脅威の状況を理解する - AWS Security Incident Response ユーザーガイド
脅威モデルを作成するサイバー脅威インテリジェンスを統合して使用する

脅威の状況を理解する

脅威モデルを作成する

脅威モデルを作成することで、組織は、権限のないユーザーに先立って脅威と緩和策を特定できます。脅威モデリングには多くの戦略とアプローチがあります。ブログ記事「脅威モデリングのアプローチ方法」を参照してください。インシデント対応において、脅威モデルは、脅威アクターがインシデント中に使用した可能性のある攻撃ベクトルを特定するのに役立ちます。適切なタイミングで対応するには、何から守っているのかを理解することが不可欠です。脅威モデリングに AWS Partnerを活用することもできます。AWS パートナーを検索するには、AWS Partner Networkを使用します。

サイバー脅威インテリジェンスを統合して使用する

サイバー脅威インテリジェンスは、脅威アクターの意図、機会、能力に関するデータと分析です。脅威インテリジェンスを取得し、利用することは、インシデントを早期に検出し、脅威アクターの行動をよりよく理解するのに役立ちます。サイバー脅威インテリジェンスには、IP アドレスやマルウェアのファイルハッシュなどの静的インジケータが含まれます。また、動作パターンやインテントなどの概要情報も含まれます。脅威インテリジェンスは、多数のサイバーセキュリティベンダーやオープンソースリポジトリから収集できます。

AWS 環境に脅威インテリジェンスを統合し、最大限に活用するには、既存の機能を使用して独自の脅威インテリジェンスリストを統合できます。Amazon GuardDuty は、AWS 内部およびサードパーティーの脅威インテリジェンスソースを使用します。DNS ファイアウォールや AWS WAF ルールなどの他の AWS サービスも、AWS の高度な脅威インテリジェンスグループから情報を受け取ります。一部の GuardDuty の検出結果は MITRE ATT&CK Framework にマッピングされ、攻撃者の戦術と手法に関する実際の観測情報として提供されます。