Erkenntnisgruppen analysieren - Amazon Detective

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erkenntnisgruppen analysieren

Mithilfe von Amazon-Detective-Erkenntnisgruppen können Sie mehrere Aktivitäten untersuchen, da sie sich auf ein potenzielles Sicherheitsereignis beziehen. Eine Ergebnisgruppe in Amazon Detective wird erstellt, wenn Detective ein Muster oder eine Beziehung zwischen mehreren Ergebnissen erkennt, die darauf hindeuten, dass sie mit demselben potenziellen Sicherheitsvorfall zusammenhängen. Diese Gruppierung hilft dabei, verwandte Ergebnisse effizienter zu verwalten und zu untersuchen.

Mithilfe von Findungsgruppen können Sie die Ursache für GuardDuty Befunde mit hohem Schweregrad analysieren. Wenn ein Bedrohungsakteur versucht, Ihre AWS Umgebung zu kompromittieren, führt er in der Regel eine Abfolge von Aktionen durch, die zu mehreren Sicherheitsergebnissen und ungewöhnlichem Verhalten führen. Diese Aktionen sind häufig über mehrere Zeiträume und Entitäten verteilt. Wenn Sicherheitserkenntnisse isoliert untersucht werden, kann dies zu einer Fehlinterpretation ihrer Bedeutung und zu Schwierigkeiten bei der Suche nach der Ursache führen. Amazon Detective löst dieses Problem, indem es eine Diagrammanalysetechnik anwendet, die Beziehungen zwischen Erkenntnissen und Entitäten ableitet und diese gruppiert. Wir empfehlen, Erkenntnisgruppen als Ausgangspunkt für die Untersuchung der beteiligten Entitäten und Erkenntnisse zu verwenden.

Detective analysiert Daten aus Erkenntnissen und gruppiert sie mit anderen Erkenntnissen, die aufgrund der gemeinsamen genutzten Ressourcen wahrscheinlich verwandt sind. Beispielsweise sind Ergebnisse, die sich auf Aktionen beziehen, die von denselben IAM Rollensitzungen ausgeführt wurden oder von derselben IP-Adresse ausgehen, sehr wahrscheinlich Teil derselben zugrunde liegenden Aktivität. Es ist ratsam, Erkenntnisse und Beweise als Gruppe zu untersuchen, auch wenn die von Detective gemachten Assoziationen nicht miteinander zusammenhängen.

Findungsgruppen werden auf der Grundlage der folgenden Kriterien erstellt.

  • Zeitliche Nähe — Ergebnisse, die innerhalb eines engen Zeitrahmens auftreten, werden häufig zu Gruppen zusammengefasst, da sie sich wahrscheinlich auf dasselbe Ereignis beziehen.

  • Gemeinsame Entitäten — Ergebnisse, die dieselben Entitäten betreffen, wie IP-Adressen, Benutzer oder Ressourcen, werden gruppiert. Dies hilft dabei, das Ausmaß des Vorfalls in verschiedenen Teilen der Umgebung besser zu verstehen.

  • Muster und Verhalten — Detective analysiert Muster und Verhaltensweisen in den Ergebnissen, z. B. ähnliche Arten von Angriffen oder verdächtige Aktivitäten, um Zusammenhänge zu ermitteln und sie entsprechend zu gruppieren.

  • Taktiken, Techniken und Verfahren (TTPs) — Ergebnisse, die Ähnlichkeiten aufweisenTTPs, wie sie in Frameworks wie MITRE ATT &CK beschrieben sind, werden gruppiert, um potenzielle koordinierte Angriffe aufzuzeigen.

Diese Kriterien tragen dazu bei, den Ermittlungsprozess zu rationalisieren, sodass Sie sich auf korrelierte Ergebnisse konzentrieren können, bei denen es sich wahrscheinlich um denselben Sicherheitsvorfall handelt.

Neben den Erkenntnissen umfasst jede Gruppe auch Einrichtungen, die von den Erkenntnissen betroffen sind. Die Entitäten können externe Ressourcen AWS wie IP-Adressen oder Benutzeragenten enthalten.

Anmerkung

Nach einem ersten GuardDuty Befund, der mit einem anderen Befund zusammenhängt, wird innerhalb von 48 Stunden die Ergebnisgruppe mit allen zugehörigen Ergebnissen und allen beteiligten Entitäten erstellt.