本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Accelerate 中的資料保護
AMS Accelerate 利用原生 AWS 服務 Amazon GuardDuty、Amazon Macie (選用) 和其他內部專屬工具和程序,持續監控您的受管帳戶。警示觸發後,AMS Accelerate 會承擔初始分類和警示回應的責任。AMS 回應程序是以 NIST 標準為基礎。AMS Accelerate 會使用安全事件回應模擬定期測試回應程序,讓您的工作流程與現有的客戶安全回應計劃保持一致。
當 AMS Accelerate 偵測到 或您的安全政策違規 AWS 或即將發生的違規威脅時,Accelerate 會收集資訊,包括受影響的資源和任何組態相關變更。AMS Accelerate 每週 365 天、每天 24 小時提供follow-the-sun支援,並搭配專門的運算子,主動審查和調查所有受管帳戶的監控儀表板、事件佇列和服務請求。Accelerate 會與內部安全專家調查調查結果,以分析活動,並透過您帳戶中列出的安全呈報聯絡人通知您。
根據調查結果,加速主動與您互動。如果您發現活動未經授權或可疑,AMS 會與您一起調查並修復或包含問題。GuardDuty 會產生某些問題清單類型,需要您在 Accelerate 採取任何動作之前確認影響。例如,GuardDuty 調查結果類型 UnauthorizedAccess:IAMUser/ConsoleLogin 表示您的其中一個使用者已從異常位置登入;AMS 會通知您,並要求您檢閱調查結果以確認此行為是否合法。
使用 Amazon Macie 監控
AMS Accelerate 支援,而且最佳實務是使用 Amazon Macie 來偵測大量且完整的敏感資料清單,例如個人健康資訊 (PHI)、個人身分識別資訊 (PII) 和財務資料。
您可以設定 Macie 在任何 Amazon S3 儲存貯體上定期執行。這會自動評估儲存貯體中隨時間變化的新物件或修改過的物件。產生安全性問題清單時,AMS 會通知您,並視需要與您合作修復問題清單。
如需詳細資訊,請參閱分析 Amazon Macie 調查結果。
使用 GuardDuty 監控
GuardDuty 是一種持續的安全監控服務,使用威脅情報摘要,例如惡意 IP 地址和網域的清單,以及機器學習,以識別您 AWS 環境中非預期和可能未經授權的惡意活動。這可能包括權限提升、使用公開的登入資料,或與惡意 IP 地址或網域的通訊等問題。GuardDuty 會監控 AWS 帳戶 存取行為是否有入侵跡象,例如未經授權的基礎設施部署、部署在 中的執行個體、您從未使用的 AWS 區域。GuardDuty 也會偵測不尋常的 API 呼叫,例如變更密碼政策以降低密碼強度。如需詳細資訊,請參閱 GuardDuty 使用者指南。
若要檢視和分析 GuardDuty 調查結果,請完成下列步驟:
前往 https://console.aws.amazon.com/guardduty/
開啟 GuardDuty 主控台。 選擇問題清單,然後選擇特定問題清單以檢視詳細資訊。每個調查結果的詳細資訊會根據調查結果類型、涉及的資源和活動的性質而有所不同。
如需可用調查結果欄位的詳細資訊,請參閱 GuardDuty 調查結果詳細資訊。
使用 GuardDuty 禁止規則來篩選問題清單
禁止規則是一組條件,其中包含與值配對的篩選條件屬性。您可以使用隱藏規則來篩選您不打算採取行動的低價值問題清單,例如誤報問題清單或已知活動。篩選問題清單有助於更輕鬆地識別可能對您的環境影響最大的安全威脅。
若要篩選問題清單,隱藏規則會自動封存符合您指定條件的新問題清單。封存的問題清單不會傳送至 AWS Security Hub、Amazon S3 或 CloudTrail Events。因此,如果您透過 Security Hub 或第三方 SIEM 警示和票證應用程式取用 GuardDuty 調查結果,抑制篩選條件可減少不可行的資料。
AMS 具有一組已定義的條件來識別受管帳戶的禁止規則。當受管帳戶符合此條件時,AMS 會套用篩選條件並建立服務請求 (SR),其中會詳細說明部署的禁止篩選條件。
您可以透過 SR 與 AMS 通訊,以修改或還原抑制篩選條件。
檢視封存的問題清單
GuardDuty 會持續產生調查結果,即使這些調查結果符合您的禁止規則。隱藏的問題清單會標示為已封存。GuardDuty 會將封存的問題清單存放 90 天。您可以在 GuardDuty 主控台中檢視這 90 天的已封存問題清單,方法是從問題清單表格中選取已封存。或者,使用 ListFindings API 搭配 findingCriteria of service.archived 等於 true,透過 GuardDuty API 檢視封存的問題清單。
禁止規則的常見使用案例
下列調查結果類型具有套用抑制規則的常見使用案例。
Recon:EC2/Portscan:使用授權漏洞掃描器時,使用抑制規則自動封存問題清單。
UnauthorizedAccess:EC2/SSHBruteForce:當問題清單以堡壘執行個體為目標時,請使用抑制規則自動封存問題清單。
Recon:EC2/PortProbeUnprotectedPort:當問題清單鎖定在刻意公開的執行個體時,請使用隱藏規則自動封存問題清單。
使用 Amazon Route 53 Resolver DNS 防火牆進行監控
Amazon Route 53 Resolver 會以遞迴方式回應來自公開記錄、Amazon VPC 特定 DNS 名稱和 Amazon Route 53 私有託管區域的 AWS 資源的 DNS 查詢,且預設可在所有 VPCs 中使用。使用 Route 53 Resolver DNS 防火牆,您可以篩選和調節 Virtual Private Cloud (VPC) 的傳出 DNS 流量。為此,您可以在 DNS 防火牆規則群組中建立可重複使用的篩選規則集合、將規則群組與 VPC 產生關聯,然後監控 DNS 防火牆日誌和指標中的活動。根據活動,您可以相應地調整 DNS 防火牆的行為。如需詳細資訊,請參閱使用 DNS 防火牆篩選傳出 DNS 流量。
若要檢視和管理 Route 53 Resolver DNS 防火牆組態,請使用下列程序:
登入 AWS 管理主控台 ,並在 https://console.aws.amazon.com/vpc/
:// 開啟 Amazon VPC 主控台。 在 DNS 防火牆下,選擇規則群組。
檢閱、編輯或刪除現有的組態,或建立新的規則群組。如需詳細資訊,請參閱 Route 53 Resolver DNS Firewall 的運作方式。
Amazon Route 53 Resolver DNS 防火牆監控和安全性
Amazon Route 53 DNS Firewall 使用規則關聯、規則動作和規則評估優先順序的概念。網域清單是一組可重複使用的網域規格,可在規則群組的 DNS Firewall 規則中使用。當您將規則群組與 VPC 建立關聯時,DNS 防火墻會比較您的 DNS 查詢與規則中使用的網域清單。如果 DNS 防火牆找到相符項目,則會根據相符規則的動作來處理 DNS 查詢。如需規則群組和規則的詳細資訊,請參閱 DNS 防火牆規則群組和規則。
網域清單可分為兩個主要類別:
受管網域清單,可為您 AWS 建立和維護。
您自己的網域清單,由您建立和維護。
規則群組會根據其關聯優先順序索引進行評估。
根據預設,AMS 會部署基準組態,其中包含下列規則和規則群組:
一個名為 的規則群組
DefaultSecurityMonitoringRule。規則群組具有最高關聯優先順序,可在建立時針對每個啟用的每個現有 VPC 使用 AWS 區域。在規則群組中使用
AWSManagedDomainsAggregateThreatList受管網域清單搭配動作 ALERT,名為 且優先順序DefaultSecurityMonitoringRule為 1 的DefaultSecurityMonitoringRule規則。
如果您有現有的組態,則會以低於現有組態的優先順序部署基準組態。您現有的組態是預設值。如果您現有的組態不提供如何處理查詢解析的較高優先順序指示,則可以使用 AMS 基準組態做為全部截獲。若要變更或移除基準組態,請執行下列其中一項操作:
請聯絡您的 Cloud Service Delivery Manager (CSDM) 或 Cloud Architect (CA)。
建立服務請求。
AMS Accelerate 中的資料加密
AMS Accelerate 使用數個 AWS 服務 進行資料加密。
Amazon Simple Storage Service 提供多種物件加密選項,可保護傳輸中和靜態的資料。伺服器端加密會先加密您的物件,再將該物件儲存至其資料中心內的磁碟,接著在下載物件時予以解密。只要您驗證要求並具備存取許可,存取加密物件或未加密物件的方式並無不同。如需詳細資訊,請參閱 Amazon S3 中的資料保護。
