本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
分析
識別並報告安全事件後,下一個步驟是分析報告的事件是誤報還是實際事件。AMS 使用自動化和手動調查技術來處理安全事件。分析包括調查來自不同偵測來源的日誌,例如網路流量日誌、主機日誌、CloudTrail 事件、 AWS 服務日誌等。分析也會尋找透過相互關聯顯示異常行為的模式。
需要您的合作夥伴關係,才能了解帳戶環境的特定內容,並確定帳戶和工作負載的正常情況。這有助於 AMS 更快地識別異常並加速事件回應。
處理來自 AMS 有關安全事件的通訊
AMS 透過事件票證與您的安全聯絡人互動,在調查期間通知您。您的 AMS 雲端服務交付管理員 (CSDM) 和 AMS 雲端架構師 (CA) 是主動安全調查期間任何通訊的聯絡窗口。
通訊包括產生安全提醒時的自動通知、事件分析後的通訊、建立呼叫橋接和持續交付成品,例如日誌檔案、受感染資源的快照,以及在安全事件期間取得調查結果。
AMS 安全性提醒通知中包含的標準欄位如下所列。這些欄位為您提供資訊,讓您可以將事件路由到組織內的適當團隊以進行修復。
問題清單類型
問題清單識別符 (相關)
問題清單嚴重性
問題清單描述
調查結果建立的日期和時間
AWS 帳戶 ID
區域 (在相關區域)
AWS 資源 (IAM user/role/policy、EC2, S3、EKS)
根據調查結果類型提供其他欄位,例如 EKS 調查結果,包括 Pod、容器和叢集詳細資訊。
