# 检测
<a name="a-detective-controls"></a>

**Topics**
+ [SEC 4. 您如何检测和调查安全事件？](sec-04.md)

# SEC 4. 您如何检测和调查安全事件？
<a name="sec-04"></a>

从日志和指标中捕获和分析事件以获得可见性。对安全事件和潜在威胁采取行动，从而保护您的工作负载。

**Topics**
+ [SEC04-BP01 配置服务和应用程序日志记录](sec_detect_investigate_events_app_service_logging.md)
+ [SEC04-BP02 在标准化位置收集日志、调查发现和指标](sec_detect_investigate_events_logs.md)
+ [SEC04-BP03 关联和扩充安全警报](sec_detect_investigate_events_security_alerts.md)
+ [SEC04-BP04 启动对不合规资源的修复](sec_detect_investigate_events_noncompliant_resources.md)

# SEC04-BP01 配置服务和应用程序日志记录
<a name="sec_detect_investigate_events_app_service_logging"></a>

保留服务和应用程序的安全事件日志。这是审计、调查和运营使用案例的基本安全原则，也是由监管、风险与合规性（GRC，Governance, Risk, and Compliance）标准、政策和程序驱动的共同安全要求。

 **期望结果：**当需要履行内部流程或义务（如安全事件响应）时，组织应能够及时、可靠且一致地从 AWS 服务和应用程序中检索安全事件日志。考虑将日志集中起来，以取得更好的运营成果。

 **常见反模式：**
+  日志被永久存储或过早删除。
+  每个人都可以访问日志。
+  完全依赖手动流程进行日志治理和使用。
+  存储每一种类型的日志，以备不时之需。
+  仅在必要时检查日志完整性。

 **建立此最佳实践的好处：**为安全事件实施根本原因分析（RCA）机制，并为您的监管、风险与合规性义务提供证据来源。

 **在未建立这种最佳实践的情况下暴露的风险等级：**高 

## 实施指导
<a name="implementation-guidance"></a>

 在安全调查或基于要求的其他使用案例期间，您需要能够查看相关日志，以记录并了解事件的来龙去脉和时间线。警报生成也需要日志，以指示发生了某些感兴趣的操作。选择、启用、存储和设置查询、检索机制以及警报至关重要。

 **实施步骤** 
+  **选择并启用日志源。**进行安全调查之前，您需要捕获相关日志，以便以回溯方式重建 AWS 账户中的活动。选择与工作负载相关的日志源。

   日志源的选择标准应基于业务所需的使用案例。使用 AWS CloudTrail 或 AWS Organizations 跟踪为每个 AWS 账户 建立跟踪，并为其配置 Amazon S3 存储桶。

   AWS CloudTrail 是一项日志记录服务，可跟踪针对 AWS 账户捕获 AWS 服务活动所进行的 API 调用。它默认情况下启用，管理事件保留 90 天，可以使用 AWS 管理控制台、AWS CLI 或 AWS SDK [通过 CloudTrail 事件历史记录检索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)这些事件。为了更长久地保留和了解数据事件，请[创建 CloudTrail 跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)并将其与 Amazon S3 存储桶关联，也可以选择与 Amazon CloudWatch 日志组关联。或者，您可以创建 [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html)，这可保留 CloudTrail 日志长达七年之久，并提供基于 SQL 的查询工具 

   AWS 建议使用 VPC 的客户分别使用 [VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)和 [Amazon Route 53 Resolver 查询日志](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html)启用网络流量和 DNS 日志，并将其流式传输到 Amazon S3 存储桶或 CloudWatch 日志组。您可以为 VPC、子网或网络接口创建 VPC 流日志。对于 VPC 流日志，您可以选择使用流日志的方式和位置，以降低成本。

   AWS CloudTrail 日志、VPC 流日志和 Route 53 解析器查询日志是支持 AWS 中安全调查的基本日志记录源。您还可以使用 [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) 以 Apache Parquet 格式和开放网络安全架构框架（OCSF）收集、标准化和存储这些日志数据，以便于查询。安全数据湖还支持其他 AWS 日志和来自第三方的日志。

   AWS 服务可以生成基本日志源未捕获到的日志，如弹性负载均衡日志、AWS WAF 日志、AWS Config 记录器日志、Amazon GuardDuty 调查发现、Amazon Elastic Kubernetes Service（Amazon EKS）审计日志，以及 Amazon EC2 实例操作系统和应用程序日志。有关日志记录和监控选项的完整列表，请参阅《[AWS Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html)》的 [Appendix A: Cloud capability definitions – Logging and Events](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/logging-and-events.html)。
+  **研究每项 AWS 服务和应用程序的日志记录功能：**每项 AWS 服务和应用程序都为您提供了日志存储选项，每个选项都有自己的保留和生命周期功能。两种很常见的日志存储服务是 Amazon Simple Storage Service（Amazon S3）和 Amazon CloudWatch。如果保留期较长，建议使用 Amazon S3，因为它具有成本效益和灵活的生命周期功能。如果主要日志记录选项是 Amazon CloudWatch Logs，作为一种选择，您应该考虑将不太经常访问的日志存档到 Amazon S3。
+  **选择日志存储：**日志存储的选择通常与您使用的查询工具、保留能力、熟悉程度和成本有关。日志存储的主要选项是 Amazon S3 存储桶或 CloudWatch 日志组。

   Amazon S3 存储桶提供持久且经济高效的存储，并具有可选的生命周期策略。可以使用 Amazon Athena 等服务查询存储在 Amazon S3 存储桶中的日志。

   CloudWatch 日志组通过 CloudWatch Logs Insights 提供持久存储和内置查询工具。
+  **确定适当的日志保留时长：**使用 Amazon S3 存储桶或 CloudWatch 日志组存储日志时，必须为每个日志源建立足够的生命周期，以优化存储和检索成本。客户通常可以查询三个月到一年的日志，日志保留期长达七年。可用性和保留时长的选择应与您的安全要求以及法律法规和业务授权的综合因素相一致。
+  **使用适当的保留时长和生命周期策略为每个 AWS 服务和应用程序启用日志记录：**对于组织内的每个 AWS 服务或应用程序，请查找特定的日志记录配置指南：
  + [ 配置 AWS CloudTrail 跟踪 ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
  + [ 配置 VPC 流日志 ](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
  + [ 配置 Amazon GuardDuty 调查发现导出 ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html)
  + [ 配置 AWS Config 记录 ](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-config.html)
  + [ 配置 AWS WAF Web ACL 流量 ](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html)
  + [ 配置 AWS Network Firewall 网络流量日志 ](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html)
  + [ 配置弹性负载均衡访问日志 ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-access-logs.html)
  + [ 配置 Amazon Route 53 Resolver 查询日志 ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html)
  + [ 配置 Amazon RDS 日志 ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.html)
  + [ 配置 Amazon EKS 控制面板日志 ](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html)
  + [ 为 Amazon EC2 实例和本地服务器配置 Amazon CloudWatch 代理 ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
+  **选择和实施日志查询机制：**对于日志查询，可以使用 [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) 对存储在 CloudWatch 日志组中的数据进行查询，使用 [Amazon Athena](https://aws.amazon.com/athena/) 和 [Amazon OpenSearch Service](https://aws.amazon.com/opensearch-service/) 对存储在 Amazon S3 中的数据进行查询。您还可以使用第三方查询工具，如安全信息和事件管理（SIEM）服务。

   选择日志查询工具的过程中，应考虑安全运营的人员、流程和技术方面。选择一款能够满足运营、业务和安全要求并可长期使用和维护的工具。请记住，当要扫描的日志数量保持在工具的限制范围内时，日志查询工具的工作状态最佳。由于成本或技术限制，拥有多款查询工具的情况并不罕见。

   例如，您可能使用第三方安全信息和事件管理（SIEM）工具对过去 90 天的数据执行查询，但由于 SIEM 的日志提取成本较高，使用 Athena 来执行 90 天以上的查询。无论采用何种实施方式，都要验证您的方法能够尽可能地减少充分提高运营效率所需的工具数量，尤其在安全事件调查期间。
+  **使用日志发出警报：**AWS 通过多项安全服务提供警报功能：
  +  [AWS Config](https://aws.amazon.com/config/) 监控和记录您的 AWS 资源配置，并允许您对照所需的配置自动执行评估和修复。
  +  [Amazon GuardDuty](https://aws.amazon.com/guardduty/) 是一项威胁检测服务，可持续监控恶意活动和未经授权的行为，以保护您的 AWS 账户和工作负载。GuardDuty 可从 AWS CloudTrail 管理和数据事件、DNS 日志、VPC 流日志和 Amazon EKS 审计日志等来源提取、聚合和分析信息。GuardDuty 可直接从 CloudTrail、VPC 流日志、DNS 查询日志和 Amazon EKS 提取独立的数据流。您无需管理 Amazon S3 存储桶策略，也无需修改日志的收集和存储方式。仍建议保留这些日志，以便您自己进行调查和遵守法规。
  +  [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) 集中聚合、组织和优先处理来自多个 AWS 服务和可选第三方产品的安全警报或调查发现，以使您全面了解安全警报和合规性状态。

   您也可以使用自定义警报生成引擎来处理这些服务未涵盖的安全警报或与您的环境相关的特定警报。有关构建这些警报和检测的信息，请参阅《[AWS Security Incident Response Guide》中的 Detection](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html)。

## 资源
<a name="resources"></a>

 **相关最佳实践：**
+  [SEC04-BP02 在标准化位置收集日志、调查发现和指标](sec_detect_investigate_events_logs.md) 
+  [SEC07-BP04 定义可扩展的数据生命周期管理](sec_data_classification_lifecycle_management.md) 
+  [SEC10-BP06 预部署工具](sec_incident_response_pre_deploy_tools.md) 

 **相关文档：**
+ 《[AWS Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html)》
+ [ Amazon Security Lake 入门 ](https://aws.amazon.com/security-lake/getting-started/)
+ [ 入门：Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)

 **相关视频：**
+ [AWS re:Invent 2022 - Introducing Amazon Security Lake ](https://www.youtube.com/watch?v=V7XwbPPjXSY)

 **相关示例：**
+ [ 专为 AWS 提供的 Assisted Log Enabler](https://github.com/awslabs/assisted-log-enabler-for-aws/)
+ [AWS Security Hub CSPM调查发现历史导出 ](https://github.com/aws-samples/aws-security-hub-findings-historical-export)

# SEC04-BP02 在标准化位置收集日志、调查发现和指标
<a name="sec_detect_investigate_events_logs"></a>

 安全团队依靠日志和调查发现来分析事件，找出可能表明出现了未经授权活动或意外更改的事件。为了简化这种分析过程，请将安全日志和调查发现收集到标准化位置。 这样就能将需要分析的数据点用于关联，并可以简化工具集成。

 **期望结果：**您采用标准化的方法来收集、分析和可视化日志数据、调查发现和指标。安全团队可以高效地关联、分析和可视化不同系统的安全数据，以便发现潜在的安全事件并识别异常情况。集成了安全信息和事件管理（SIEM，Security Information and Event Management）系统或其它机制，用于查询和分析日志数据，以便及时响应、跟踪和上报安全事件。

 **常见反模式：**
+  团队独立负责和管理日志记录及指标的收集，但是采取了与企业的日志记录策略不一致的方法。
+  团队没有采取足够的访问控制措施来限制所收集数据的可见性以及对数据的更改。
+  团队没有将其安全日志、调查发现和指标包括在数据分类策略中进行管理。
+  团队在配置数据收集时，忽略了数据主权和本地驻留要求。

 **建立此最佳实践的好处：**采用标准化日志记录解决方案来收集和查询日志数据及事件，可以改善从所包含的信息中获得的见解。为收集的日志数据配置自动处理生命周期，可以降低日志存储产生的成本。您可以根据数据的敏感性和团队需要的访问模式，对收集的日志信息建立精细的访问控制。您可以集成工具，用于关联和可视化数据，以及从数据中发掘洞察。

 **在未建立这种最佳实践的情况下暴露的风险等级：**中 

## 实施指导
<a name="implementation-guidance"></a>

 企业内 AWS 使用量的增长会导致分布式工作负载和环境数量的增加。由于这些工作负载和环境都会生成有关其内部活动的数据，因此在本地收集和存储这些数据对安全运营带来了挑战。安全团队使用安全信息和事件管理（SIEM，Security Information and Event Management）系统等工具，从分布式来源收集数据，并完成关联、分析和响应等工作流。这需要管理一组复杂权限以便访问各种数据来源，而且提取、转换、加载（ETL）流程的操作会带来额外开销。

 要克服这些挑战，可以考虑将所有相关的安全日志数据来源汇总到一个日志归档账户中，如 [Organizing Your AWS Environment Using Multiple Accounts](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/security-ou-and-accounts.html#log-archive-account) 中所述。这包括您的工作负载的所有与安全相关的数据，以及各种 AWS 服务生成的日志，例如 [AWS CloudTrail](https://aws.amazon.com/cloudtrail/)、[AWS WAF](https://aws.amazon.com/waf/)、[弹性负载均衡](https://aws.amazon.com/elasticloadbalancing/) 和 [Amazon Route 53](https://aws.amazon.com/route53/)。使用合适的跨账户权限，在单独的 AWS 账户中的标准化位置收集这些数据可以带来多种好处。这种做法有助于防止受感染的工作负载和环境中发生日志篡改，提供可供其它工具使用的单一集成点，并为配置数据留存和生命周期提供更简化的模型。 评估数据主权、合规范围和其它法规的影响，确定是否需要多个安全数据存储位置和保留期。

 为了简化日志和调查发现的收集和标准化工作，请评估在您的日志存档账户中是否适合使用 [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html)。您可以将 Security Lake 配置为自动从各种常见事件源中摄取数据，例如 CloudTrail、Route 53、[Amazon EKS](https://aws.amazon.com/eks/) 和 [VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)。您也可以将 AWS Security Hub CSPM 配置作为传输到 Security Lake 的数据来源，这样您就可以将来自其它 AWS 服务（例如 [Amazon GuardDuty](https://aws.amazon.com/guardduty/) 和 [Amazon Inspector](https://aws.amazon.com/inspector/)）的调查发现与您的日志数据相关联。 您还可以使用第三方数据来源集成，或配置自定义数据来源。所有集成都将您的数据标准化为[开放网络安全架构框架](https://github.com/ocsf)（OCSF，Open Cybersecurity Schema Framework）格式，并作为 Parquet 文件存储在 [Amazon S3](https://aws.amazon.com/s3/) 存储桶中，从而消除了 ETL 处理需求。

 将安全数据存储在标准化位置可提供高级分析功能。AWS 建议您将 AWS 环境中运行的安全分析工具部署到[安全工具](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/security-ou-and-accounts.html#security-tooling-accounts)账户中，而且该账户独立于您的日志存档账户。通过这种方法，您可以实施深入的控制措施，用来保护日志和日志管理流程的完整性和可用性，与访问这些日志的工具区分开。 考虑使用服务（例如 [Amazon Athena](https://aws.amazon.com/athena/)）来运行关联多个数据来源的按需查询。还可以集成可视化工具，例如 [Quick](https://aws.amazon.com/quicksight/)。人工智能驱动的解决方案的应用日益广泛，可以执行很多功能，例如将发现结果转化为人类可读的摘要并以自然语言进行交互。为查询设置标准化数据存储位置后，这些解决方案通常会更容易集成。

## 实施步骤
<a name="implementation-steps"></a>

1.  **创建日志存档账户和安全工具账户** 

   1.  使用 AWS Organizations，在安全组织单位下[创建日志存档账户和安全工具账户](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_create.html)。如果您使用 AWS Control Tower 来管理企业，则会自动为您创建日志存档账户和安全工具账户。您可以根据需要，配置用于访问和管理这些账户的角色和权限。

1.  **配置标准化安全数据位置** 

   1.  确定创建标准化安全数据位置的策略。 为此，您可以使用通用数据湖架构方法、第三方数据产品或 [ Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/getting-started.html) 等方案。AWS 建议您从您的账户[选择加入](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)的 AWS 区域中收集安全数据，即使这些区域并未处于活跃使用状态。

1.  **将数据来源配置为发布到您的标准化位置** 

   1.  确定您的安全数据的来源，并将这些来源配置为发布到您的标准化位置。评估能够以所需格式自动导出数据的方案，而不是那些需要开发 ETL 流程的方案。使用 Amazon Security Lake，您可以从支持的 AWS 来源和集成的第三方系统[收集数据](https://docs.aws.amazon.com/security-lake/latest/userguide/source-management.html)。

1.  **配置工具来访问您的标准化位置** 

   1.  配置 Amazon Athena、Quick 或第三方解决方案等工具，来获取您的标准化位置所要求的访问权限。 将这些工具配置为在安全工具账户之外运行，并在适用时，允许对日志存档账户的跨账户读取访问。[在 Amazon Security Lake 上创建订阅用户](https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-management.html)，以便向这些工具提供对您数据的访问权限。

## 资源
<a name="resources"></a>

 **相关最佳实践：**
+  [SEC01-BP01 使用账户分隔工作负载](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_multi_accounts.html) 
+  [SEC07-BP04 定义数据生命周期管理](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_lifecycle_management.html) 
+  [SEC08-BP04 强制实施访问控制](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_data_rest_access_control.html) 
+  [OPS08-BP02 分析工作负载日志](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_workload_observability_analyze_workload_logs.html) 

 **相关文档：**
+  [AWS Whitepapers: Organizing Your AWS Environment Using Multiple Accounts](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) 
+  [AWS Prescriptive Guidance: AWS Security Reference Architecture (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html) 
+  [AWS Prescriptive Guidance: Logging and monitoring guide for application owners](https://docs.aws.amazon.com/prescriptive-guidance/latest/logging-monitoring-for-application-owners/introduction.html) 

 **相关示例：**
+  [Aggregating, searching, and visualizing log data from distributed sources with Amazon Athena and Quick](https://aws.amazon.com/blogs/security/aggregating-searching-and-visualizing-log-data-from-distributed-sources-with-amazon-athena-and-amazon-quicksight/) 
+  [How to visualize Amazon Security Lake findings with Quick](https://aws.amazon.com/blogs/security/how-to-visualize-amazon-security-lake-findings-with-amazon-quicksight/) 
+  [Generate AI powered insights for Amazon Security Lake using Amazon SageMaker AI Studio and Amazon Bedrock](https://aws.amazon.com/blogs/security/generate-ai-powered-insights-for-amazon-security-lake-using-amazon-sagemaker-studio-and-amazon-bedrock/) 
+  [Identify cybersecurity anomalies in your Amazon Security Lake data using Amazon SageMaker AI](https://aws.amazon.com/blogs/machine-learning/identify-cybersecurity-anomalies-in-your-amazon-security-lake-data-using-amazon-sagemaker/) 
+  [Ingest, transform, and deliver events published by Amazon Security Lake to Amazon OpenSearch Service](https://aws.amazon.com/blogs/big-data/ingest-transform-and-deliver-events-published-by-amazon-security-lake-to-amazon-opensearch-service/) 
+  [Simplify AWS CloudTrail log analysis with natural language query generation in CloudTrail Lake](https://aws.amazon.com/blogs/aws/simplify-aws-cloudtrail-log-analysis-with-natural-language-query-generation-in-cloudtrail-lake-preview/) 

 **相关工具：**
+  [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) 
+  [Amazon Security Lake 合作伙伴集成](https://aws.amazon.com/security-lake/partners/) 
+  [开放式网络安全架构框架（OCSF）](https://github.com/ocsf) 
+  [Amazon Athena](https://aws.amazon.com/athena/) 
+  [Quick](https://aws.amazon.com/quicksight/) 
+  [Amazon Bedrock](https://aws.amazon.com/bedrock/)：

# SEC04-BP03 关联和扩充安全警报
<a name="sec_detect_investigate_events_security_alerts"></a>

 出现意外的活动时，不同的来源可能会生成多个安全警报，此时需要进一步关联和扩充警报以便理解整个背景信息。实施自动化的安全警报关联和扩充，有助于更准确地识别和响应事件。

 **期望结果：**当您的工作负载和环境中的活动生成了不同警报时，自动化机制会关联数据，并用其它信息扩充这些数据。通过这种预处理方法，您可以更详细地了解事件，这可以帮助调查人员确定事件的严重程度，以及是否构成了需要正式响应的事件。这个流程可减轻监控和调查团队的负担。

 **常见反模式：**
+  除非职责分离要求另有规定，否则由不同团队的人员调查不同系统生成的调查发现和警报。  
+  企业将所有安全调查发现和警报数据汇集到标准位置，但需要调查人员手动进行关联和扩充。
+  您完全依靠威胁检测系统的情报来报告调查发现并确定严重程度。

 **建立此最佳实践的好处：**自动关联和扩充警报有助于减少调查人员的总体认知负荷和数据准备人工工作。这种做法可以缩短确定事件是否表示出现事故并启动正式响应所需的时间。其它背景信息还可以帮助您准确评测事件的真实严重性，因为其严重性可能会高于或低于任何警报所暗示的严重性。

 **在未建立这种最佳实践的情况下暴露的风险等级：**低  

## 实施指导
<a name="implementation-guidance"></a>

 安全警报可能来自 AWS 中的许多不同来源，包括：
+  [Amazon GuardDuty](https://aws.amazon.com/guardduty/)、[AWS Security Hub CSPM](https://aws.amazon.com/security-hub/)、[Amazon Macie](https://aws.amazon.com/macie/)、[Amazon Inspector](https://aws.amazon.com/inspector/)、[AWS Config](https://aws.amazon.com/config/)、[AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 和[网络访问分析器](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html)等服务 
+  来自对 AWS 服务、基础设施和应用程序日志的自动分析的警报，例如来自 [Amazon OpenSearch Service 的安全分析](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/security-analytics.html)。
+  响应 [Amazon CloudWatch](https://aws.amazon.com/cloudwatch)、[Amazon EventBridge](https://aws.amazon.com/eventbridge/) 或 [AWS Budgets](https://aws.amazon.com/aws-cost-management/aws-budgets/) 等来源中账单活动变化的警报。
+  第三方来源，例如来自 AWS Partner Network 的威胁情报源和[安全合作伙伴解决方案](https://aws.amazon.com/security/partner-solutions/) 
+  [AWS 信任与安全团队](https://repost.aws/knowledge-center/aws-abuse-report)或其它来源（例如客户或内部员工）发起的联系事宜。
+  使用 [Threat Technique Catalog by AWS (TTC)](https://aws.amazon.com/blogs/security/aws-cirt-announces-the-launch-of-the-threat-technique-catalog-for-aws/)，通过入侵指标（IoC）识别来协助识别和关联威胁行为者的行为。TTC 是 MITRE ATT&CK 框架的扩展，对所有已知和观测到的针对 AWS 资源的威胁行为者行为和技术进行了分类。

 警报的最基本形式中包含有关谁（*主体*或*身份*）对什么（受影响的*资源*）做了哪些事*（**操作*）的信息。对于每个这些来源，确定是否有办法可以为这些身份、操作和资源跨标识符创建映射，以此作为执行关联的基础。要想做到这一点，可以将警报来源与安全信息和事件管理（SIEM，Security Information and Event Management）工具集成在一起来为您执行自动关联，或者构建自己的数据管道和数据处理，也可将两种方法结合使用。

 [Amazon Detective](https://aws.amazon.com/detective) 就是一个可以为您执行关联的服务示例。Detective 从各种 AWS 来源和第三方来源持续摄取警报，并使用不同形式的情报来描绘出这些关系的可视化图表，以协助进行调查。

 虽然警报的初始严重程度可以用于协助排列优先顺序，但发生警报的具体环境决定了真正的严重程度。例如，[Amazon GuardDuty](https://aws.amazon.com/guardduty/) 可能会发出警报，指出您工作负载中的某个 Amazon EC2 实例正在查询意外的域名。GuardDuty 可能会自行为此警报指定低严重程度。但是，通过自动关联发生警报时间前后的其它活动，可能会发现通过同一个身份部署了数百个 EC2 实例，这会增加总体运营成本。在这种情况下，这种相关的事件上下文将需要一个新的安全警报，且严重程度可能会被调整为高，这将加快进一步的行动。

### 实施步骤
<a name="implementation-steps"></a>

1.  确定安全警报信息的来源。了解来自这些系统的警报所代表的身份、操作和资源，以便确定可能的关联性。

1.  建立一种机制来收集源自不同来源的警报。对于此目的，可以考虑使用 Security Hub CSPM、EventBridge 和 CloudWatch 等服务。

1.  确定用于数据关联和扩充的来源。示例来源包括 [AWS CloudTrail](https://aws.amazon.com/cloudtrail/)、[VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)、[Route 53 Resolver 日志](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html)以及基础设施和应用程序日志。这些日志中的任何一个或所有日志都可以通过与 [Amazon Security Lake](https://aws.amazon.com/security-lake/) 的单一集成来使用。

1.  将警报与您的数据关联和扩充来源集成，创建更详细的安全事件背景信息并确定严重程度。

   1.  Amazon Detective、SIEM 工具或其它第三方解决方案可以自动执行一定级别的摄取、关联和扩展。

   1.  您也可以使用 AWS 服务来构建自己的服务。例如，您可以调用一个 AWS Lambda 函数来对 AWS CloudTrail 或 Amazon Security Lake 运行 Amazon Athena 查询，并将结果发布到 EventBridge。

## 资源
<a name="resources"></a>

 **相关最佳实践：**
+  [SEC10-BP03 准备取证能力](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_prepare_forensic.html) 
+  [OPS08-BP04 创建可操作的警报](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_workload_observability_create_alerts.html) 
+  [REL06-BP03 发送通知（实时处理和报警）](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_monitor_aws_resources_notification_monitor.html) 

 **相关文档：**
+  [AWS《Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html)》 

 **相关示例：**
+  [How to enrich AWS Security Hub CSPM findings with account metadata](https://aws.amazon.com/blogs/security/how-to-enrich-aws-security-hub-findings-with-account-metadata/) 

 **相关工具：**
+  [Amazon Detective](https://aws.amazon.com/detective/) 
+  [Amazon EventBridge](https://aws.amazon.com/eventbridge/) 
+  [AWS Lambda](https://aws.amazon.com/lambda/) 
+  [Amazon Athena](https://aws.amazon.com/athena/) 

# SEC04-BP04 启动对不合规资源的修复
<a name="sec_detect_investigate_events_noncompliant_resources"></a>

 您的检测性控制措施可能会对不符合配置要求的资源发出警报。您可以手动或自动启动以编程方式定义的修复措施，用于修复这些资源并尽可能减少潜在影响。通过以编程方式定义的修复措施，您可以迅速采取一致的行动。

 虽然利用自动化功能可以增强安全修复操作，但您应谨慎地实施和管理自动化功能。 您需要建立适当的监督和控制机制，确保自动化响应有效、准确且符合组织的策略和风险偏好。

 **期望结果：**您定义了资源配置标准，以及在检测到资源不合规情况时应采取的修复措施。您尽可能以编程方式定义修复措施，以便手动或者自动启动这些措施。实施了检测系统，用于识别不合规的资源，并将警报发布到由您的安全人员监控的集中式工具。这些工具支持手动或自动运行您的程序化修复措施。采取了相应的监督和控制机制来管控自动修复措施的使用。

 **常见反模式：**
+  您实施了自动化功能，但没有全面测试和验证修复措施。这可能会导致意外的后果，例如中断合法的业务运营或导致系统不稳定。
+  您利用自动化功能来改善响应时间和流程，但没有采取适当的监控和机制，以便在需要时进行人工干预和判断。
+  您完全依赖修复措施，而不是将修复措施作为一部分，融入到更全面的事件响应和恢复计划中。

 **建立此最佳实践的好处：**面对错误配置，自动修复的响应速度比手动流程更快，这让您可以尽量减少潜在的业务影响，并减少出现意外使用情况的机会。以编程方式定义修复措施后，可以始终如一地应用这些措施，从而降低人为错误的风险。自动化功能还可以同时处理更大量的警报，这在大规模运行的环境中尤其重要。  

 **在未建立这种最佳实践的情况下暴露的风险等级：**中 

## 实施指导
<a name="implementation-guidance"></a>

 如 [SEC01-BP03 识别并验证控制目标](sec_securely_operate_control_objectives.md)中所述，[AWS Config](https://aws.amazon.com/config/) 和 [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) 等服务有助于您监控账户中资源的配置，以便符合您的要求。当检测到不合规的资源时，诸如 AWS Security Hub CSPM 之类的服务有助于相应地发送警报并进行补救。这些解决方案为安全调查人员提供了一个中心位置，可用来监控问题和采取纠正措施。

 除 AWS Security Hub CSPM 之外，AWS 还引入了 [Security Hub Advanced](https://aws.amazon.com/security-hub/)。这项服务在 re:Invent 2025 上发布，它转变了组织优先考虑其最关键的安全问题并大规模响应以保护其云环境的方式。增强的 Security Hub 现在使用高级分析来自动关联、丰富云环境中的安全信号并确定这些信号的优先级。Security Hub 与 [Amazon GuardDuty](https://aws.amazon.com/guardduty/)、[Amazon Inspector](https://aws.amazon.com/inspector/)、[Amazon Macie](https://aws.amazon.com/macie/) 和 [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/cspm/features/) 无缝集成。Security Hub 中的相关调查发现可能导致全新的调查发现，称为暴露调查发现，其中包括基于每种资源中发现的漏洞的假设攻击路径。

 一些不合规资源的情况会非常独特，需要人工判断才能修复，不过其它情况可以采取以编程方式定义的标准响应。例如，对于 VPC 安全组的配置错误，标准响应可以是删除不允许的规则并通知负责人。可以在 [AWS Lambda](https://aws.amazon.com/pm/lambda) 函数、[AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) 文档中或者通过其它您常用的代码编写环境来定义响应措施。确保环境能够使用 IAM 角色在 AWS 上进行身份验证，并具有执行纠正措施所需的最低权限。

 在定义了所需的修复措施之后，您就可以确定启动修复措施的首选方式。AWS Config 可以为您[启动修复](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)。如果您使用 Security Hub CSPM，则可以通过[自定义操作](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cwe-custom-actions.html)来执行这个过程，自定义操作会将调查发现信息发布到 [Amazon EventBridge](https://aws.amazon.com/eventbridge/)。然后，EventBridge 规则启动修复措施。您可以通过 Security Hub CSPM 配置补救措施，使其自动或手动运行。  

 对于程序化的修复措施，我们建议您全面记录所采取的行动及其结果，并进行审计。查看和分析这些日志，以评测自动化流程的有效性，并确定需要改进的地方。将 [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) 中的日志和修复结果作为[调查发现备注](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html)收集到 Security Hub CSPM 中。

 首先，您可以考虑 [AWS 上的自动化安全响应](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/)，其中预先构建了修复措施，用于解决常见的安全配置错误。

### 实施步骤
<a name="implementation-steps"></a>

1.  分析警报并确定其优先级。

   1.  将来自各种 AWS 服务的安全警报整合到 Security Hub CSPM 中，以便在集中位置进行查看、划分优先级和执行修复措施。

1.  制定修复措施。

   1.  使用 Systems Manager 和 AWS Lambda 等服务来运行程序化的修复措施。

1.  配置启动修复的方式。

   1.  使用 Systems Manager，定义将调查发现发布到 EventBridge 的自定义操作。将这些操作配置为手动或自动启动。

   1.  如果需要，您还可以使用 [Amazon Simple Notification Service（SNS）](https://aws.amazon.com/sns/)向相应的利益相关者（例如安全团队或事件响应团队）发送通知和警报，以便进行手动干预或上报。

1.  查看和分析修复日志，了解有效性并发现改进的机会。

   1.  将日志输出发送到 CloudWatch Logs。在 Security Hub CSPM 中将结果捕获为调查发现备注。

## 资源
<a name="resources"></a>

 **相关最佳实践：**
+  [SEC06-BP03 减少人工管理工作和交互式访问](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_compute_reduce_manual_management.html) 

 **相关文档：**
+  [AWS《Security Incident Response Guide》- Detection](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html) 

 **相关示例：**
+  [ 上的自动化安全响应AWS](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/) 
+  [Monitor EC2 instance key pairs using AWS Config](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/monitor-ec2-instance-key-pairs-using-aws-config.html) 
+  [Create AWS Config custom rules by using AWS CloudFormation Guard policies](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/create-aws-config-custom-rules-by-using-aws-cloudformation-guard-policies.html) 
+  [Automatically remediate unencrypted Amazon RDS DB instances and clusters](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-remediate-unencrypted-amazon-rds-db-instances-and-clusters.html) 

 **相关工具：**
+  [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) 
+  [ 上的自动化安全响应AWS](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/)