Implementações de controles detectivos
É importante compreender como os controles detectivos são implementados, pois isso auxilia a determinar como o alerta será usado para o evento específico. Existem duas principais formas de implementação de controles detectivos técnicos:
-
A detecção comportamental se baseia em modelos matemáticos, comumente conhecidos como machine learning (ML) ou inteligência artificial (IA). A detecção é realizada por inferência. Portanto, o alerta pode não refletir necessariamente um evento real.
-
A detecção baseada em regras é determinística. Dessa forma, os clientes podem definir exatamente os parâmetros das atividades sobre as quais desejam receber alertas, garantindo certeza na detecção.
As implementações modernas de sistemas detectivos, como um sistema de detecção de intrusão (IDS, na sigla em inglês), geralmente incluem ambos os mecanismos. A seguir, apresentamos alguns exemplos de detecções baseadas em regras e comportamentais com o GuardDuty.
-
Quando a descoberta
Exfiltration:IAMUser/AnomalousBehavioré gerada, ela informa que “uma solicitação de API anômala foi observada em sua conta”. Ao analisar a documentação mais detalhadamente, verifica-se que ela informa que “o modelo de ML avalia todas as solicitações de API na sua conta e identifica eventos anômalos associados a técnicas usadas por agentes adversários”, o que demonstra a natureza comportamental dessa descoberta. -
Para a descoberta
Impact:S3/MaliciousIPCaller, o GuardDuty analisa as chamadas de API do serviço Amazon S3 no CloudTrail, comparando o elemento de logSourceIPAddresscom uma tabela de endereços IP públicos que inclui feeds de inteligência de ameaças. Assim que encontra uma correspondência direta com uma entrada, a descoberta é gerada pelo serviço.
Recomendamos a implementação de uma combinação de alertas comportamentais e baseados em regras, pois nem sempre é possível aplicar alertas baseados em regras para todas as atividades dentro do seu modelo de ameaças.
