动化工具，不断迭代和改进侦测性控制。

### 针对潜在威胁的适当行动
<a name="detective-business-outcome2"></a>

从日志和指标中捕获和分析事件对于获得可见性至关重要。这有助于分析师针对安全事件和潜在威胁采取行动，从而保护您的工作负载。能够快速识别存在哪些漏洞，可以帮助分析师采取适当的措施来解决和修复这些漏洞。

### 更好的事件响应和调查处理
<a name="detective-business-outcome3"></a>

侦测性控制工具的自动化可以加快检测、调查和恢复的速度。基于定义条件的自动警报和通知使安全分析师能够进行调查并做出适当的响应。这些响应因素可以帮助您识别和了解异常活动的范围。