Implementazioni del controllo investigativo

È importante capire come vengono implementati i controlli investigativi perché aiutano a determinare come verrà utilizzato l'avviso per un particolare evento. Esistono due implementazioni principali dei controlli investigativi tecnici:

• Il rilevamento comportamentale si basa su modelli matematici comunemente denominati apprendimento automatico (ML) o intelligenza artificiale (AI). Il rilevamento viene effettuato per inferenza; pertanto, l'avviso potrebbe non riflettere necessariamente un evento reale.

• Il rilevamento basato su regole è deterministico; i clienti possono impostare i parametri esatti dell'attività su cui ricevere avvisi, e questo è certo.

Le moderne implementazioni di sistemi di rilevamento, come un sistema di rilevamento delle intrusioni (IDS), sono generalmente dotate di entrambi i meccanismi. Di seguito sono riportati alcuni esempi di rilevamenti comportamentali e basati su regole con. GuardDuty

• Quando il risultato Exfiltration:IAMUser/AnomalousBehavior viene generato, ti informa che «è stata rilevata una richiesta API anomala nel tuo account». Se approfondisci la documentazione, ti viene detto che «Il modello ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari», indicando che questo risultato è di natura comportamentale.

• Per la scopertaImpact:S3/MaliciousIPCaller, GuardDuty sta analizzando le chiamate API dal servizio CloudTrail Amazon S3, confrontando SourceIPAddress l'elemento di registro con una tabella di indirizzi IP pubblici che include feed di intelligence sulle minacce. Una volta trovata una corrispondenza diretta con una voce, genera il risultato.

Consigliamo di implementare una combinazione di avvisi comportamentali e basati su regole, poiché non è sempre possibile implementare avvisi basati su regole per ogni attività all'interno del modello di minaccia.