Ermittlungsphasen und Ausgangspunkte - Amazon Detective
Phasen der UntersuchungAusgangspunkte für eine Detective Untersuchung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ermittlungsphasen und Ausgangspunkte

Amazon Detective bietet Tools zur Unterstützung des gesamten Untersuchungsprozesses. Eine Untersuchung in Detective kann mit einer Erkenntnis, einer Erkenntnisgruppe oder einer Entität beginnen.

Phasen der Untersuchung

Jeder Untersuchungsprozess umfasst die folgenden Phasen:

Triage

Der Untersuchungsprozess beginnt, wenn Sie über einen Verdacht auf böswillige Aktivitäten oder Aktivitäten mit hohem Risiko informiert werden. Sie sind beispielsweise damit beauftragt, Ergebnisse oder Warnungen zu untersuchen, die von Diensten wie Amazon GuardDuty und Amazon Inspector aufgedeckt wurden.

In der Triage-Phase stellen Sie fest, ob es sich bei der Aktivität Ihrer Meinung nach um eine echt positive Aktivität (echte böswillige Aktivität) oder um eine falsch positive Aktivität (keine böswillige oder risikoreiche Aktivität) handelt. Detective-Profile unterstützen den Triage-Prozess, indem sie Einblicke in die Aktivitäten der beteiligten Entität bieten.

In wirklich positiven Fällen fahren Sie mit der nächsten Phase fort.

Umfang

Während der Scoping-Phase ermitteln Analysten das Ausmaß der böswilligen oder risikoreichen Aktivität und die zugrunde liegende Ursache.

Beim Scoping werden die folgenden Arten von Fragen beantwortet:

  • Welche Systeme und Benutzer wurden kompromittiert?

  • Wo hat der Angriff seinen Ursprung?

  • Wie lange dauert der Angriff schon an?

  • Gibt es noch andere verwandte Aktivitäten, die aufgedeckt werden müssen? Wenn ein Angreifer beispielsweise Daten aus Ihrem System extrahiert, wie hat er diese erhalten?

Detective-Visualisierungen können Ihnen helfen, andere beteiligte oder betroffene Entitäten zu identifizieren.

Antwort

Der letzte Schritt besteht darin, auf den Angriff zu reagieren, um ihn zu stoppen, den Schaden zu minimieren und zu verhindern, dass ein ähnlicher Angriff erneut stattfindet.

Ausgangspunkte für eine Detective Untersuchung

Jede Untersuchung in Detective hat einen wesentlichen Ausgangspunkt. Möglicherweise wird Ihnen ein Amazon GuardDuty oder AWS Security Hub ein Fundstück zugewiesen, das Sie untersuchen möchten. Oder Sie haben Bedenken wegen ungewöhnlicher Aktivitäten für eine bestimmte IP-Adresse.

Zu den typischen Ausgangspunkten für eine Untersuchung gehören Ergebnisse, die von Detective-Quelldaten entdeckt wurden, GuardDuty und Entitäten, die aus diesen extrahiert wurden.

Festgestellte Ergebnisse von GuardDuty

GuardDuty verwendet Ihre Protokolldaten, um vermutete böswillige oder risikoreiche Aktivitäten aufzudecken. Detective stellt Ressourcen zur Verfügung, mit denen Sie diese Erkenntnisse untersuchen können.

Für jede Erkenntnis stellt Detective die zugehörigen Erkenntnisdetails zur Verfügung. Detective zeigt auch die Entitäten, wie IP-Adressen und AWS Konten, die mit dem Ergebnis verbunden sind.

Anschließend können Sie die Aktivitäten der beteiligten Entitäten untersuchen, um festzustellen, ob die anhand der Erkenntnis festgestellte Aktivität tatsächlich Anlass zur Sorge gibt.

Weitere Informationen finden Sie unter Analyse einer Ergebnisübersicht.

AWS Von Security Hub aggregierte Sicherheitsergebnisse

AWS Security Hub fasst die Sicherheitsergebnisse verschiedener Anbieter von Erkenntnissen an einem einzigen Ort zusammen und bietet Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus in. AWS Security Hub eliminiert die Komplexität der Bewältigung großer Mengen an Erkenntnissen von mehreren Anbietern. Dadurch wird der Aufwand für die Verwaltung und Verbesserung der Sicherheit all Ihrer AWS Konten, Ressourcen und Workloads reduziert. Detective stellt Ressourcen zur Verfügung, mit denen Sie diese Erkenntnisse untersuchen können.

Für jede Erkenntnis stellt Detective die zugehörigen Erkenntnisdetails zur Verfügung. Detective zeigt auch die Entitäten, wie IP-Adressen und AWS Konten, die mit dem Ergebnis verbunden sind.

Weitere Informationen finden Sie unter Analyse einer Ergebnisübersicht.

Aus Detective-Quelldaten extrahierte Entitäten

Aus den aufgenommenen Detective-Quelldaten extrahiert Detective Entitäten wie IP-Adressen und AWS -Benutzer. Sie können eine davon als Ausgangspunkt für Ermittlungen verwenden.

Detective stellt allgemeine Informationen über die Entität bereit, z. B. die IP-Adresse oder den Benutzernamen. Es enthält auch Details zum Aktivitätsverlauf. Detective kann beispielsweise melden, mit welchen anderen IP-Adressen eine Entität eine Verbindung hergestellt hat, mit welchen eine Verbindung hergestellt wurde oder welche sie verwendet hat.

Weitere Informationen finden Sie unter Analysieren von Entitäten in Amazon Detective.