Erkennen und Analysieren - AWS Security Incident Response Benutzerleitfaden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erkennen und Analysieren

AWS Security Incident Response überwacht, bewertet und untersucht die Sicherheitsergebnisse von Amazon GuardDuty und Integrationen durch. AWS Security Hub Zu den weiteren Maßnahmen, die den Umfang und die Effektivität der Überwachungs- und AWS Security Incident Response Ermittlungskapazitäten erheblich verbessern können, gehören:

Aktivierung unterstützter Erkennungsquellen

Anmerkung

AWS Security Incident Response Die Servicekosten beinhalten keine Nutzungs- und sonstigen Kosten und Gebühren im Zusammenhang mit unterstützten Erkennungsquellen oder der Nutzung anderer AWS Dienste. Einzelheiten zu den Kosten finden Sie auf den Seiten der einzelnen Funktionen oder Dienste.

Amazon GuardDuty

GuardDuty ist ein Dienst zur Bedrohungserkennung, der kontinuierlich Datenquellen und Protokolle in Ihrer AWS Umgebung überwacht, analysiert und verarbeitet. Für die Verwendung GuardDuty AWS Security Incident Response ist keine Aktivierung erforderlich. Um die proaktive Antwort- und Alert-Triaging-Funktion verwenden zu können, GuardDuty muss Amazon jedoch aktiviert sein.

Informationen zur Aktivierung GuardDuty in Ihrer gesamten Organisation finden Sie im Setting up GuardDuty Abschnitt des GuardDuty Amazon-Benutzerhandbuchs.

Wir empfehlen Ihnen dringend, alle unterstützten GuardDuty Optionen zu aktivieren AWS-Regionen. Auf diese Weise können GuardDuty Sie auch in Regionen, die Sie nicht aktiv nutzen, Erkenntnisse über unbefugte oder ungewöhnliche Aktivitäten gewinnen. Weitere Informationen finden Sie unter GuardDuty Amazon-Regionen und -Endpunkte

GuardDuty Die Aktivierung ermöglicht AWS Security Incident Response den Zugriff auf wichtige Daten zur Bedrohungserkennung und verbessert so die Fähigkeit, potenzielle Sicherheitsprobleme in Ihrer AWS Umgebung zu erkennen und darauf zu reagieren.

AWS Security Hub

Security Hub kann Sicherheitsergebnisse von verschiedenen AWS Diensten und unterstützten Sicherheitslösungen von Drittanbietern aufnehmen. Diese Integrationen können dabei helfen, Ergebnisse anderer Erkennungstools zu AWS Security Incident Response überwachen und zu untersuchen.

Informationen zur Aktivierung der Integration von Security Hub mit Organizations finden Sie im AWS Security Hub Benutzerhandbuch.

Es gibt mehrere Möglichkeiten, Integrationen auf Security Hub zu aktivieren. Für Produktintegrationen von Drittanbietern müssen Sie die Integration möglicherweise bei der AWS Marketplace erwerben und anschließend konfigurieren. Die Integrationsinformationen enthalten Links, mit denen Sie diese Aufgaben ausführen können. Erfahren Sie mehr darüber, wie Sie AWS Security Hub Integrationen aktivieren können.

AWS Security Incident Response kann die Ergebnisse der folgenden Tools überwachen und untersuchen, wenn diese integriert AWS Security Hub sind:

Durch die Aktivierung dieser Integrationen können Sie den Umfang und die Effektivität der Überwachungs- und AWS Security Incident Response Ermittlungsfunktionen erheblich verbessern.

Analyse der Ergebnisse.

AWS Security Incident Response Das Automatisierungs- und AWS CIRT-Serviceteam analysiert alle Ergebnisse der unterstützten Tools. Wir werden beginnen, mehr über Ihre Umgebung zu erfahren, indem wir mithilfe von AWS Support Cases mit Ihnen kommunizieren. Zum Beispiel, wenn wir herausfinden müssen, ob es sich bei einem Befund um ein erwartetes Verhalten handelt oder ob es sich um einen Vorfall handeln sollte. Wenn wir mehr über Ihre Umgebung erfahren, werden wir den Service individuell anpassen und die Anzahl der Kommunikationsvorgänge reduzieren.

Ein Ereignis melden.

Sie können ein Sicherheitsereignis über das AWS Security Incident Response Serviceportal auslösen. Es ist wichtig, während eines Sicherheitsereignisses nicht zu warten. AWS Security Incident Response verwendet automatisierte und manuelle Techniken, um Sicherheitsereignisse zu untersuchen, Protokolle zu analysieren und nach anomalen Mustern zu suchen. Ihre Partnerschaft und Ihr Verständnis Ihrer Umgebung beschleunigen diese Analyse.

Kommunizieren.

AWS Security Incident Response hält Sie während der Untersuchung auf dem Laufenden, indem wir Ihre Sicherheitskontakte über den Fall informieren. Möglicherweise unterstützen mehrere Teammitglieder Ihre Veranstaltung, die alle das Veranstaltungsticket für vom Kunden bereitgestellte Inhalte und Updates nutzen. AWS

Die Kommunikation kann automatische Benachrichtigungen umfassen, wenn eine Sicherheitswarnung generiert wird, Kommunikation während der Ereignisanalyse, Einrichtung von Call Bridges, die fortlaufende Analyse von Artefakten wie Protokolldateien und die Übermittlung von Ermittlungsergebnissen an Sie während des Sicherheitsereignisses.

Der Service erstellt AWS Security Incident Response Fälle, um mit Ihren Teams zu kommunizieren. Wir werden Fälle gegen Ihr Mitgliedskonto einleiten. Dieser Ansatz zentralisiert die Kommunikation von all Ihren Konten aus an einem einzigen Ort. Das Präfix „[Proactive case]“ hilft bei der Identifizierung von Fällen, die von initiiert wurden. AWS Security Incident Response

Indem Sie sich aktiv mit diesen Mitteilungen auseinandersetzen und zeitnahe Antworten geben, können Sie dem AWS Security Incident Response Service helfen:

  • Verstehen Sie Ihre Umgebung und das erwartete Verhalten besser.

  • Reduzieren Sie im Laufe der Zeit Fehlalarme.

  • Verbessern Sie die Genauigkeit und Relevanz von Warnmeldungen.

  • Sorgen Sie für eine schnelle Reaktion auf echte Sicherheitsvorfälle.

  • Denken Sie daran, dass sich die Effektivität des AWS Security Incident Response Services mit Ihrer Zusammenarbeit verbessert, was zu einer sichereren und effizienter überwachten AWS Umgebung führt.