SEC04-BP03 Korrelieren und Anreichern von Sicherheitswarnmeldungen
Unerwartete Aktivitäten können mehrere Sicherheitswarnmeldungen aus verschiedenen Quellen auslösen, die eine weitere Korrelation und Anreicherung erfordern, um den gesamten Kontext zu verstehen. Implementieren Sie die automatische Korrelation und Anreicherung von Sicherheitswarnmeldungen, um eine genauere Identifizierung von Vorfällen und eine bessere Reaktion darauf zu ermöglichen.
Gewünschtes Ergebnis: Da die Aktivitäten in Ihren Workloads und Umgebungen unterschiedliche Warnmeldungen erzeugen, korrelieren automatische Mechanismen die Daten und reichern sie mit zusätzlichen Informationen an. Diese Vorverarbeitung ermöglicht ein detaillierteres Verständnis des Ereignisses, was Ihren Ermittlern hilft, die Kritikalität des Ereignisses zu bestimmen und festzustellen, ob es sich um einen Vorfall handelt, der eine formelle Reaktion erfordert. Dieses Verfahren entlastet Ihre Überwachungs- und Untersuchungsteams.
Typische Anti-Muster:
-
Verschiedene Personengruppen untersuchen Erkenntnisse und Warnmeldungen, die von verschiedenen Systemen generiert werden, sofern nicht durch Anforderungen der Aufgabentrennung etwas anderes vorgeschrieben ist.
-
Ihre Organisation leitet alle Sicherheitserkenntnisse und -warnmeldungen an Standardspeicherorte weiter, verlangt aber von den Ermittlern, dass sie diese manuell korrelieren und anreichern.
-
Sie verlassen sich ausschließlich auf die Intelligenz von Bedrohungserkennungssystemen, um über Erkenntnisse zu berichten und die Kritikalität zu bestimmen.
Vorteile der Nutzung dieser bewährten Methode: Die automatische Korrelation und Anreicherung von Warnmeldungen trägt dazu bei, die gesamte kognitive Belastung und die manuelle Datenaufbereitung zu reduzieren, die Ihre Ermittler benötigen. Diese Methode kann die Zeit verkürzen, die benötigt wird, um festzustellen, ob es sich bei dem Ereignis um einen Vorfall handelt, und eine formelle Reaktion einzuleiten. Zusätzlicher Kontext hilft Ihnen auch, den wahren Schweregrad eines Ereignisses genau zu bewerten, da er höher oder niedriger sein kann, als eine einzelne Warnmeldung vermuten lässt.
Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Niedrig
Implementierungsleitfaden
Sicherheitswarnmeldungen können von vielen verschiedenen Quellen innerhalb von AWS stammen, darunter:
-
Services wie Amazon GuardDuty
, AWS Security Hub , Amazon Macie , Amazon Inspector , AWS Config , AWS Identity and Access Management Access Analyzer und Network Access Analyzer -
Warnmeldungen aus der automatisierten Analyse von AWS-Service-, Infrastruktur- und Anwendungsprotokollen, z. B. von Security Analytics for Amazon OpenSearch Service.
-
Warnungen als Reaktion auf Änderungen in Ihrer Abrechnungsaktivität aus Quellen wie Amazon CloudWatch
, Amazon EventBridge oder AWS Budgets . -
Quellen von Drittanbietern wie Threat Intelligence Feeds und Security Partner Solutions
vom AWS Partner Network -
Kontakt durch AWS-Vertrauen und -Sicherheit
oder andere Quellen, wie Kunden oder interne Mitarbeiter.
In ihrer grundlegendsten Form enthalten Warnmeldungen Informationen darüber, wer (Prinzipal oder Identität) was ( die Aktion, die ergriffen wird) im Hinblick auf (Ressourcen, die betroffen sind) macht. Ermitteln Sie für jede dieser Quellen, ob es Möglichkeiten gibt, Zuordnungen zwischen den Identifikatoren für diese Identitäten, Aktionen und Ressourcen als Grundlage für die Durchführung von Korrelationen zu erstellen. Dies kann in Form einer Integration von Quellen für Warnmeldungen mit einem SIEM-Tool (Security Information and Event Management) erfolgen, das eine automatische Korrelation für Sie durchführt, oder durch den Aufbau eigener Datenpipelines und -verarbeitung oder durch eine Kombination aus beidem.
Ein Beispiel für einen Dienst, der eine Korrelation für Sie durchführen kann, ist Amazon Detective
Während die anfängliche Kritikalität eines Alarms eine Hilfe für die Priorisierung ist, bestimmt der Kontext, in dem der Alarm auftrat, seine wahre Kritikalität. Zum Beispiel kann Amazon GuardDuty eine Warnmeldung ausgeben, dass eine Amazon EC2-Instance innerhalb Ihres Workloads einen unerwarteten Domain-Namen abfragt. GuardDuty könnte dieser Warnmeldung von sich aus eine niedrige Kritikalität zuweisen. Eine automatische Korrelation mit anderen Aktivitäten zum Zeitpunkt der Warnmeldung könnte jedoch aufdecken, dass mehrere hundert EC2-Instances von derselben Identität bereitgestellt wurden, was die Gesamtbetriebskosten erhöht. In diesem Fall könnte GuardDuty diesen korrelierten Ereigniskontext als neue Sicherheitswarnung veröffentlichen und die Kritikalität auf hoch setzen, was die weiteren Maßnahmen beschleunigen würde.
Implementierungsschritte
-
Identifizieren Sie Quellen für Informationen zu Sicherheitswarnmeldungen. Verstehen Sie, wie Warnmeldungen aus diesen Systemen Identität, Aktion und Ressourcen darstellen, um festzustellen, wo eine Korrelation möglich ist.
-
Richten Sie einen Mechanismus zur Erfassung von Warnmeldungen aus verschiedenen Quellen ein. Ziehen Sie zu diesem Zweck Services wie Security Hub, EventBridge und CloudWatch in Betracht.
-
Identifizieren Sie Quellen für die Korrelation und Anreicherung von Daten. Beispiele für Quellen sind CloudTrail, VPC-Flow-Protokolle, Amazon Security Lake sowie Infrastruktur- und Anwendungsprotokolle.
-
Integrieren Sie Ihre Warnmeldungen mit Ihren Datenkorrelations- und -anreicherungsquellen, um detailliertere Kontexte für Sicherheitsereignisse zu erstellen und die Kritikalität zu ermitteln.
-
Amazon Detective, SIEM-Tools oder andere Lösungen von Drittanbietern können ein gewisses Maß an Erfassung, Korrelation und Anreicherung automatisch durchführen.
-
Sie können auch AWS-Services nutzen, um Ihre eigenen zu erstellen. Sie können zum Beispiel eine AWS Lambda-Funktion aufrufen, um eine Amazon Athena-Abfrage von AWS CloudTrail oder Amazon Security Lake auszuführen, und die Ergebnisse in EventBridge veröffentlichen.
-
Ressourcen
Zugehörige bewährte Methoden:
Zugehörige Dokumente:
Zugehörige Beispiele:
Zugehörige Tools: