Sorgenti di avviso - AWS Security Incident Response Guida per l'utente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sorgenti di avviso

È consigliabile prendere in considerazione l'utilizzo delle seguenti fonti per definire gli avvisi:

  • Risultati: AWS servizi come Amazon GuardDuty, Amazon Macie AWS Security Hub, Amazon Inspector AWS Config, IAM Access Analyzer e Network Access Analyzer generano risultati che possono essere utilizzati per creare avvisi.

  • Registri: i log di AWS servizi, infrastrutture e applicazioni archiviati nei bucket e nei gruppi di log di Amazon S3 possono essere analizzati CloudWatch e correlati per generare avvisi.

  • Attività di fatturazione: un cambiamento improvviso nell'attività di fatturazione può indicare un evento di sicurezza. Consulta la documentazione sulla creazione di un allarme di fatturazione per monitorare gli AWS addebiti stimati. A tal fine, è necessario tenere sotto controllo questa situazione.

  • Intelligence sulle minacce informatiche: se ti abboni a un feed di intelligence sulle minacce informatiche di terze parti, puoi correlare tali informazioni con altri strumenti di registrazione e monitoraggio per identificare potenziali indicatori di eventi.

  • Strumenti per i partner: i partner di AWS Partner Network (APN) offrono prodotti di alto livello che possono aiutarti a raggiungere i tuoi obiettivi di sicurezza. Per quanto riguarda la risposta agli incidenti, i prodotti dei partner con endpoint detection and response (EDR) o SIEM possono aiutarti a raggiungere gli obiettivi di risposta agli incidenti. Per ulteriori informazioni, vedere Security Partner Solutions e Security Solutions nel. Marketplace AWS

  • AWS fiducia e sicurezza: Supporto potremmo contattare i clienti se identifichiamo attività abusive o dannose.

  • Contatto una tantum: poiché possono essere clienti, sviluppatori o altro personale dell'organizzazione a notare qualcosa di insolito, è importante disporre di un metodo noto e ben pubblicizzato per contattare il team di sicurezza. Le scelte più comuni includono sistemi di biglietteria, indirizzi e-mail di contatto e moduli web. Se la tua organizzazione lavora con il pubblico in generale, potresti aver bisogno anche di un meccanismo di contatto di sicurezza rivolto al pubblico.

Per ulteriori informazioni sulle funzionalità cloud che puoi utilizzare durante le tue indagini, consulta questo documentoAppendice A: Definizioni delle funzionalità del cloud.