SEC04-BP03 Correlación y enriquecimiento de las alertas de seguridad
La actividad inesperada puede generar múltiples alertas de seguridad por parte de diferentes fuentes, lo que requiere una mayor correlación y enriquecimiento para comprender el contexto completo. Implemente la correlación y el enriquecimiento automatizados de las alertas de seguridad para ayudar a lograr una identificación y una respuesta a los incidentes más precisas.
Resultado deseado: lograr que los mecanismos automatizados correlacionen los datos y los enriquezcan con información adicional a medida que la actividad genere diferentes alertas en sus cargas de trabajo y entornos. Este preprocesamiento ofrece una comprensión más detallada del evento, lo que ayuda a los investigadores a determinar la gravedad del evento y si constituye un incidente que requiere una respuesta formal. Este proceso reduce la carga para los equipos de supervisión e investigación.
Antipatrones usuales:
-
Existen grupos de personas distintos que investigan los hallazgos y alertas generados por los diferentes sistemas, a menos que los requisitos de separación de funciones exijan lo contrario.
-
Canalizar en la organización todos los datos de alertas y hallazgos de seguridad a ubicaciones estándares, pero con la necesidad de que los investigadores realicen una correlación y un enriquecimiento manuales.
-
Confiar únicamente en la inteligencia de los sistemas de detección de amenazas para informar sobre los hallazgos y establecer el nivel de gravedad.
Beneficios de establecer esta práctica recomendada: la correlación automática y el enriquecimiento de las alertas ayudan a reducir la carga cognitiva general y la preparación manual de datos que requieren los investigadores. Esta práctica puede reducir el tiempo necesario para determinar si el evento representa un incidente e iniciar una respuesta formal. El contexto adicional también ayuda a evaluar con precisión la verdadera gravedad de un evento, ya que puede ser mayor o menor de lo que sugiere una alerta.
Nivel de riesgo expuesto si no se establece esta práctica recomendada: bajo
Guía para la implementación
Las alertas de seguridad pueden provenir de muchas fuentes diferentes en AWS, entre las que se encuentran:
-
Servicios como Amazon GuardDuty
, AWS Security Hub , Amazon Macie , Amazon Inspector , AWS Config , AWS Identity and Access Management Access Analyzer y Network Access Analyzer. -
Alertas del análisis automatizado de los registros de aplicaciones, infraestructuras y servicios de AWS, como las de Security Analytics for Amazon OpenSearch Service.
-
Alarmas que responden a cambios en su actividad de facturación procedentes de fuentes como Amazon CloudWatch
, Amazon EventBridge o AWS Budgets . -
Fuentes de terceros, como fuentes de inteligencia sobre amenazas y soluciones de socios de seguridad
de la AWS Partner Network. -
Contactos de AWS Trust & Safety
u otras fuentes, como clientes o empleados internos.
En su forma más fundamental, las alertas contienen información sobre quién (la entidad principal o la identidad) está haciendo qué (la acción realizada) a qué (los recursos afectados). Para cada una de estas fuentes, identifique si hay formas de crear asignaciones entre identificadores para estas identidades, acciones y recursos como base para realizar la correlación. Esto puede consistir en integrar las fuentes de las alertas con una herramienta de administración de eventos e información de seguridad (SIEM) para que realice una correlación automática en su nombre, crear sus propios procesos y canalizaciones de datos, o una combinación de ambas estrategias.
Un ejemplo de un servicio que puede realizar una correlación por usted es Amazon Detective
Si bien el nivel de gravedad inicial de una alerta ayuda a establecer prioridades, el contexto en el que se haya producido la alerta determina su verdadero nivel de gravedad. Por ejemplo, Amazon GuardDuty puede avisar de que una instancia de Amazon EC2 de su carga de trabajo está consultando un nombre de dominio inesperado. GuardDuty podría asignar un nivel de gravedad bajo a esta alerta por sí sola. Sin embargo, la correlación automatizada con otras actividades en el momento de la alerta podría revelar que varios cientos de instancias de EC2 se han desplegado con la misma identidad, lo que aumenta los costes operativos generales. En este caso, GuardDuty podría publicar este contexto de eventos correlacionados como una nueva alerta de seguridad y ajustar el nivel de gravedad a alto, lo que aceleraría las acciones futuras.
Pasos para la implementación
-
Identifique las fuentes de la información de alertas de seguridad. Comprenda en qué medida las alertas de estos sistemas representan la identidad, la acción y los recursos para determinar dónde es posible establecer una correlación.
-
Establezca un mecanismo para captar las alertas de diferentes fuentes. Plantéese el uso de servicios como Security Hub, EventBridge y CloudWatch para este propósito.
-
Identifique las fuentes para la correlación y el enriquecimiento de los datos. Entre los ejemplos de fuentes se incluyen CloudTrail, los registros de flujo de VPC y los registros de infraestructura y aplicaciones de Amazon Security Lake.
-
Integre sus alertas con sus fuentes de correlación y enriquecimiento de datos para crear contextos de eventos de seguridad más detallados y establecer el nivel de gravedad.
-
Amazon Detective, las herramientas de SIEM u otras soluciones de terceros pueden llevar a cabo un cierto nivel de ingesta, correlación y enriquecimiento automáticamente.
-
También puede usar los servicios de AWS para crear sus propias soluciones. Por ejemplo, puede invocar una función de AWS Lambda para ejecutar una consulta de Amazon Athena a AWS CloudTrail o Amazon Security Lake y publicar los resultados en EventBridge.
-
Recursos
Prácticas recomendadas relacionadas:
Documentos relacionados:
Ejemplos relacionados:
Herramientas relacionadas: