Kontrol Detective - AWSPanduan Preskriptif
TujuanProsesKasus penggunaanTeknologiHasil bisnis

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Detective

Kontrol Detective adalah kontrol keamanan yang dirancang untuk mendeteksi, mencatat, dan memperingatkan setelah peristiwa terjadi. Kontrol Detective adalah bagian dasar dari kerangka kerja tata kelola. Pagar pembatas ini adalah garis pertahanan kedua, memberi tahu Anda tentang masalah keamanan yang melewati kontrol pencegahan.

Misalnya, Anda dapat menerapkan kontrol detektif yang mendeteksi dan memberi tahu Anda jika bucket Amazon Simple Storage Service (Amazon S3) dapat diakses secara publik. Meskipun Anda mungkin memiliki kontrol pencegahan yang menonaktifkan akses publik ke bucket S3 di tingkat akun dan kemudian menonaktifkan akses melalui SCP, aktor ancaman dapat menghindari kontrol pencegahan ini dengan masuk sebagai pengguna administratif. Dalam situasi ini, kontrol detektif dapat mengingatkan Anda tentang kesalahan konfigurasi dan potensi ancaman.

Tujuan

  • Kontrol Detective membantu Anda meningkatkan proses operasi keamanan dan proses kualitas.

  • Kontrol Detective membantu Anda memenuhi kewajiban peraturan, hukum, atau kepatuhan.

  • Kontrol Detective memberikan visibilitas bagi tim operasi keamanan untuk menanggapi masalah keamanan, termasuk ancaman lanjutan yang melewati kontrol pencegahan.

  • Kontrol Detective dapat membantu Anda mengidentifikasi respons yang tepat terhadap masalah keamanan dan potensi ancaman.

Proses

Anda menerapkan kontrol detektif yang diimplementasikan dalam dua fase. Pertama, Anda menyiapkan sistem untuk mencatat peristiwa dan status sumber daya ke lokasi terpusat, seperti Amazon CloudWatch Logs. Setelah penebangan terpusat dilakukan, Anda menganalisis log tersebut untuk mendeteksi anomali yang mungkin mengindikasikan ancaman. Setiap analisis adalah kontrol yang dipetakan kembali ke persyaratan dan kebijakan awal Anda. Misalnya, Anda dapat membuat kontrol detektif yang mencari log untuk pola tertentu dan menghasilkan peringatan jika cocok. Kontrol Detective digunakan oleh tim keamanan untuk meningkatkan visibilitas mereka secara keseluruhan terhadap ancaman dan risiko yang mungkin terpapar sistem mereka.

Kasus penggunaan

Deteksi perilaku mencurigakan

Kontrol Detective membantu mengidentifikasi aktivitas anomali apa pun, seperti kredensi pengguna dengan hak istimewa yang disusupi atau akses ke atau mengeksfiltrasi data sensitif. Kontrol ini adalah faktor reaktif penting yang dapat membantu perusahaan Anda mengidentifikasi dan memahami ruang lingkup aktivitas anomali.

Deteksi kecurangan

Kontrol ini membantu mendeteksi dan mengidentifikasi ancaman di dalam perusahaan Anda, seperti pengguna yang menghindari kebijakan dan melakukan transaksi yang tidak sah.

Kepatuhan

Kontrol Detective membantu Anda memenuhi persyaratan kepatuhan, seperti Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS), dan dapat membantu mencegah pencurian identitas. Kontrol ini dapat membantu Anda menemukan dan melindungi informasi sensitif yang tunduk pada kepatuhan terhadap peraturan, seperti informasi yang dapat diidentifikasi secara pribadi.

Analisis otomatis

Kontrol Detective dapat secara otomatis menganalisis log untuk mendeteksi anomali dan indikator aktivitas tidak sah lainnya.

Anda dapat secara otomatis menganalisis log dari berbagai sumber sepertiAWS CloudTrail log, Log Aliran VPC, dan log Sistem Nama Domain (DNS), untuk indikasi aktivitas yang berpotensi berbahaya. Untuk membantu organisasi, agregat peringatan keamanan atau temuan dari beberapaLayanan AWS ke lokasi terpusat.

Teknologi

Kontrol detektif umum adalah menerapkan satu atau lebih layanan pemantauan, yang dapat menganalisis sumber data, seperti log, untuk mengidentifikasi ancaman keamanan. Di bagian tersebutAWS Cloud, Anda dapat menganalisis sumber sepertiAWS CloudTrail log, log akses Amazon S3, dan log aliran Amazon Virtual Private Cloud untuk membantu mendeteksi aktivitas yang tidak biasa. AWSlayanan keamanan, seperti Amazon GuardDuty, Amazon DetectiveAWS Security Hub,, dan Amazon Macie memiliki fungsi pemantauan bawaan.

GuardDuty dan Security Hub

Amazon GuardDuty menggunakan intelijen ancaman, machine learning, dan teknik deteksi anomali untuk terus memantau sumber log Anda untuk aktivitas berbahaya atau tidak sah. Dasbor memberikan wawasan tentang kesehatan real-time AndaAkun AWS dan beban kerja. Anda dapat berintegrasi GuardDuty dengan AWS Security Hub, layanan manajemen postur keamanan cloud yang memeriksa kepatuhan terhadap praktik terbaik, mengumpulkan peringatan, dan memungkinkan remediasi otomatis. GuardDuty mengirimkan temuan ke Security Hub sebagai cara untuk memusatkan informasi. Anda selanjutnya dapat mengintegrasikan Security Hub dengan solusi manajemen informasi dan acara keamanan (SIEM) untuk memperluas kemampuan pemantauan dan peringatan untuk organisasi Anda.

Macie

Amazon Macie adalah layanan keamanan data dan privasi data yang menggunakan machine learning dan pencocokan pola untuk membantu menemukan dan melindungi data sensitifAWS. Berikut ini adalah beberapa kontrol dan fitur detektif yang tersedia di Macie:

  • Macie memeriksa inventaris bucket dan semua objek yang disimpan di Amazon S3. Informasi ini dapat disajikan dalam satu tampilan dasbor, memberikan visibilitas dan membantu Anda mengevaluasi keamanan bucket.

  • Untuk menemukan data sensitif, Macie menggunakan pengidentifikasi data bawaan yang dikelola dan juga mendukung pengidentifikasi data kustom.

  • Macie terintegrasi secara native dengan alatLayanan AWS dan lainnya. Misalnya, Macie mengeluarkan temuan sebagai EventBridge peristiwa Amazon, yang secara otomatis dikirim ke Security Hub.

Berikut ini adalah praktik terbaik untuk menyetel kendali detektif di Macie:

  • Aktifkan Macie di semua akun. Dengan menggunakan fitur manajemen yang didelegasikan, aktifkan Macie di beberapa akun dengan menggunakanAWS Organizations.

  • Gunakan Macie untuk mengevaluasi postur keamanan bucket S3 di akun Anda. Ini membantu mencegah kehilangan data dengan memberikan visibilitas ke lokasi data dan akses. Untuk informasi selengkapnya, lihat Menganalisis postur keamanan Amazon S3 Anda (dokumentasi Macie).

  • Otomatisasi penemuan data sensitif dalam bucket S3 Anda dengan menjalankan dan menjadwalkan tugas pemrosesan dan penemuan data secara otomatis. Ini memeriksa bucket S3 untuk data sensitif pada jadwal reguler.

AWS Config

AWS Configaudit dan mencatat kepatuhan sumberAWS daya. AWS ConfigmenemukanAWS sumber daya yang ada dan menghasilkan inventaris lengkap, bersama dengan rincian konfigurasi masing-masing sumber daya. Jika ada perubahan konfigurasi, ia mencatat perubahan tersebut dan memberikan pemberitahuan. Hal ini dapat membantu Anda mendeteksi dan memutar kembali perubahan infrastruktur yang tidak sah. Anda dapat menggunakan aturanAWS terkelola dan dapat membuat aturan khusus.

Berikut ini adalah praktik terbaik untuk menyetel kendali detektifAWS Config:

  • AktifkanAWS Config untuk setiap akun anggota di organisasi dan untuk masing-masingWilayah AWS yang berisi sumber daya yang ingin Anda lindungi.

  • Siapkan peringatan Amazon Simple Notification Service (Amazon SNS) untuk setiap perubahan konfigurasi.

  • Simpan data konfigurasi dalam Bucket S3 dan gunakan Amazon Athena untuk menganalisisnya.

  • Mengotomatiskan remediasi sumber daya noncompliant dengan menggunakan Automation, kemampuanAWS Systems Manager.

  • Gunakan EventBridge atau Amazon SNS untuk menyetel notifikasi tentangAWS sumber daya yang tidak sesuai.

Trusted Advisor

AWS Trusted Advisordapat digunakan sebagai layanan untuk kontrol detektif. Melalui serangkaian pemeriksaan,Trusted Advisor mengidentifikasi area di mana Anda dapat mengoptimalkan infrastruktur Anda, meningkatkan kinerja dan keamanan, atau mengurangi biaya. Trusted Advisormemberikan rekomendasi berdasarkan praktikAWS terbaik yang dapat Anda ikuti untuk meningkatkan layanan dan sumber daya Anda. Rencana Support Bisnis dan Perusahaan menyediakan akses ke semua pemeriksaan yang tersedia untuk pilar Kerangka KerjaAWS Well-Architected.

Berikut ini adalah praktik terbaik untuk menyetel kendali detektifTrusted Advisor:

  • Tinjau ringkasan tingkat cek

  • Menerapkan rekomendasi khusus sumber daya untuk status peringatan dan kesalahan.

  • PeriksaTrusted Advisor sering untuk secara aktif meninjau dan menerapkan rekomendasinya.

Amazon Inspector

Amazon Inspector adalah layanan manajemen kerentanan otomatis yang, setelah diaktifkan, terus memindai beban kerja Anda untuk setiap paparan jaringan yang tidak diinginkan atau kerentanan perangkat lunak. Ini mengontekstualisasikan temuan ke dalam skor risiko yang dapat membantu Anda menentukan langkah selanjutnya, seperti memperbaiki atau mengonfirmasi status kepatuhan.

Berikut ini adalah praktik terbaik untuk mengonfigurasi kendali detektif di Amazon Inspector:

  • Aktifkan Amazon Inspector di semua akun dan integrasikan ke dalam EventBridge dan Security Hub untuk mengonfigurasi pelaporan dan pemberitahuan untuk kerentanan keamanan.

  • Prioritaskan remediasi dan tindakan lain berdasarkan skor risiko Amazon Inspector.

Hasil bisnis

Lebih sedikit usaha dan kesalahan manusia

Anda dapat mencapai otomatisasi dengan menggunakan infrastruktur sebagai kode (IAC). Mengotomatiskan penyebaran, konfigurasi layanan dan alat pemantauan dan remediasi mengurangi risiko kesalahan manual dan mengurangi jumlah waktu dan upaya yang diperlukan untuk menskalakan kontrol detektif ini. Otomatisasi membantu pengembangan runbook keamanan dan mengurangi operasi manual untuk analis keamanan. Ulasan reguler membantu menyetel alat otomatisasi dan terus melakukan iterasi dan meningkatkan kontrol detektif.

Tindakan yang tepat terhadap potensi ancaman

Menangkap dan menganalisis peristiwa dari log dan metrik sangat penting untuk mendapatkan visibilitas. Ini membantu analis bertindak atas peristiwa keamanan dan potensi ancaman untuk membantu mengamankan beban kerja Anda. Mampu dengan cepat mengidentifikasi kerentanan mana yang ada membantu analis mengambil tindakan yang tepat untuk mengatasi dan memperbaikinya.

Respon insiden yang lebih baik dan penanganan investigasi

Otomatisasi alat kontrol detektif dapat meningkatkan kecepatan deteksi, penyelidikan, dan pemulihan. Pemberitahuan dan pemberitahuan otomatis berdasarkan kondisi yang ditentukan memungkinkan analis keamanan untuk menyelidiki dan merespons dengan tepat. Faktor-faktor responsif ini dapat membantu Anda mengidentifikasi dan memahami ruang lingkup aktivitas anomali.