Grundlegendes zur Seite „Erkenntnisgruppen“ - Amazon Detective

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegendes zur Seite „Erkenntnisgruppen“

Auf der Seite „Suchgruppen“ werden alle Suchgruppen aufgeführt, die Amazon Detective anhand Ihres Verhaltensdiagramms gesammelt hat. Beachten Sie beim Auffinden von Gruppen die folgenden Eigenschaften:

Schweregrad einer Gruppe

Jeder Ergebnisgruppe wird ein Schweregrad zugewiesen, der auf dem Schweregrad der zugehörigen Ergebnisse im AWS Security Finding Format (ASFF) basiert. ASFFBei der Suche nach Schweregradwerten lauten Kritisch, Hoch, Mittel, Niedrig oder Informativ vom höchsten bis zum geringsten Schweregrad. Der Schweregrad einer Gruppierung entspricht der Erkenntnis mit dem höchsten Schweregrad unter den Erkenntnissen in dieser Gruppierung.

Gruppen, die aus Erkenntnissen mit kritischem oder hohem Schweregrad bestehen, die sich auf eine große Anzahl von Entitäten auswirken, sollten bei Untersuchungen bevorzugt werden, da es sich bei ihnen eher um Sicherheitsprobleme mit schwerwiegenden Auswirkungen handelt.

Gruppentitel

In der Titelspalte hat jede Gruppe eine eindeutige ID und einen nicht eindeutigen Titel. Diese basieren auf dem ASFF Typ-Namespace für die Gruppe und der Anzahl der Ergebnisse innerhalb dieses Namespaces im Cluster. Wenn eine Gruppierung beispielsweise den Titel hat: Gruppe mit: TTP(2), Effekt (1) und Ungewöhnlichem Verhalten (2), umfasst sie insgesamt fünf Ergebnisse, bestehend aus zwei Ergebnissen im TTPNamespace, einem Ergebnis im Effekt-Namespace und zwei Ergebnissen im Namespace Ungewöhnliches Verhalten. Eine vollständige Liste der Namespaces finden Sie unter Typen-Taxonomie für. ASFF

Taktiken in einer Gruppe

In der Spalte Taktiken in einer Gruppe wird angegeben, in welche Taktikkategorie die Aktivität fällt. Die Kategorien Taktiken, Techniken und Verfahren in der folgenden Liste entsprechen der &CK-Matrix. MITRE ATT

Sie können eine Taktik in der Kette auswählen, um eine Beschreibung der Taktik zu erhalten. Unter der Kette befindet sich eine Liste der innerhalb der Gruppe erkannten Taktiken. Diese Kategorien und die Aktivitäten, für die sie typischerweise stehen, lauten wie folgt:

  • Erster Zugriff – Ein Angreifer versucht, in das Netzwerk einer anderen Person einzudringen.

  • Ausführung – Ein Angreifer versucht, in das Netzwerk einer anderen Person einzudringen.

  • Beharrlichkeit – Ein Angreifer versucht, seine Stellung zu halten.

  • Eskalation von Rechten – Ein Angreifer versucht, Berechtigungen auf höherer Ebene zu erlangen.

  • Umgehung der Verteidigung – Ein Angreifer versucht zu vermeiden, entdeckt zu werden.

  • Zugriff auf Anmeldeinformationen – Ein Angreifer versucht, Kontonamen und Passwörter zu stehlen.

  • Entdeckung – Ein Angreifer versucht, eine Umgebung zu verstehen und etwas über sie zu erfahren.

  • Seitliche Bewegung – Ein Angreifer versucht, sich in einer Umgebung zu bewegen.

  • Erfassung – Ein Angreifer versucht, Daten zu sammeln, die für sein Ziel von Interesse sind.

  • Befehl und Steuerung – Ein Angreifer versucht, in das Netzwerk einer anderen Person einzudringen.

  • Exfiltration – Ein Angreifer versucht, Daten zu stehlen.

  • Auswirkung – Ein Angreifer versucht, Ihre Systeme und Daten zu manipulieren, zu unterbrechen oder zu zerstören.

  • Andere – Weist auf eine Aktivität aufgrund einer Erkenntnis hin, das nicht mit den in der Matrix aufgeführten Taktiken übereinstimmt.

Entitäten innerhalb einer Gruppe

Die Spalte Entitäten enthält Details zu den spezifischen Entitäten, die innerhalb dieser Gruppierung erkannt wurden. Wählen Sie diesen Wert für eine Aufschlüsselung der Entitäten auf Grundlage der Kategorien: Identität, Netzwerk, Speicher und Datenverarbeitung. Beispiele für Entitäten in jeder Kategorie sind:

  • Identität — IAM Prinzipale und AWS-Konten, wie Benutzer und Rolle

  • Netzwerk — IP-Adresse oder andere Netzwerke und Entitäten VPC

  • Speicher — Amazon S3 S3-Buckets oder DDBs

  • EC2Amazon-Instances oder Kubernetes-Container berechnen

Konten innerhalb einer Gruppe

In der Spalte Konten erfahren Sie, welche AWS Konten Entitäten besitzen, die an den Ergebnissen in der Gruppe beteiligt waren. Die AWS Konten sind nach Namen und AWS ID aufgelistet, sodass Sie Untersuchungen von Aktivitäten, die kritische Konten betreffen, priorisieren können.

Erkenntnisse innerhalb einer Gruppe

In der Spalte Erkenntnisse werden die Entitäten innerhalb einer Gruppe nach Schweregrad aufgelistet. Zu den Ergebnissen gehören GuardDuty Ergebnisse von Amazon, Amazon Inspector, AWS Sicherheitserkenntnisse und Beweise von Detective. Sie können das Diagramm auswählen, um eine genaue Anzahl der Erkenntnisse nach Schweregrad anzuzeigen.

GuardDuty Die Ergebnisse sind Teil des Detective-Kernpakets und werden standardmäßig aufgenommen. Alle anderen AWS Sicherheitsergebnisse, die von Security Hub aggregiert werden, werden als optionale Datenquelle aufgenommen. Weitere Informationen finden Sie unter In einem Verhaltensdiagramm verwendete Quelldaten.