SEC04-BP03 Korelasikan dan perkaya data peringatan keamanan
Aktivitas tak terduga dapat menghasilkan beberapa peringatan keamanan yang dibuat oleh sumber yang berbeda, yang membutuhkan korelasi dan pengayaan lebih lanjut untuk memahami konteksnya secara lengkap. Menerapkan korelasi otomatis dan pengayaan peringatan keamanan untuk membantu mencapai identifikasi dan respons insiden yang lebih akurat.
Hasil yang diinginkan: Karena aktivitas menghasilkan peringatan yang berbeda dalam beban kerja dan lingkungan Anda, maka mekanisme otomatis menghubungkan data dan memperkaya data tersebut dengan informasi tambahan. Langkah-langkah sebelum pemrosesan (pre-processing) ini menyajikan pemahaman yang lebih mendetail tentang peristiwa, sehingga akan membantu penyelidik Anda dalam menentukan tingkat kekritisan peristiwa tersebut dan apakah peristiwa tersebut merupakan insiden yang memerlukan respons formal. Proses ini akan mengurangi beban pada tim pemantauan dan investigasi Anda.
Anti-pola umum:
-
Grup orang yang berbeda-beda menyelidiki temuan dan peringatan yang dihasilkan oleh berbagai sistem, kecuali jika ditentukan lain berdasarkan persyaratan pemisahan tugas.
-
Organisasi Anda menyalurkan semua data temuan dan peringatan keamanan ke lokasi terstandardisasi, tetapi mengharuskan penyelidik melakukan korelasi dan pengayaan data secara manual.
-
Anda hanya mengandalkan intelijen sistem deteksi ancaman untuk melaporkan temuan dan menetapkan tingkat kekritisan.
Manfaat menerapkan praktik terbaik ini: Korelasi otomatis dan pengayaan peringatan akan membantu Anda dalam mengurangi beban kognitif secara keseluruhan dan persiapan data manual yang diperlukan peneliti Anda. Praktik ini dapat mengurangi waktu yang dibutuhkan untuk menentukan apakah peristiwa tersebut merepresentasikan sebuah insiden dan memulai respons formal. Konteks tambahan juga akan membantu Anda untuk menilai secara akurat tingkat keparahan yang sebenarnya dari suatu peristiwa, karena hal itu bisa jadi lebih tinggi atau lebih rendah dari yang diindikasikan oleh satu peringatan mana pun.
Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Rendah
Panduan implementasi
Peringatan keamanan dapat berasal dari berbagai sumber yang ada di AWS, termasuk:
-
Layanan-layanan seperti Amazon GuardDuty
, AWS Security Hub , Amazon Macie , Amazon Inspector , AWS Config , AWS Identity and Access Management Access Analyzer, dan Penganalisis Akses Jaringan -
Peringatan dari analisis otomatis layanan AWS, infrastruktur, dan log aplikasi, seperti dari Security Analytics untuk Amazon OpenSearch Service.
-
Alarm sebagai respons terhadap perubahan aktivitas penagihan Anda dari sumber seperti Amazon CloudWatch
, Amazon EventBridge , atau AWS Budgets . -
Sumber pihak ketiga seperti umpan intelijen ancaman dan Solusi Mitra Keamanan
dari AWS Partner Network -
Kontak oleh AWS Trust & Safety
atau sumber lain, seperti pelanggan atau karyawan internal.
Dalam bentuknya yang paling mendasar, peringatan berisi informasi tentang siapa (pengguna utama atau identitas) yang melakukan apa (tindakan yang diambil) terhadap apa (sumber daya yang terdampak tindakan). Untuk masing-masing sumber ini, identifikasi apakah Anda dapat membuat pemetaan di seluruh pengidentifikasi untuk identitas, tindakan, dan sumber daya ini sebagai landasan untuk melakukan korelasi. Hal ini dapat berupa mengintegrasikan sumber peringatan dengan alat manajemen informasi dan peristiwa keamanan (SIEM) untuk melakukan korelasi secara otomatis untuk Anda, membuat pipeline dan pemrosesan data Anda sendiri, atau kombinasi keduanya.
Contoh layanan yang dapat melakukan korelasi untuk Anda adalah Amazon Detective
Meskipun tingkat kekritisan awal sebuah peringatan dapat membantu dalam menentukan prioritisas, konteks yang mendasari terjadinya peringatan tersebut akan menentukan tingkat kekritisan yang sebenarnya. Sebagai contoh, Amazon GuardDuty dapat mengingatkan bahwa instans Amazon EC2 dalam beban kerja Anda sedang mengkueri nama domain yang tidak terduga. GuardDuty mungkin menetapkan tingkat kekritisan yang rendah untuk peringatan ini sendiri. Namun, korelasi otomatis dengan aktivitas lainnya yang terjadi kira-kira pada saat peringatan diberikan mungkin menunjukkan bahwa beberapa ratus instans EC2 di-deploy dengan identitas yang sama, sehingga akan meningkatkan biaya operasi secara keseluruhan. Dalam peristiwa ini, GuardDuty mungkin akan memublikasikan konteks peristiwa yang berkorelasi ini sebagai peringatan keamanan baru dan menyesuaikan tingkat kekritisannya ke tinggi, sehingga akan mempercepat tindakan lebih lanjut.
Langkah-langkah implementasi
-
Identifikasi sumber untuk informasi peringatan keamanan. Pahami cara peringatan dari sistem ini merepresentasikan identitas, tindakan, dan sumber daya untuk menentukan di mana korelasi mungkin dilakukan.
-
Tetapkan sebuah mekanisme untuk mencatat peringatan dari sumber yang berbeda-beda. Pertimbangkan layanan-layanan seperti Security Hub, EventBridge, dan CloudWatch untuk tujuan ini.
-
Identifikasi sumber untuk korelasi dan pengayaan data. Contoh sumber termasuk CloudTrail, Log Alur VPC, Danau Keamanan Amazon, serta log infrastruktur dan aplikasi.
-
Integrasikan peringatan Anda dengan sumber korelasi dan pengayaan data untuk membuat konteks peristiwa keamanan yang lebih mendetail dan menetapkan tingkat kekritisannya.
-
Amazon Detective, alat SIEM, atau solusi pihak ketiga lainnya dapat melakukan penyerapan, korelasi, dan pengayaan data pada tingkat tertentu secara otomatis.
-
Anda juga dapat menggunakan layanan-layanan AWS untuk membuat solusi Anda sendiri. Misalnya, Anda dapat menginvokasi fungsi AWS Lambda untuk menjalankan kueri Amazon Athena terhadap AWS CloudTrail atau Danau Keamanan Amazon, dan memublikasikan hasilnya ke EventBridge.
-
Sumber daya
Praktik-praktik terbaik terkait:
Dokumen terkait:
Contoh terkait:
Alat terkait:
