SEC04-BP03 Correlacione e enriqueça os alertas de segurança

Atividades inesperadas podem gerar vários alertas de segurança de diferentes fontes, exigindo mais correlação e enriquecimento para entender o contexto completo. Implemente a correlação automatizada e o enriquecimento de alertas de segurança para ajudar a obter identificações e respostas mais precisas a incidentes.

Resultado desejado: à medida que a atividade gera alertas diferentes em seus ambientes e workloads, mecanismos automatizados correlacionam dados e enriquecem esses dados com informações adicionais. Esse pré-processamento apresenta uma compreensão mais detalhada do evento, o que ajuda os investigadores a determinar a importância do evento e se ele constitui um incidente que requer uma resposta formal. Esse processo reduz a carga sobre suas equipes de monitoramento e investigação.

Práticas comuns que devem ser evitadas:

Diferentes grupos de pessoas investigam descobertas e alertas gerados por sistemas diferentes, a menos que seja exigido de outra forma pelos requisitos de separação de deveres.
Sua organização canaliza todos os dados de detecção e alerta de segurança para locais padrão, mas exige que os investigadores realizem a correlação e o enriquecimento manualmente.
Você depende exclusivamente da inteligência dos sistemas de detecção de ameaças para relatar descobertas e determinar a gravidade.

Benefícios de implementar esta prática recomendada: a correlação e o enriquecimento automatizados de alertas ajudam a reduzir a carga cognitiva geral e a preparação manual de dados exigidas de seus investigadores. Essa prática pode reduzir o tempo necessário para determinar se o evento representa um incidente e iniciar uma resposta formal. O contexto adicional também ajuda a avaliar com precisão a verdadeira gravidade de um evento, pois ela pode ser maior ou menor do que o sugerido por qualquer alerta.

Nível de risco exposto se esta prática recomendada não for estabelecida: Baixo

Orientação para implementação

Os alertas de segurança podem vir de várias fontes internas AWS, incluindo:

Serviços como Amazon GuardDuty AWS Security Hub, AmazonMacie, Amazon Inspector e Network AWS ConfigAccess AWS Identity and Access Management Access AnalyzerAnalyzer
Alertas de análises automatizadas de registros de AWS serviços, infraestrutura e aplicativos, como do Security Analytics for Amazon OpenSearch Service.
Alarmes em resposta a alterações em sua atividade de cobrança de fontes como Amazon EventBridge, CloudWatch Amazon ou. AWS Budgets
Fontes de terceiros, como feeds de inteligência de ameaças e soluções de parceiros de segurança da AWS Partner Network
Entre em contato pela AWS Trust & Safety ou por outras fontes, como clientes ou funcionários internos.

Em sua forma mais fundamental, os alertas contêm informações sobre quem (a entidade principal ou identidade) está fazendo o quê (a ação tomada) a quê (os recursos afetados). Em cada uma dessas fontes, identifique se há maneiras de criar associações nos identificadores referentes a essas identidades, ações e recursos como base para realizar a correlação. Isso pode assumir a forma de integrar fontes de alerta a uma ferramenta de gerenciamento de eventos e informações de segurança (SIEM) para realizar a correlação automatizada para você, criando seus próprios pipelines e processamento de dados, ou uma combinação de ambos.

Um exemplo de serviço que pode realizar a correlação para você é o Amazon Detective. Detective realiza a ingestão contínua de alertas de várias fontes AWS e de terceiros e usa diferentes formas de inteligência para montar um gráfico visual de seus relacionamentos para auxiliar nas investigações.

Embora a gravidade inicial de um alerta ajude na priorização, o contexto em que o alerta aconteceu determina sua verdadeira gravidade. Por exemplo, a Amazon GuardDuty pode alertar que uma EC2 instância da Amazon dentro da sua carga de trabalho está consultando um nome de domínio inesperado. GuardDuty pode atribuir baixa criticidade a esse alerta por si só. No entanto, a correlação automatizada com outras atividades na época do alerta pode revelar que várias centenas de EC2 instâncias foram implantadas pela mesma identidade, o que aumenta os custos operacionais gerais. Nesse caso, GuardDuty poderia publicar esse contexto de evento correlacionado como um novo alerta de segurança e ajustar a criticidade para alta, o que agilizaria outras ações.

Etapas de implementação

Identifique fontes de informações sobre alertas de segurança. Entenda como os alertas desses sistemas representam identidade, ação e recursos para determinar onde a correlação é possível.
Estabeleça um mecanismo para capturar alertas de diferentes fontes. Considere serviços como o Security Hub EventBridge,, e CloudWatch para essa finalidade.
Identifique fontes para correlação e enriquecimento de dados. Exemplos de fontes incluem CloudTrail VPC Flow Logs, Amazon Security Lake e registros de infraestrutura e aplicativos.
Integre os alertas às fontes de correlação e enriquecimento de dados para criar contextos de eventos de segurança mais detalhados e determinar a gravidade.
1. O Amazon Detective, SIEM ferramentas ou outras soluções de terceiros podem realizar um determinado nível de ingestão, correlação e enriquecimento automaticamente.
2. Você também pode usar AWS serviços para criar seus próprios. Por exemplo, você pode invocar uma AWS Lambda função para executar uma consulta do Amazon Athena AWS CloudTrail ou do Amazon Security Lake e publicar os resultados no. EventBridge

Recursos

Práticas recomendadas relacionadas:

Documentos relacionados:

Guia de resposta a incidentes de segurança da AWS

Exemplos relacionados:

Ferramentas relacionadas:

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

SEC04-BP02 Capture registros, descobertas e métricas em locais padronizados

SEC04-BP04 Inicie a remediação para recursos não compatíveis