SEC04-BP03 建立安全提醒的相互關聯並增添其豐富性
非預期的活動可能會導致不同來源產生多個安全提醒,因此需要進一步在建立這些來源之間的相互關聯並增添豐富性,才能了解完整的內容。實作安全提醒的自動化相互關聯並增添其豐富性,有助於更準確地識別和回應事件。
預期成果:當活動在您的工作負載和環境內產生不同的提醒時,自動化機制會建立資料的相互關聯,並使用其他資訊增添該資料的豐富性。此預先處理程序呈現了對事件更詳細的了解,進而協助調查人員判斷事件的關鍵性,以及它是否構成需要正式回應的事件。此程序可減輕監控和調查團隊的負擔。
常見的反模式:
-
不同組合的人員對不同系統產生的調查結果和提醒進行調查 (除非是在因職責區分需求而另有規定的情況下)。
-
您的組織將所有安全調查結果和提醒資料收集到標準位置,但要求調查人員手動建立相互關聯和添加資訊。
-
您只仰賴威脅偵測系統的情報來回報調查結果和確定關鍵性。
建立此最佳實務的優勢:自動建立提醒的相互關聯和增添其豐富性,有助於減輕調查人員的整體認知負擔和手動準備資料的負荷。這種做法可縮短判斷事件是否為「事件」及正式回應所需的時間。額外的內容還可協助您準確評估事件的嚴重性,因為實際的嚴重性可能高於或低於任何提醒表明的嚴重性。
未建立此最佳實務時的曝險等級:低
實作指引
安全提醒可能來自 AWS 內多個不同的來源,包括:
-
Amazon GuardDuty
、AWS Security Hub 、Amazon Macie 、Amazon Inspector 、AWS Config 、AWS Identity and Access Management Access Analyzer 和網路存取分析器等服務 -
來自 AWS 服務、基礎設施和應用程式日誌的自動化分析的提醒,例如來自 Security Analytics for Amazon OpenSearch Service。
-
回應帳單活動變更的警示,來自下列來源:Amazon CloudWatch
、Amazon EventBridge 或 AWS Budgets 。 -
第三方來源,例如來自 AWS Partner Network 的威脅情報摘要和安全合作夥伴解決方案
-
來自 AWS 信任與安全或其他來源的聯絡資訊
,例如客戶或內部員工。
提醒基本上包含有關誰 (主體或身分)、做了什麼 (採取的動作),以及對象是誰 (受影響的資源) 的資訊。對於其中每個來源,請確定是否有能夠在這些身分、動作和資源的識別碼之間建立映射的方式,以做為建立相互關聯的基礎。可能的形式包括整合提醒來源與安全資訊和事件管理 (SIEM) 工具,以便為您自動建立相互關聯、建置您自己的資料管道和處理流程,或結合上述兩者。
可為您建立相互關聯的服務範例為 Amazon Detective
雖然提醒的初始關鍵性可協助判斷優先順序,但提醒發生的環境則決定了其真實的關鍵性。舉例來說,Amazon GuardDuty
實作步驟
-
識別安全提醒資訊的來源。了解來自這些系統的提醒如何表示身分、動作和資源,以確定可能的相互關聯。
-
建立一個機制來擷取不同來源的提醒。考慮用於這類用途的服務,例如 Security Hub、EventBridge 和 CloudWatch。
-
識別資料相互關聯和增添豐富性的來源。範例來源包括 AWS CloudTrail
、VPC 流程日誌、Route 53 Resolver 日誌,以及基礎設施和應用程式日誌。這些日誌的任一種或全部都可能透過與 Amazon Security Lake 的單一整合來取用。 -
將提醒與資料相互關聯和增添豐富性的來源整合在一起,以建立更詳細的安全事件內容並構成關鍵性。
-
Amazon Detective、SIEM 工具或其他第三方解決方案可以自動執行特定層級的擷取、相互關聯和豐富性。
-
您也可以使用 AWS 服務來自行建置。例如,您可以調用 AWS Lambda 函數來對 AWS CloudTrail 或 Amazon Security Lake 執行 Amazon Athena 查詢,並將結果發布至 EventBridge。
-
資源
相關的最佳實務:
相關文件:
相關範例:
相關工具:
