Implementierungen von Detective Control - AWS Security Incident Response Benutzerleitfaden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Implementierungen von Detective Control

Es ist wichtig zu verstehen, wie Detective Controls implementiert werden, da sie dazu beitragen, zu bestimmen, wie die Warnung für ein bestimmtes Ereignis verwendet wird. Es gibt zwei Hauptimplementierungen von technischen Detektivkontrollen:

  • Die Verhaltenserkennung basiert auf mathematischen Modellen, die allgemein als maschinelles Lernen (ML) oder künstliche Intelligenz (KI) bezeichnet werden. Die Erkennung erfolgt durch Inferenz. Daher spiegelt die Warnung möglicherweise nicht unbedingt ein aktuelles Ereignis wider.

  • Die regelbasierte Erkennung ist deterministisch. Kunden können die genauen Parameter dafür festlegen, bei welcher Aktivität gewarnt werden soll, und das ist sicher.

Moderne Implementierungen von Erkennungssystemen, wie z. B. ein Intrusion Detection System (IDS), verfügen in der Regel über beide Mechanismen. Im Folgenden finden Sie einige Beispiele für regelbasierte und verhaltensbasierte Erkennungen mit. GuardDuty

  • Wenn das Ergebnis generiert Exfiltration:IAMUser/AnomalousBehavior wird, werden Sie darüber informiert, dass „in Ihrem Konto eine ungewöhnliche API-Anfrage festgestellt wurde“. Wenn Sie sich die Dokumentation genauer ansehen, erfahren Sie, dass „das ML-Modell alle API-Anfragen in Ihrem Konto auswertet und ungewöhnliche Ereignisse identifiziert, die mit den von Gegnern verwendeten Techniken in Verbindung stehen“, was darauf hindeutet, dass es sich bei diesem Befund um verhaltensbedingte Ergebnisse handelt.

  • Zu diesem Ergebnis Impact:S3/MaliciousIPCaller werden API-Aufrufe vom Amazon S3 S3-Service analysiert und das SourceIPAddress Protokollelement mit einer Tabelle mit öffentlichen IP-Adressen verglichen CloudTrail, die Feeds mit Bedrohungsinformationen enthält. GuardDuty Sobald es eine direkte Übereinstimmung mit einem Eintrag findet, generiert es das Ergebnis.

Wir empfehlen die Implementierung einer Mischung aus verhaltensbasierten und regelbasierten Warnmeldungen, da es nicht immer möglich ist, regelbasierte Warnmeldungen für jede Aktivität innerhalb Ihres Bedrohungsmodells zu implementieren.