本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 檢閱成熟階段中的使用案例範例
<a name="review-examples"></a>

以下是成熟階段的範例。這些範例在實際層面深入探討不同業務目標的模型、工具和程序。

## 成熟：威脅偵測範例
<a name="mature-threat-detection-example"></a>

**偵測性控制的業務成果：**提高雲端事件的可見性和偵測速度，以降低風險並加速雲端資源的使用和開發。

**工具：**[https://github.com/awslabs/assisted-log-enabler-for-aws](https://github.com/awslabs/assisted-log-enabler-for-aws)(GitHub) 是一種開放原始碼工具，可協助您在安全事件期間開啟記錄。它可以快速提高您對事件的可見性。

**範例使用案例：**考慮下圖所述的單一帳戶使用案例。有些事件需要進一步調查。您不確定是否已啟用記錄。在這種情況下，最佳動作是使用 執行試轉Assisted Log Enabler，以查看啟用或停用哪些服務。 會Assisted Log Enabler檢查 AWS CloudTrail 線索、DNS 查詢日誌、VPC 流程日誌和其他日誌。如果未啟用， 會Assisted Log Enabler啟用它們。 Assisted Log Enabler可以檢查並開啟所有記錄 AWS 區域。

您也可以Assisted Log Enabler調高或調低。完成試轉、關閉事件並解決問題後，您發現不再需要此層級的記錄。您可以快速清除部署以停止記錄。此功能可讓您使用 Assisted Log Enabler做為分類工具。



![使用 Assisted Log Enabler 查看哪些服務已啟用或已停用記錄](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/assisted-log-enabler.png)


以下是 的主要功能Assisted Log Enabler for AWS：
+ 您可以在單一帳戶或多帳戶環境中執行它。
+ 您可以使用它來建立登入環境的基準。
+ 您可以使用試轉功能來檢查目前狀態，並判斷哪些服務已啟用記錄。
+ 您可以選取要啟用記錄的服務。
+ 您可以針對您的使用案例Assisted Log Enabler調高或調低。

## 成熟：IAM 範例
<a name="mature-iam-example"></a>

**IAM 業務成果：**根據最佳實務自動化可見性和衡量，以持續降低風險、啟用安全的外部連線，以及快速佈建新的使用者和環境

**工具：**[AWS Identity and Access Management Access Analyzer (IAM Access Analyzer)](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 可協助您識別與外部實體共用的資源、根據政策文法和最佳實務驗證 IAM 政策，並根據歷史存取活動產生 IAM 政策。強烈建議您在帳戶和組織層級啟用 IAM Access Analyzer。

**服務優勢：**IAM Access Analyzer 提供豐富的洞見調查結果。它可以識別與外部實體共用的組織資源和帳戶。它可以偵測資源，例如公有 S3 儲存貯體、與其他 帳戶 AWS KMS key 共用的 ，或與外部帳戶共用的角色，讓您有絕佳的可見性來識別組織無法控制的資源。它不僅會驗證 IAM 政策，還可以為您產生這些政策。