可见性和警报 - AWS 安全事件响应 用户指南

可见性和警报

AWS Security Hub:AWS Security Hub 可为客户提供跨 AWS 账户的高优先级安全警报与合规状态的全面视图。Security Hub 可以聚合、组织来自 AWS 服务的调查发现并确定优先级,例如 Amazon GuardDuty、Amazon Inspector、Amazon Macie 和 AWS Partner 解决方案。通过包含可操作图表和表格的集成控制面板,对调查发现进行直观汇总。您还可以基于 AWS 最佳实践及组织所遵循的行业标准,使用自动化合规性检查对环境进行持续监控。

Amazon GuardDuty:Amazon GuardDuty 是一项托管的威胁检测服务,可以持续监控恶意或未经授权的行为,从而帮助客户保护 AWS 账户和工作负载。Amazon GuardDuty 可以监控异常的 API 调用或可能未经授权的部署等活动,这些活动表明 Amazon EC2 实例、Amazon S3 存储桶的账户或资源可能遭到破坏或者有恶意行为者正在进行侦察。

GuardDuty 通过集成的威胁情报源识别可疑的不良行为者,利用机器学习检测账户和工作负载活动中的异常情况。检测到潜在威胁后,该服务便会向 GuardDuty 控制台和 CloudWatch Events 发送详细的安全警报。这样一来,警报将具有可操作性,并且能轻松集成到现有的事件管理和工作流程系统中。

GuardDuty 还提供两个附加组件,用于监控特定服务的威胁:用于保护 Amazon S3 的 Amazon GuardDuty 以及用于保护 Amazon EKS 的 Amazon GuardDuty。Amazon S3 防护使 GuardDuty 能够监控对象级 API 操作,以识别 Amazon S3 存储桶中数据的潜在安全风险。Kubernetes 保护有助于 GuardDuty 检测 Amazon EKS 中 Kubernetes 集群的可疑活动和潜在漏洞。

Amazon Macie:Amazon Macie 是一项人工智能驱动的安全服务,通过自动发现、分类和保护存储在 AWS 中的敏感数据来防止数据丢失。Macie 利用机器学习(ML)来识别敏感数据,例如个人身份信息(PII)或知识产权,为其分配业务价值,并提供关于这些数据存储位置及其在组织中使用情况的见解。Amazon Macie 会持续监控数据访问活动是否存在异常情况,并在检测到未经授权的访问或无意的数据泄露风险时发出警报。

AWS Config 规则:AWS Config 规则代表资源的首选配置,会根据 AWS Config 记录的相关资源配置更改进行评估。您可以在控制面板上查看针对资源配置评估规则的结果。借助 AWS Config 规则,您可以从配置角度评估总体合规性和风险状态,查看一段时间内的合规性趋势,并找出哪些配置更改导致资源违反规则。

AWS Trusted Advisor:AWS Trusted Advisor 是一种在线资源,可通过优化 AWS 环境来帮助您降低成本、提高性能和增强安全性。Trusted Advisor 可提供实时指南,帮助您按照 AWS 最佳实践预置资源。全套 Trusted Advisor 检查(包括 CloudWatch Events 集成)可供商业和企业支持计划的客户使用。

Amazon CloudWatch:Amazon CloudWatch 是一项针对 AWS Cloud 资源以及您在 AWS 运行的应用程序的监控服务。您可以使用 CloudWatch 收集和跟踪指标、收集和监控日志文件、设置警报并自动对 AWS 资源中的更改做出反应。CloudWatch 可以监控 AWS 资源,例如 Amazon EC2 实例、Amazon DynamoDB 表和 Amazon RDS 数据库实例,以及您的应用程序和服务生成的自定义指标以及您的应用程序生成的任何日志文件。您可以通过使用 Amazon CloudWatch 全面地了解资源利用率、应用程序性能和运行状况。使用这些分析结果,您可以及时做出相应反应,保证应用程序顺畅运行。

Amazon Inspector:Amazon Inspector 是一项自动安全评估服务,有助于提高部署在 AWS 上的应用程序的安全性与合规性。Amazon Inspector 会自动评估应用程序的漏洞以及偏离最佳实践的情况。执行评估后,Amazon Inspector 将生成按严重性级别优先排序的安全调查发现详细列表。这些调查发现可以直接查看,也可以作为详细评估报告的一部分进行查看,报告则可通过 Amazon Inspector 控制台或 API 获取。

Amazon Detective:Amazon Detective 是一项安全服务,可自动从 AWS 资源收集日志数据,并利用机器学习、统计分析和图形理论构建一组关联数据,以帮助您更快、更高效地进行安全调查。Detective 可分析来自多个数据来源(例如 VPC 流日志、CloudTrail 和 GuardDuty)的数万亿个事件,并自动创建统一的交互式视图,供您了解资源、用户及此类行为随时间推移的相互作用。借助此统一视图,在一个位置就能查看所有细节和背景情况,以确定调查发现的根本原因,深入探究相关的历史活动,并快速确定根本原因。