检测
警报是检测阶段的主要组成部分。它会根据值得关注的 AWS 账户活动生成通知,以启动事件响应流程。
确保警报准确性颇具挑战性;因为通常无法完全确定事件是否已经发生、正在进行还是将在未来发生。原因如下:
-
检测机制基于基准偏差、已知模式以及来自内部或外部实体的通知。
-
由于技术和人员(分别指安全事件的手段和行为者)的不可预测性,基准会随着时间的推移而变化。新型或经过修改的威胁行为者战术、技术和程序(TTP)会导致新的恶意模式出现。
-
对人员、技术和流程的更改不会立即纳入事件响应流程。部分变更是在调查过程中发现的。
