Sichtbarkeit und Warnfunktion - Leitfaden zur Reaktion auf Sicherheitsvorfälle in AWS

Sichtbarkeit und Warnfunktion

AWS Security Hub – AWS Security Hub gibt Ihnen einen umfassenden Überblick über die Sicherheitswarnungen mit hoher Priorität und den Konformitätsstatus für alle AWS-Konten. Mit Security Hub können Sie Ihre Sicherheitsmeldungen und Ergebnisse aus mehreren AWS-Services wie Amazon GuardDuty, Amazon Inspector und Amazon Macie sowie von AWS-Partner-Lösungen an einem zentralen Ort aggregieren, organisieren und priorisieren. Ihre Ergebnisse werden visuell auf integrierten Dashboards mit aussagekräftigen Grafiken und Tabellen zusammengefasst. Sie können Ihre Umgebung auch kontinuierlich überwachen, indem Sie automatisierte Compliance-Prüfungen auf der Grundlage der bewährten Methoden von AWS und der Industriestandards, die Ihr Unternehmen einhält, durchführen.

Amazon GuardDuty – Amazon GuardDuty ist ein verwalteter Service zur Bedrohungserkennung, der Ihre AWS-Konten und -Workloads zu deren Schutz fortlaufend auf böswillige oder unbefugte Verhaltensweisen überwacht. Der Service überwacht Ihre Konten und Instances auf Aktivitäten wie ungewöhnliche API-Aufrufe oder potenziell unbefugte Bereitstellungen, die auf eine mögliche Sicherheitsverletzung hindeuten. GuardDuty erkennt außerdem Instances mit potenziellen Sicherheitsverletzungen oder Informationsbeschaffungsaktivitäten durch Angreifer.

GuardDuty erkennt verdächtige Angreifer mithilfe integrierter Feeds mit Bedrohungsinformationen und nutzt Machine Learning zur Erkennung von Anomalien bei Konto- und Workload-Aktivitäten. Wenn der Service eine potenzielle Bedrohung erkennt, wird eine ausführliche Sicherheitswarnung in der GuardDuty-Konsole und in AWS CloudWatch Events bereitgestellt. Auf diese Weise können Sie sofort Maßnahmen ergreifen und die Warnungen mühelos in bestehende Ereignisverwaltungs- und Workflowsysteme integrieren.

Amazon Macie – Amazon Macie ist ein KI-gesteuerter Sicherheitsservice, der Ihnen dabei hilft, Datenverlust zu vermeiden, indem er sensible, in AWS gespeicherte Daten automatisch erkennt, klassifiziert und schützt. Amazon Macie verwendet Machine Learning zur Neuorganisation sensibler Daten wie persönliche identifizierbare Informationen (Personally Identifiable Information, PII) oder geistiges Eigentum. Es weist einen Geschäftswert zu und liefert Transparenz bezüglich des Speicherorts und der Verwendung dieser Daten in Ihrer Organisation. Amazon Macie überwacht fortlaufend Datenzugriffsaktivitäten auf Anomalien und gibt Warnungen aus, wenn ein Risiko durch einen nicht autorisierten Zugriff oder unbeabsichtigte Datenlecks erkannt wird.

AWS-Config-Regeln – Eine AWS Config-Regel enthält die gewünschten Konfigurationen für eine Ressource. Sie wird anhand von Konfigurationsänderungen an den relevanten Ressourcen gemäß Aufzeichnung in AWS Config ausgewertet. Sie können die Ergebnisse der Auswertung einer Regel anhand der Konfiguration einer Ressource auf einem Dashboard sehen. Mit Config Rules können Sie Ihren allgemeinen Einhaltungs- und Risikostatus aus der Konfigurationsperspektive beurteilen, Compliancetrends im zeitlichen Verlauf anzeigen und ermitteln, durch welche Konfigurationsänderung eine Ressource gegen eine Regel verstößt.

AWS Trusted Advisor – AWS Trusted Advisor ist eine Onlineressource zur Kostenreduzierung, Performancesteigerung und Verbesserung der Sicherheit, indem Ihre AWS-Umgebung optimiert wird. Trusted Advisor bietet Echtzeitunterstützung bei der Bereitstellung Ihrer Ressourcen nach bewährten Methoden von AWS. Für Kunden mit einem Business- oder Enterprise-Supportplan ist der vollständige Satz von Trusted Advisor-Prüfungen, einschließlich der Integration von CloudWatch Events, verfügbar.

Amazon CloudWatch – Amazon CloudWatch ist ein Überwachungsservice für AWS Cloud-Ressourcen und die über AWS ausgeführten Anwendungen. Sie können Amazon CloudWatch verwenden, um Metriken zu erfassen und nachzuverfolgen, Protokolldateien zu sammeln und zu überwachen, Alarme festzulegen und automatisch auf Änderungen Ihrer AWS-Ressourcen zu reagieren. Amazon CloudWatch kann AWS-Ressourcen, wie Amazon-EC2-Instances, Amazon DynamoDB-Tabellen und Amazon RDS DB-Instances sowie von Ihren Anwendungen und Services generierte Metriken und Protokolldateien überwachen. Amazon CloudWatch bietet Ihnen einen systemweiten Einblick in die Auslastung Ihrer Ressourcen, die Anwendungsleistung und die Integrität Ihrer Betriebsabläufe. Anhand dieser Informationen können Sie entsprechend reagieren und die kontinuierliche Verfügbarkeit Ihrer Anwendung sicherstellen.

Amazon Inspector – Amazon Inspector ist ein automatisierter Service zur Sicherheitsbewertung, mit dem die Sicherheit und die Compliance von Anwendungen in AWS erhöht werden können. Amazon Inspector bewertet Anwendungen automatisch hinsichtlich Schwachstellen oder Abweichungen von bewährten Methoden. Nach einer Bewertung erstellt Amazon Inspector eine nach Schweregrad geordnete detaillierte Liste der Sicherheitsergebnisse. Sie können diese Ergebnisse direkt oder im Rahmen detaillierter Berichte prüfen, die über die Amazon Inspector-Konsole oder die API verfügbar sind.

Amazon Detective – Amazon Detective erfasst automatisch Protokolldaten aus Ihren AWS-Ressourcen und erstellt mithilfe von Machine Learning, statistischer Analyse und Graphentheorie einen verknüpften Datensatz, mit dem Sie schnellere und effizientere Sicherheitsüberprüfungen durchführen können. Amazon Detective kann Billionen von Ereignissen aus mehreren Datenquellen analysieren, z. B. aus VPC-Flow-Protokollen (Virtual Private Cloud), AWS CloudTrail und Amazon GuardDuty. Außerdem erstellt er automatisch eine einheitliche, interaktive Ansicht Ihrer Ressourcen und Benutzer sowie der Interaktionen zwischen ihnen im Laufe der Zeit. In dieser konsolidierten Ansicht können Sie alle Details und den Kontext an einem Ort visualisieren, um die zugrunde liegenden Ursachen für die Befunde zu identifizieren, relevante historische Aktivitäten zu ermitteln und die Ursache schnell festzustellen.