Implémentations de Detective Control - Réponse aux incidents de sécurité AWS Guide de l'utilisateur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Implémentations de Detective Control

Il est important de comprendre comment les contrôles de détection sont mis en œuvre, car ils permettent de déterminer comment l'alerte sera utilisée pour un événement donné. Il existe deux implémentations principales des contrôles techniques de détection :

  • La détection comportementale repose sur des modèles mathématiques communément appelés apprentissage automatique (ML) ou intelligence artificielle (IA). La détection se fait par inférence ; par conséquent, l'alerte ne reflète pas nécessairement un événement réel.

  • La détection basée sur des règles est déterministe ; les clients peuvent définir les paramètres exacts de l'activité pour laquelle ils doivent être alertés, et c'est certain.

Les mises en œuvre modernes de systèmes de détection, tels qu'un système de détection d'intrusion (IDS), sont généralement équipées des deux mécanismes. Voici quelques exemples de détections basées sur des règles et comportementales avec. GuardDuty

  • Lorsque le résultat Exfiltration:IAMUser/AnomalousBehavior est généré, il vous informe qu' « une demande d'API anormale a été observée dans votre compte ». En parcourant la documentation, vous découvrirez que « le modèle ML évalue toutes les demandes d'API de votre compte et identifie les événements anormaux associés aux techniques utilisées par les adversaires », ce qui indique que cette constatation est de nature comportementale.

  • Pour le résultatImpact:S3/MaliciousIPCaller, GuardDuty il analyse les appels d'API provenant du service Amazon S3 en CloudTrail comparant l'élément du SourceIPAddress journal avec un tableau d'adresses IP publiques qui inclut des flux de renseignements sur les menaces. Une fois qu'il trouve une correspondance directe avec une entrée, il génère le résultat.

Nous vous recommandons de mettre en œuvre une combinaison d'alertes comportementales et basées sur des règles, car il n'est pas toujours possible de mettre en œuvre des alertes basées sur des règles pour chaque activité de votre modèle de menace.