Erkennung

Die Erkennung besteht aus zwei Teilen: der Erkennung von unerwarteten oder unerwünschten Konfigurationsänderungen und der Erkennung von unerwartetem Verhalten. Der erste Teil kann an mehreren Stellen im Lebenszyklus einer Anwendung erfolgen. Mithilfe von Infrastruktur als Code (z. B. einer CloudFormation Vorlage) können Sie vor der Bereitstellung eines Workloads nach unerwünschten Konfigurationen suchen, indem Sie Prüfungen in den CI/CD-Pipelines oder der Quellcodeverwaltung implementieren. Wenn Sie dann einen Workload in Nicht-Produktions- und Produktionsumgebungen bereitstellen, können Sie die Konfiguration mithilfe systemeigener Tools AWS, Open-Source-Tools oder Partner-Tools überprüfen. AWS Diese Prüfungen können sich auf Konfigurationen beziehen, die nicht den Sicherheitsgrundsätzen oder bewährten Methoden entsprechen oder auf Änderungen, die zwischen einer getesteten und einer bereitgestellten Konfiguration vorgenommen wurden. Bei einer laufenden Anwendung können Sie überprüfen, ob die Konfiguration auf unerwartete Weise geändert wurde, auch außerhalb einer bekannten Bereitstellung oder eines automatischen Skalierungsereignisses.

Für den zweiten Teil der Erkennung, das unerwartete Verhalten, können Sie Tools verwenden oder bei einer Zunahme eines bestimmten Anruftyps eine Warnung ausgeben. API Mit Amazon können Sie benachrichtigt werden GuardDuty, wenn unerwartete und potenziell unautorisierte oder böswillige Aktivitäten in Ihren AWS Konten auftreten. Sie sollten auch explizit nach mutierenden API Aufrufen Ausschau halten, von denen Sie nicht erwarten würden, dass sie in Ihrem Workload verwendet werden, sowie nach API Anrufen, die den Sicherheitsstatus verändern.

Die Erkennung ermöglicht es Ihnen, eine potenzielle Sicherheitsfehlkonfiguration, eine Bedrohung oder ein unerwartetes Verhalten zu identifizieren. Die Kontrollmechanismen sind ein wesentlicher Bestandteil des Sicherheitslebenszyklus. Sie können zur Unterstützung von Qualitätssicherungsverfahren, zur Einhaltung gesetzlicher Vorgaben und Pflichten sowie zur Erkennung und Abwehr von Bedrohungen genutzt werden. Es gibt unterschiedliche Erkennungsmechanismen. Protokolle von Ihrer Workload können beispielsweise auf Exploits analysiert werden, die verwendet werden. Sie sollten regelmäßig die Erkennungsmechanismen im Zusammenhang mit Ihrer Workload überprüfen, um sicherzustellen, dass Sie die internen und externen Richtlinien und Anforderungen erfüllen. Automatisierte Warnungen und Benachrichtigungen sollten auf definierten Bedingungen basieren, damit Ihre Teams oder Tools Untersuchungen vornehmen können. Diese Mechanismen sind wichtige reaktive Faktoren, die es Ihrer Organisation ermöglichen, den Umfang anomaler Aktivitäten zu ermitteln und zu verstehen.

In gibt es eine Reihe von Ansätzen AWS, die Sie bei der Bekämpfung von Erkennungsmechanismen verwenden können. Die folgenden Abschnitte beschreiben die Verwendung dieser Ansätze:

Bewährte Methoden

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

SEC03-BP09 Sicheres Teilen von Ressourcen mit Dritten

SEC04-BP01 Konfigurieren der Service- und Anwendungsprotokollierung