検出コントロールの実装

検出コントロールは、特定のイベントに対してアラートをどのように利用するかを決定するのに役立つため、検出コントロールの実装方法を理解することが重要です。技術上、検出コントロールには主に 2 つの実装方法があります。

動作検出は、一般的に機械学習 (ML) または人工知能 (AI) と呼ばれる数学モデルに依存します。検出は推論によって行われるため、アラートは必ずしも実際のイベントを反映しているとは限りません。
ルールベースの検出は決定論的で、お客様はアラートの対象となるアクティビティの正確で確実なパラメータを設定できます。

侵入検知システム (IDS) などの検出システムの最新の実装には、通常、両方のメカニズムが使用されます。以下に、GuardDuty を使用したルールベースの検出と動作検出の例を示します。

検出結果 Exfiltration:IAMUser/AnomalousBehavior が生成されると、「アカウント内で異常な API リクエストが観察されました」という通知が表示されます。さらに詳しく見ると、「ML モデルはアカウント内のすべての API リクエストを評価し、攻撃者が使用する手法に関連付けられる異常なイベントを識別しました」と表示されます。これは、この検出結果が動作的な性質であることを示しています。
検出結果 Impact:S3/MaliciousIPCaller について、GuardDuty は CloudTrail の Amazon S3 サービスからの API コールを分析し、SourceIPAddressのログ要素を、脅威インテリジェンスフィードを含むパブリック IP アドレスのテーブルと比較しています。エントリに直接一致するものが見つかると、検出結果が生成されます。

脅威モデル内のすべてのアクティビティに対してルールベースのアラートを実装することができない場合もあるため、動作アラートとルールベースのアラートの両方を実装することをお勧めします。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

セキュリティコントロールエンジニアリングの一環としての検出

人員ベースの検出