本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 分析 分析 日誌、查詢功能和威脅情報是分析階段所需的一些支援元件。許多用於偵測的相同日誌也用於分析,並且需要加入和設定查詢工具。 # 驗證、範圍和評估提醒的影響 驗證、範圍和評估提醒的影響 在分析階段,會以目標執行全面的日誌分析,以驗證警示、定義範圍,並評估潛在入侵的影響。 + *驗證*提醒是分析階段的進入點。事件回應者將尋找來自各種來源的日誌項目,並直接與受影響工作負載的擁有者互動。 + *範圍是*下一個步驟,當所有涉及的資源都被清查,並在利益相關者同意不太可能是誤報之後調整警示重要性。 + 最後,*影響分析*會詳細說明實際的業務中斷。 識別受影響的工作負載元件後,範圍結果可以與相關工作負載的復原點目標 (RPO) 和復原時間目標 (RTO) 相關聯,並針對警示重要性進行調整,這會啟動資源分配,以及接下來發生的所有活動。並非所有事件都會直接中斷支援業務流程之工作負載的操作。敏感資料揭露、智慧財產權盜竊或資源劫持 (如加密貨幣挖掘) 等事件可能不會立即停止或破壞業務流程,但日後可能會導致後果。 # 豐富安全日誌和調查結果 豐富安全日誌和調查結果 ## 充實威脅情報和組織內容 充實威脅情報和組織內容 在分析過程中,感興趣的觀察項目需要擴充以增強提醒的內容化。如準備一節所述,整合和利用網路威脅情報有助於進一步了解安全調查結果。威脅情報服務用於將評價和屬性擁有權指派給公有 IP 地址、網域名稱和檔案雜湊。這些工具以付費和免費服務的形式提供。 採用 Amazon Athena 作為日誌查詢工具的客戶可以利用 AWS Glue 任務將威脅情報資訊載入資料表。威脅情報表可用於 SQL 查詢,以關聯日誌元素,例如 IP 地址和網域名稱,提供要分析資料的豐富檢視。 AWS 不會直接提供威脅情報給客戶,但 Amazon GuardDuty 等服務會使用威脅情報來擴充和產生問題清單。您也可以根據自己的威脅情報,將自訂威脅清單上傳至 GuardDuty。 ## 透過自動化擴充 透過自動化擴充 自動化是 AWS 雲端 控管不可或缺的一部分。它可以在事件回應生命週期的各個階段使用。 對於偵測階段,規則型自動化會比對日誌中威脅模型的感興趣模式,並採取適當的動作,例如傳送通知。分析階段可以利用偵測機制,並將警示內文轉送到能夠查詢日誌和充實可觀測值的引擎,以進行事件的內容化。 警示內文以其基本形式包含*資源*和*身分*。例如,您可以實作自動化來查詢 CloudTrail,了解警示主體在警示期間身分或資源執行的 AWS API 活動,提供額外的洞見,包括 `eventSource`、`SourceIPAddress`、 `eventName`和 已識別`userAgent`的 API 活動。透過以自動化方式執行這些查詢,回應者可以在分類期間節省時間,並取得其他內容,以協助做出更明智的決策。 如需如何使用自動化來[豐富 AWS 安全問題清單並簡化分析的範例,請參閱如何使用帳戶中繼資料強化 Security Hub](https://aws.amazon.com/blogs/security/how-to-enrich-aws-security-hub-findings-with-account-metadata/) 問題清單部落格文章。 # 收集和分析鑑識證據 收集和分析鑑識證據 如本文件[準備](preparation.md)章節所述,鑑識是在事件回應期間收集和分析成品的程序。在 上 AWS,它適用於基礎設施網域資源,例如網路流量封包擷取、作業系統記憶體傾印,以及 AWS CloudTrail 日誌等服務網域資源。 鑑識程序具有下列基本特性: + **一致** – 它遵循記錄的確切步驟,沒有偏差。 + **可重複** – 在針對相同成品重複時,會產生完全相同的結果。 + **慣例** – 它已公開記錄並廣泛採用。 對於事件回應期間收集的成品,維護監管鏈非常重要。除了將成品存放在唯讀儲存庫之外,使用自動化並自動產生此集合的文件也很有幫助。分析應僅對收集成品的確切複本執行,以維護完整性。 # 收集相關成品 收集相關成品 考慮到這些特性,並根據相關提醒和影響和範圍的評估,您將需要收集與進一步調查和分析相關的資料。可能與調查相關的各種資料類型和資料來源,包括服務/控制平面日誌 (CloudTrail、Amazon S3 資料事件、VPC 流程日誌)、資料 (Amazon S3 中繼資料和物件) 和資源 (資料庫、Amazon EC2 執行個體)。 您可以收集服務/控制平面日誌以進行本機分析,或者最好使用原生 AWS 服務直接查詢 (如適用)。您可以直接查詢資料 (包括中繼資料),以取得相關資訊或取得來源物件;例如,使用 AWS CLI 取得 Amazon S3 儲存貯體和物件中繼資料,並直接取得來源物件。資源的收集方式必須與資源類型和預期的分析方法一致。例如,您可以建立執行資料庫之系統的複本/快照、建立整個資料庫本身的複本/快照,或從與調查相關的資料庫中查詢和擷取特定資料和日誌,藉此收集資料庫。 對於 Amazon EC2 執行個體,應該收集一組特定的資料,以及應該執行的特定收集順序,以便取得和保留最多的資料量以供分析和調查。 具體而言,回應從 Amazon EC2 執行個體取得並保留最多資料量的順序如下: 1. **取得執行個體中繼資料** – 取得與調查和資料查詢相關的執行個體中繼資料 (執行個體 ID、類型、IP 地址、VPC/子網路 ID、區域、Amazon Machine Image (AMI) ID、連接的安全群組、啟動時間)。 1. **啟用執行個體保護和標籤** – 啟用執行個體保護,例如終止保護、設定關機行為以停止 (如果設定為終止)、停用已連接 EBS 磁碟區的終止時刪除屬性,以及為視覺表示法套用適當的標籤,並在可能的回應自動化中使用 (例如,套用名稱為 `Status`和值為 的標籤時`Quarantine`,執行鑑識資料擷取並隔離執行個體)。 1. **取得磁碟 (EBS 快照)** – 取得連接的 EBS 磁碟區的 EBS 快照。每個快照都包含將資料還原至新 EBS 磁碟區所需的資訊 (從拍攝快照的那一刻開始)。如果您使用執行個體存放區磁碟區,請參閱執行即時回應/成品收集的步驟。 1. **取得記憶體** – 由於 EBS 快照只會擷取已寫入 Amazon EBS 磁碟區的資料,這可能排除應用程式或作業系統在記憶體中存放或快取的資料,因此必須使用適當的第三方開放原始碼或商業工具來取得系統記憶體映像,以便從系統取得可用的資料。 1. **(選用) 執行即時回應/成品收集** – 只有在磁碟或記憶體無法以其他方式取得,或有有效的業務或操作原因時,才能透過系統上的即時回應執行目標資料收集 (磁碟/disk/memory/logs)。這樣做會修改寶貴的系統資料和成品。 1. **停用執行個體** – 從 Auto Scaling 群組分離執行個體、從負載平衡器取消註冊執行個體,以及調整或套用具有最小化或無許可的預先建置執行個體描述檔。 1. **隔離或包含執行個體 **– 透過結束和防止目前和未來的執行個體連線,確認執行個體與環境中的其他系統和資源有效隔離。如需詳細資訊,請參閱本文件的 [遏制](containment.md)一節。 1. **回應者的選擇** – 根據情況和目標,選取下列其中一項: + 停用並關閉系統 (建議)。 取得可用證據後關閉系統,以驗證最有效的緩解措施,避免執行個體未來對環境造成的影響。 + 在受檢測以進行監控的隔離環境中繼續執行執行個體。 雖然不建議將其做為標準方法, 如果情況值得持續觀察執行個體 (例如需要額外的資料或指標來執行執行個體的完整調查和分析), 您可以考慮關閉執行個體, 建立執行個體的 AMI, 在預先檢測為完全隔離的沙盒環境中,在您的專用鑑識帳戶中重新啟動執行個體,並使用檢測設定,以促進幾乎持續監控執行個體 (例如, VPC 流量日誌或 VPC 流量鏡射)。 **注意** 在即時回應活動或系統隔離或關閉之前擷取記憶體非常重要,才能擷取可用的揮發性 (和有價值的) 資料。 # 制定敘述 制定敘述 在分析和調查期間,記錄所採取的動作、執行的分析和識別的資訊,以供後續階段使用,最終為最終報告。這些敘述應簡潔且精確,確認包含相關資訊,以驗證對事件的有效了解,並維持準確的時間表。當您與核心事件回應團隊以外的人員互動時,它們也很有幫助。請見此處範例: **** *行銷和銷售部門在 2022 年 3 月 15 日收到要求以加密貨幣付款的勒索軟體通知,以避免公開發佈可能的敏感資料。SOC 判定屬於行銷和銷售的 Amazon RDS 資料庫已於 2022 年 2 月 20 日公開存取。SOC 查詢 RDS 存取日誌,並判斷 IP 地址 198.51.100.23 是在 2022 年 2 月 20 日使用,其登入資料`mm03434`屬於其中一個 Web 開發人員 *Major Mary*。SOC 查詢的 VPC 流程日誌,並確定大約 256MB 的資料在相同日期輸出到相同的 IP 地址 (時間戳記 2022-02-20T15:50\$100Z)。透過開放原始碼威脅情報判定的 SOC 目前可在公有儲存庫 中以純文字提供登入資料`https[:]//example[.]com/majormary/rds-utils`。*