SEC09-BP03 Automatisieren der Erkennung von unbeabsichtigtem Datenzugriff

Verwenden Sie Tools wie Amazon GuardDuty zum automatischen Erkennen von verdächtigen Aktivitäten oder Versuchen, Daten außerhalb definierter Grenzen zu verschieben. GuardDuty kann beispielsweise ungewöhnliche Amazon Simple Storage Service (Amazon S3)-Leseaktivitäten erkennen. Verwendet wird dafür Exfiltration:S3/AnomalousBehavior. Zusätzlich zu GuardDuty können auch Amazon VPC Flow Logs, die die Netzwerkverkehrsinformationen erfassen, zusammen mit Amazon EventBridge verwendet werden, um die Erkennung anormaler Verbindungen – sowohl erfolgreich als auch abgelehnt – zu berichten. Mit Amazon S3 Access Analyzer können Sie ermitteln, welche Daten für wen in Ihren Amazon S3-Buckets zugänglich sind.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel

Implementierungsleitfaden

Automatisieren der Erkennung von unbefugtem Datenzugriff: Setzen Sie Tools oder Erkennungsmechanismen ein, die automatisch erkennen, wenn versucht wird, Daten außerhalb festgelegter Grenzen zu verschieben. Damit lässt sich beispielsweise ein Datenbanksystem erkennen, das Daten auf einen unbekannten Host kopiert.
- VPC Flow Logs
Erwägen von Amazon Macie: Amazon Macie ist ein vollständig verwalteter Service für Datensicherheit und Datenschutz, der mithilfe von Machine Learning und Mustervergleichen Ihre sensiblen Daten in AWS erkennt und schützt.
- Amazon Macie

Ressourcen

Ähnliche Dokumente:

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

SEC09-BP02 Erzwingen einer Verschlüsselung bei der Übertragung

SEC09-BP04 Authentifizieren der Netzwerkkommunikation