SEC04-BP03 Correlazione e arricchimento degli avvisi di sicurezza
Un'attività inaspettata può generare più avvisi di sicurezza da origini diverse, che richiedono un'ulteriore correlazione e approfondimento per comprendere il contesto completo. Implementa la correlazione e l'approfondimento automatici degli avvisi di sicurezza per contribuire a ottenere un'identificazione e una risposta più accurate agli incidenti.
Risultato desiderato: man mano che l'attività genera diversi avvisi all'interno dei carichi di lavoro e degli ambienti, i meccanismi automatici mettono in relazione i dati e li arricchiscono con ulteriori informazioni. Questa pre-elaborazione presenta un quadro più dettagliato dell'evento, che aiuta gli investigatori a determinare la criticità dell'evento e a stabilire se si tratta di un incidente che richiede una risposta formale. Questo processo riduce il carico sui team di monitoraggio e investigazione.
Anti-pattern comuni:
-
Gruppi diversi di persone esaminano i risultati e gli avvisi generati da sistemi differenti, a meno che i requisiti di separazione degli incarichi non impongano altrimenti.
-
L'organizzazione convoglia tutti i dati dei risultati e degli avvisi di sicurezza in posizioni standard, ma richiede agli investigatori di eseguire correlazioni e arricchimenti manuali.
-
Ti affidi esclusivamente all'intelligence dei sistemi di rilevamento delle minacce per riferire sui risultati e stabilire la criticità.
Vantaggi della definizione di questa best practice: la correlazione e l'arricchimento automatici degli avvisi contribuiscono a ridurre il carico cognitivo complessivo e la preparazione manuale dei dati richiesta agli investigatori. Questa pratica può ridurre il tempo necessario per determinare se l'evento rappresenta un incidente e avviare una risposta formale. Un contesto aggiuntivo consente inoltre di valutare con precisione la reale gravità di un evento, in quanto può essere superiore o inferiore a quanto suggerito da un avviso.
Livello di rischio associato alla mancata adozione di questa best practice: basso
Guida all'implementazione
Gli avvisi di sicurezza possono provenire da diverse fonti AWS interne, tra cui:
-
Servizi come Amazon GuardDuty
, AWS Security Hub , Amazon Macie , Amazon Inspector , AWS Config , AWS Identity and Access Management Access Analyzer e Network Access Analyzer -
Avvisi derivanti dall'analisi automatica dei log di servizi, infrastrutture e applicazioni AWS, ad esempio da Security Analytics per Amazon OpenSearch Service.
-
Allarmi in risposta a cambiamenti nell'attività di fatturazione da fonti quali Amazon CloudWatch
, Amazon EventBridge o Budget AWS . -
Fonti di terze parti come feed di intelligence sulle minacce e Soluzioni dei partner per la sicurezza
di AWS Partner Network -
Contact by AWS Trust & Safety
o altre origini, come i clienti o i dipendenti interni.
Nella loro forma più elementare, le segnalazioni contengono informazioni su chi (il principale o l'identità) sta facendo cosa (l'azione intrapresa) e quali sono (le risorse interessate). Per ognuna di queste origini, individua le modalità con cui puoi creare mappature tra gli identificatori per queste identità, azioni e risorse come base per eseguire la correlazione. Ciò può avvenire integrando le origini degli avvisi con uno strumento di gestione delle informazioni e degli eventi di sicurezza (SIEM) per eseguire la correlazione automatica, creando pipeline ed elaborazioni di dati proprie o una combinazione di entrambi.
Un esempio di servizio in grado di eseguire la correlazione per te è Amazon Detective
Sebbene la criticità iniziale di un avviso sia un aiuto per la definizione delle priorità, il contesto in cui l'avviso è stato generato ne determina la vera criticità. Ad esempio, Amazon GuardDuty può avvisare che un'istanza Amazon EC2 all'interno del carico di lavoro sta interrogando un nome di dominio inaspettato. GuardDuty potrebbe assegnare solo una bassa criticità a questo avviso. Tuttavia, la correlazione automatica con altre attività svolte al momento dell'allarme potrebbe rivelare che diverse centinaia di istanze EC2 sono state distribuite dalla stessa identità, con un conseguente aumento dei costi operativi complessivi. In tal caso, GuardDuty potrebbe pubblicare questo contesto di eventi correlati come un nuovo avviso di sicurezza e modificare la criticità in alta, per accelerare ulteriori azioni.
Passaggi dell'implementazione
-
Identifica le fonti di informazioni sugli avvisi di sicurezza. Scopri come gli avvisi provenienti da questi sistemi rappresentano identità, azioni e risorse per determinare dove è possibile una correlazione.
-
Stabilisci un meccanismo per acquisire avvisi da diverse origini. Considera servizi come Security Hub, EventBridge e CloudWatch per questo scopo.
-
Identifica le fonti per la correlazione e l'arricchimento dei dati. Le fonti di esempio includono CloudTrail, i log di flusso VPC, Amazon Security Lake e i log dell'infrastruttura e delle applicazioni.
-
Integra i tuoi avvisi con le tue origini di correlazione e arricchimento dei dati per creare contesti degli eventi di sicurezza più dettagliati e stabilire le criticità.
-
Amazon Detective, strumenti SIEM o altre soluzioni di terze parti possono eseguire automaticamente un determinato livello di inserimento, correlazione e arricchimento.
-
Puoi anche utilizzare i servizi AWS per crearne uno tuo. Ad esempio, puoi richiamare una funzione AWS Lambda per eseguire una query Amazon Athena su AWS CloudTrail o Amazon Security Lake e pubblicare i risultati su EventBridge.
-
Risorse
Best practice correlate:
Documenti correlati:
Esempi correlati:
Strumenti correlati:
