SEC04-BP03 Korelasikan dan perkaya data peringatan keamanan
Aktivitas yang tidak diharapkan dapat menghasilkan beberapa peringatan keamanan dari sumber yang berbeda-beda, sehingga membutuhkan korelasi dan pengayaan data lebih lanjut untuk memahami konteks lengkapnya. Implementasikan korelasi dan pengayaan data otomatis terhadap peringatan keamanan untuk membantu melakukan identifikasi dan respons insiden yang lebih akurat.
Hasil yang diinginkan: Saat aktivitas menghasilkan peringatan yang berbeda-beda dalam beban kerja dan lingkungan Anda, mekanisme otomatis akan mengorelasikan data dan memperkaya data tersebut dengan informasi tambahan. Pra-pemrosesan ini menyajikan pemahaman yang lebih mendetail tentang peristiwa, sehingga membantu penyelidik Anda menentukan tingkat kekritisan peristiwa tersebut dan apakah peristiwa tersebut merupakan insiden yang memerlukan respons formal. Proses ini mengurangi beban pada tim pemantauan dan investigasi Anda.
Antipola umum:
-
Grup orang yang berbeda-beda menyelidiki temuan dan peringatan yang dihasilkan oleh berbagai sistem, kecuali jika ditentukan lain berdasarkan persyaratan pemisahan tugas.
-
Organisasi Anda menyalurkan semua data temuan dan peringatan keamanan ke lokasi standar, tetapi mengharuskan penyelidik melakukan korelasi dan pengayaan data manual.
-
Anda hanya mengandalkan intelijen sistem deteksi ancaman untuk melaporkan temuan dan menetapkan tingkat kekritisan.
Manfaat menjalankan praktik terbaik ini: Korelasi dan pengayaan data otomatis terhadap peringatan akan membantu mengurangi beban kognitif dan persiapan data manual secara keseluruhan yang diperlukan oleh penyelidik Anda. Praktik ini dapat mengurangi waktu yang dibutuhkan untuk menentukan apakah peristiwa tersebut merepresentasikan insiden dan memulai respons formal. Konteks tambahan juga membantu Anda menilai secara akurat tingkat keparahan sebenarnya dari suatu peristiwa karena bisa lebih tinggi atau lebih rendah dari yang diindikasikan oleh satu peringatan mana pun.
Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Rendah
Panduan implementasi
Peringatan keamanan dapat berasal dari berbagai sumber dalam AWS, termasuk:
-
Layanan seperti Amazon GuardDuty
, AWS Security Hub , Amazon Macie , Amazon Inspector , AWS Config , AWS Identity and Access Management Access Analyzer, dan Network Access Analyzer -
Peringatan dari analisis otomatis terhadap log layanan, infrastruktur, dan aplikasi AWS, seperti dari Analitik Keamanan untuk Amazon OpenSearch Service.
-
Alarm sebagai respons terhadap perubahan aktivitas penagihan Anda dari berbagai sumber, seperti Amazon CloudWatch
, Amazon EventBridge , atau AWS Budgets . -
Sumber pihak ketiga, seperti umpan intelijen ancaman dan Solusi Partner Keamanan
dari AWS Partner Network -
Dihubungi oleh AWS Trust & Safety
atau sumber lainnya, seperti pelanggan atau karyawan internal.
Dalam bentuknya yang paling mendasar, peringatan berisi informasi tentang siapa (pengguna utama atau identitas) yang melakukan apa (tindakan yang diambil) terhadap apa (sumber daya yang terpengaruh). Untuk masing-masing sumber ini, identifikasi apakah Anda dapat membuat pemetaan di seluruh pengidentifikasi untuk identitas, tindakan, dan sumber daya ini sebagai dasar untuk melakukan korelasi. Hal ini dapat berupa mengintegrasikan sumber peringatan dengan alat manajemen informasi dan peristiwa keamanan (SIEM) untuk melakukan korelasi otomatis bagi Anda, membuat pipeline dan pemrosesan data Anda sendiri, atau kombinasi keduanya.
Contoh layanan yang dapat melakukan korelasi untuk Anda adalah Amazon Detective
Meskipun tingkat kekritisan awal sebuah peringatan dapat membantu prioritisasi, konteks yang mendasari terjadinya peringatan tersebut akan menentukan tingkat kekritisan yang sebenarnya. Misalnya, Amazon GuardDuty dapat memperingatkan bahwa instans Amazon EC2 dalam beban kerja Anda mengueri nama domain yang tidak diharapkan. GuardDuty mungkin akan menetapkan tingkat kekritisan rendah untuk peringatan ini dengan sendirinya. Namun, korelasi otomatis dengan aktivitas lainnya yang terjadi kira-kira pada saat peringatan diberikan mungkin menunjukkan bahwa beberapa ratus instans EC2 di-deploy dengan identitas yang sama, sehingga meningkatkan biaya operasi secara keseluruhan. Dalam peristiwa ini, GuardDuty mungkin akan memublikasikan konteks peristiwa yang berkorelasi ini sebagai peringatan keamanan baru dan menyesuaikan tingkat kekritisannya ke tinggi, sehingga akan mempercepat tindakan lebih lanjut.
Langkah implementasi
-
Identifikasi sumber untuk informasi peringatan keamanan. Pahami cara peringatan dari sistem ini merepresentasikan identitas, tindakan, dan sumber daya untuk menentukan di mana korelasi dimungkinkan.
-
Tetapkan mekanisme untuk mencatat peringatan dari sumber yang berbeda-beda. Pertimbangkan layanan seperti Security Hub, EventBridge, dan CloudWatch untuk tujuan ini.
-
Identifikasi sumber untuk korelasi dan pengayaan data. Contoh sumber termasuk CloudTrail, Log Alur VPC, Amazon Security Lake, serta log infrastruktur dan aplikasi.
-
Integrasikan peringatan Anda dengan sumber korelasi dan pengayaan data untuk membuat konteks peristiwa keamanan yang lebih mendetail dan menetapkan tingkat kekritisannya.
-
Amazon Detective, alat SIEM, atau solusi pihak ketiga lainnya dapat melakukan penyerapan, korelasi, dan pengayaan data pada tingkat tertentu secara otomatis.
-
Anda juga dapat menggunakan layanan AWS untuk membuat solusi Anda sendiri. Misalnya, Anda dapat menginvokasi fungsi AWS Lambda untuk menjalankan kueri Amazon Athena terhadap AWS CloudTrail atau Amazon Security Lake, dan memublikasikan hasilnya ke EventBridge.
-
Sumber daya
Praktik terbaik terkait:
Dokumen terkait:
Contoh terkait:
Alat terkait:
