SEC04-BP03 Correlazione e arricchimento degli avvisi di sicurezza
Un'attività imprevista può generare diversi avvisi di sicurezza da origini diverse, richiedendo un'ulteriore correlazione e arricchimento per la comprensione del contesto completo. Implementa correlazione e arricchimento automatizzati degli avvisi di sicurezza per un'identificazione e una risposta agli incidenti più accurate.
Risultato desiderato: mentre l'attività generano avvisi diversi all'interno di carichi di lavoro e ambienti, i meccanismi automatizzati correlano i dati e li arricchiscono con informazioni aggiuntive. Questa pre-elaborazione presenta un quadro più dettagliato dell'evento, che aiuta gli investigatori a determinare la criticità dell'evento e a stabilire se si tratta di un incidente che richiede una risposta formale. Questo processo riduce il carico sui team di monitoraggio e investigazione.
Anti-pattern comuni:
-
Gruppi diversi di persone esaminano esiti e avvisi generati da sistemi differenti, a meno che i requisiti di separazione degli incarichi non impongano altrimenti.
-
L'organizzazione convoglia tutti i dati di esiti e avvisi di sicurezza in posizioni standard, ma richiede agli investigatori di eseguire correlazioni e arricchimenti manuali.
-
Ti affidi esclusivamente all'intelligence dei sistemi di rilevamento delle minacce per riferire sugli esiti e stabilire la criticità.
Vantaggi dell'adozione di questa best practice: riduzione del carico cognitivo complessivo e della preparazione manuale dei dati richiesta agli investigatori grazie a correlazione e arricchimento automatizzati degli avvisi. Questa pratica può ridurre il tempo necessario per determinare se l'evento rappresenta un incidente e avviare una risposta formale. Un contesto aggiuntivo consente inoltre di valutare con precisione la reale gravità di un evento, in quanto può essere superiore o inferiore a quanto suggerito da un avviso.
Livello di rischio associato se questa best practice non fosse adottata: basso
Guida all'implementazione
Gli avvisi di sicurezza possono provenire da diverse sorgenti all'interno di AWS, tra cui:
-
Servizi come Amazon GuardDuty
, AWS Security Hub , Amazon Macie , Amazon Inspector , AWS Config , AWS Identity and Access Management Access Analyzer e Strumento di analisi degli accessi alla rete -
Avvisi provenienti dall'analisi automatizzata dei log di servizi, infrastrutture e applicazioni AWS, ad esempio da Security Analytics per il Servizio OpenSearch di Amazon.
-
Allarmi in risposta a modifiche nella tua attività di fatturazione provenienti da origini come Amazon CloudWatch
, Amazon EventBridge o Budget AWS . -
Origini di terze parti come feed di intelligence sulle minacce e Soluzioni dei partner per la sicurezza
da AWS Partner Network -
Contatto tramite AWS Trust & Safety
o altre origini, come clienti o dipendenti interni.
Nella loro forma più elementare, gli avvisi contengono informazioni su chi (il principale o l'identità) sta facendo cosa (l'azione intrapresa) e cosa (le risorse interessate). Per ognuna di queste origini, individua le modalità con cui puoi creare mappature tra gli identificatori per queste identità, azioni e risorse come base per eseguire la correlazione. Ciò può avvenire integrando le origini degli avvisi con uno strumento di gestione delle informazioni e degli eventi di sicurezza (SIEM) per eseguire la correlazione automatica, creando pipeline ed elaborazioni di dati proprie o una combinazione di entrambi.
Un esempio di servizio in grado di eseguire la correlazione è Amazon Detective
Sebbene la criticità iniziale di un avviso sia un aiuto per la definizione delle priorità, il relativo contesto di generazione ne determina la vera criticità. Ad esempio, Amazon GuardDuty può fornire avvisi circa istanze Amazon EC2 all'interno del tuo carico di lavoro che sta eseguendo una query su un nome di dominio inaspettato. GuardDuty potrebbe assegnare una bassa criticità a questo avviso. Tuttavia, la correlazione automatica con altre attività svolte al momento dell'allarme potrebbe rivelare che diverse centinaia di istanze EC2 sono state distribuite dalla stessa identità, con un conseguente aumento dei costi operativi complessivi. In tal caso, GuardDuty potrebbe pubblicare questo contesto di eventi correlati come un nuovo avviso di sicurezza e modificare la criticità in alta, per accelerare ulteriori azioni.
Passaggi dell'implementazione
-
Identifica le origini delle informazioni sugli avvisi di sicurezza. Scopri come gli avvisi provenienti da questi sistemi rappresentano identità, azioni e risorse per determinare dove è possibile una correlazione.
-
Stabilisci un meccanismo per acquisire avvisi da diverse origini. Prendi in considerazione servizi come Security Hub, EventBridge e CloudWatch a tale scopo.
-
Identifica le origini per correlazione e arricchimento dei dati. Le origini di esempio includono CloudTrail, i log di flusso VPC, Amazon Security Lake e i log dell'infrastruttura e delle applicazioni.
-
Integra i tuoi avvisi con le tue origini di correlazione e arricchimento dei dati per creare contesti degli eventi di sicurezza più dettagliati e stabilire le criticità.
-
Amazon Detective, strumenti SIEM o altre soluzioni di terze parti possono eseguire in automatico un determinato livello di inserimento, correlazione e arricchimento.
-
Puoi anche utilizzare i servizi AWS per crearne uno tuo. Ad esempio, puoi richiamare una funzione AWS Lambda per eseguire una query Amazon Athena rispetto a AWS CloudTrail o Amazon Security Lake e pubblicare i risultati su EventBridge.
-
Risorse
Best practice correlate:
Documenti correlati:
Esempi correlati:
Strumenti correlati:
