Menganalisis kelompok temuan - Amazon Detective

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menganalisis kelompok temuan

Grup pencari Detektif Amazon memungkinkan Anda memeriksa beberapa aktivitas yang terkait dengan peristiwa keamanan potensial. Sebuah kelompok temuan di Amazon Detective dibuat ketika Detektif mendeteksi pola atau hubungan di antara beberapa temuan yang menunjukkan bahwa mereka terkait dengan insiden keamanan potensial yang sama. Pengelompokan ini membantu dalam mengelola dan menyelidiki temuan terkait secara lebih efisien.

Anda dapat menganalisis akar penyebab GuardDuty temuan tingkat keparahan tinggi menggunakan kelompok temuan. Jika pelaku ancaman mencoba membahayakan AWS lingkungan Anda, mereka biasanya melakukan serangkaian tindakan yang mengarah pada beberapa temuan keamanan dan perilaku yang tidak biasa. Tindakan ini sering tersebar di seluruh waktu dan entitas. Ketika temuan keamanan diselidiki secara terpisah, itu dapat menyebabkan salah tafsir signifikansi mereka, dan kesulitan dalam menemukan akar penyebabnya. Amazon Detective mengatasi masalah ini dengan menerapkan teknik analisis grafik yang menyimpulkan hubungan antara temuan dan entitas, dan mengelompokkannya bersama-sama. Kami merekomendasikan memperlakukan kelompok pencari sebagai titik awal untuk menyelidiki entitas dan temuan yang terlibat.

Detective menganalisis data dari temuan dan mengelompokkannya dengan temuan lain yang mungkin terkait berdasarkan sumber daya yang mereka bagikan. Misalnya, temuan yang terkait dengan tindakan yang diambil oleh sesi IAM peran yang sama atau berasal dari alamat IP yang sama sangat mungkin menjadi bagian dari aktivitas dasar yang sama. Sangat berharga untuk menyelidiki temuan dan bukti sebagai sebuah kelompok, bahkan jika asosiasi yang dibuat oleh Detektif tidak terkait.

Grup pencarian dibuat berdasarkan kriteria berikut.

  • Kedekatan Temporal — Temuan yang terjadi dalam jangka waktu dekat sering dikelompokkan bersama, karena kemungkinan terkait dengan insiden yang sama.

  • Entitas Umum — Temuan yang melibatkan entitas yang sama, seperti alamat IP, pengguna, atau sumber daya, dikelompokkan bersama. Ini membantu dalam memahami ruang lingkup insiden di berbagai bagian lingkungan.

  • Pola dan Perilaku Detektif menganalisis pola dan perilaku dalam temuan, seperti jenis serangan serupa atau aktivitas mencurigakan, untuk menentukan hubungan dan mengelompokkannya sesuai dengan itu.

  • Taktik, Teknik, dan Prosedur (TTPs) — Temuan yang memiliki kesamaanTTPs, seperti yang dijelaskan dalam kerangka kerja seperti MITRE ATT &CK, dikelompokkan bersama untuk menyoroti potensi serangan terkoordinasi.

Kriteria ini membantu merampingkan proses investigasi sehingga Anda dapat fokus pada temuan berkorelasi yang kemungkinan mewakili insiden keamanan yang sama.

Selain temuan, setiap kelompok mencakup entitas yang terlibat dalam temuan. Entitas dapat menyertakan sumber daya di luar AWS seperti Alamat IP atau agen pengguna.

catatan

Setelah GuardDuty temuan awal terjadi yang terkait dengan temuan lain, kelompok temuan dengan semua temuan terkait dan semua entitas yang terlibat dibuat dalam waktu 48 jam.