检测与分析 - AWS 安全事件响应 用户指南

检测与分析

报告事件

您可通过 AWS 安全事件响应门户上报安全事件。发生安全事件时,切勿延误。AWS 安全事件响应采用自动化与人工结合的方式调查安全事件、分析日志并识别异常模式。您对自身环境的深入理解与积极配合会显著加速分析进程。

启用支持的检测数据源

注意

AWS 安全事件响应费用不包含与支持的检测数据源相关的使用费用,以及其他 AWS 服务的使用费用。如需了解费用详情,请参阅各功能或服务的定价页面。

Amazon GuardDuty

如需在整个组织内启用 GuardDuty,请参阅《Amazon GuardDuty User Guide》中的“Setting up GuardDuty”部分。

强烈建议在所有受支持的 AWS 区域启用 GuardDuty。这样,GuardDuty 就可以生成有关未经授权或异常活动的调查发现,甚至在您未主动使用的区域也是如此。有关更多信息,请参阅 Amazon GuardDuty Regions and endpoints

启用 GuardDuty 可为 AWS 安全事件响应提供关键威胁检测数据,显著增强其在 AWS 环境中识别和响应潜在安全问题的能力。

AWS Security Hub CSPM

Security Hub CSPM 可以摄入来自多种 AWS 服务和受支持的第三方安全解决方案的安全调查发现。这些集成可以帮助 AWS 安全事件响应监控和调查来自其他检测工具的调查发现。

要启用 Security Hub CSPM 与 Organizations 的集成,请参阅 AWS Security Hub CSPM 用户指南

Security Hub CSPM 提供了多种启用集成的方式。对于第三方产品集成,您可能需要从 AWS Marketplace 中购买集成,然后配置该集成。集成信息提供了用于完成这些任务的链接。详细了解如何启用 AWS Security Hub CSPM 集成。

当以下工具与 AWS Security Hub CSPM 集成时,AWS 安全事件响应会监控和调查来自这些工具的调查发现:

启用这些集成可显著提升 AWS 安全事件响应的监控和调查能力范围及效果。

检测

如果启用了“主动响应”,https://docs.aws.amazon.com/security-ir/latest/userguide/setup-monitoring-and-investigation-workflows.html AWS 安全事件响应会通过在信息载入期间部署到您账户的 Amazon EventBridge 规则,从 Amazon GuardDuty 和 AWS Security Hub CSPM 中摄取调查发现。

对于在自动分级期间确定为无害或与预期活动相关的 Amazon GuardDuty 调查发现,AWS 安全事件响应 会自动将其存档。您可以在 Amazon GuardDuty 控制台中选择调查发现“状态”筛选条件中的“已存档”,从而查看已存档的调查发现。有关更多信息,请参阅《Amazon GuardDuty 用户指南》中的 Viewing generated findings in GuardDuty console

对于在自动分级期间确定为无害或与预期活动相关的 Amazon GuardDuty 调查发现,AWS 安全事件响应 会自动将其存档。这种存档仅适用于经过分级且结果为“存档”的调查发现。即使调查已经结束,当前正在调查的调查发现仍然可在 Amazon GuardDuty 控制台中看到。您可以在 Amazon GuardDuty 控制台中选择调查发现“状态”筛选条件中的已存档,从而查看已存档的调查发现。有关使用已存档调查发现的更多信息,请参阅《Amazon GuardDuty 用户指南》中的 Working with findings

当 AWS Security Hub CSPM 摄取安全调查发现时,系统会更新每个调查发现,添加一条指示已开始自动化分级的注释。工作流状态将从“新”变为“已通知”,这会将该调查发现从默认的 AWS Security Hub CSPM 调查发现视图中移除。如果分级后确定某个调查发现是无害或与预期活动相关联,则系统会向该调查发现添加一条注释,并将工作流状态更新为“已隐藏”。

分析:自动化分级

AWS 安全事件响应 会自动对安全调查发现进行分级。在确定检测到的活动是否属于预期行为时,分级过程会分析来自多个来源的数据,包括调查发现有效载荷、AWS 服务元数据、AWS 日志记录和监控数据(例如 AWS CloudTrail 和 VPC 流日志)、AWS 威胁情报以及邀请您提供有关您的 AWS 和本地环境的上下文等。

如果自动分级确定检测到的活动是预期行为,则系统不会执行进一步的调查操作。

分析:事件响应安全调查

AWS 安全事件响应工程是一支可随时为用户提供支持的全球性团队,由拥有 AWS 和安全事件响应专业知识的安全专业人员组成。如果自动分级无法确定该活动是否是预期行为,则 AWS 安全事件响应工程将参与安全调查。如果事件是从 Security Hub 摄取的,则会在相关调查发现中发布一条注释,表明 AWS 安全事件响应工程正在进行调查。

AWS 安全事件响应工程通过分析额外的服务元数据和威胁情报、查看根据您环境中的历史调查发现和调查得出的见解,并运用事件响应专业知识,来进行切实的安全调查。根据您的遏制偏好(请参阅“遏制”),AWS 安全事件响应工程可能会通过 AWS 安全事件响应控制台中的安全事件响应案例与贵组织的事件响应团队联系,核实检测到的活动是否是预期行为以及对 AWS 生成案例的授权响应

沟通

AWS 安全事件响应通过安全事件响应案例与您的事件响应团队接触互动,让您在安全调查期间随时了解情况。多名 AWS 安全事件响应工程成员可能会为一项调查提供支持。沟通内容可能包括:确认或通知安全调查的创建;建立通话桥梁;分析日志文件等构件;请求确认预期活动;以及共享调查结果。

当 AWS 安全事件响应与您的事件响应团队主动联系时,会在您的 AWS 安全事件响应成员账户中创建一个案例,用于集中管理所有组织账户的沟通。这些案例的标题中带有用于标识发起者为 AWS 安全事件响应的“[Proactive case]”前缀。通过积极参与并及时回复这些沟通,您的事件响应团队可以 AWS 安全事件响应 协助完成以下工作:

  • 确保快速响应真实安全事件。

  • 了解您的环境和预期行为。

  • 逐步减少检测误报情况。

AWS 安全事件响应的有效性会随着协作不断提升,从而打造更有效监控和安全的 AWS 环境。

更新调查发现

AWS 安全事件响应根据调查发现的来源和分级结果,对其进行不同的管理。

服务优化

如果您的账户服务配额允许,则 AWS 安全事件响应 会尝试部署一条 Amazon GuardDuty 隐藏规则AWS Security Hub CSPM 自动化规则。这些规则会隐藏与已知获授权活动类型和来源(例如,源 IP 地址、ASN、身份主体或资源)匹配的未来调查发现。AWS Security Hub CSPM 规则的部署优先级为 10,从而让您能够在需要时使用自定义规则覆盖这些自动化。

通过这种方式,AWS 安全事件响应 可以根据 AWS 环境中的预期行为优化检测来源。有关这些规则集的修改将会通知您的事件响应团队,并可按要求回滚更改。