SEC04-BP03 Correlacionar e enriquecer os alertas de segurança
Atividades inesperadas podem gerar vários alertas de segurança de diferentes fontes, exigindo maior correlação e enriquecimento para entender todo o contexto. Automatize a correlação e o enriquecimento dos alertas de segurança para ajudar a aumentar a precisão da identificação e resposta aos incidentes.
Resultado desejado: à medida que a atividade gera diferentes alertas em seus ambientes e workloads, mecanismos automatizados correlacionam dados e os enriquecem com informações adicionais. Esse pré-processamento apresenta uma compreensão mais detalhada do evento, o que ajuda os investigadores a determinar a importância do evento e se ele constitui um incidente que requer uma resposta formal. Esse processo reduz a carga sobre suas equipes de monitoramento e investigação.
Antipadrões comuns:
-
Diferentes grupos de pessoas investigam descobertas e alertas gerados por sistemas diferentes, a menos que seja exigido de outra forma pelos requisitos de separação de deveres.
-
Sua organização canaliza todos os dados de detecção e alerta de segurança para locais padrão, mas exige que os investigadores realizem a correlação e o enriquecimento manualmente.
-
Você depende exclusivamente da inteligência dos sistemas de detecção de ameaças para relatar descobertas e determinar a gravidade.
Benefícios do estabelecimento desta prática recomendada: a automatização da correlação e do enriquecimento de alertas ajuda a reduzir o trabalho cognitivo geral e a preparação manual de dados que os investigadores precisam realizar. Essa prática pode reduzir o tempo necessário para determinar se o evento representa um incidente e iniciar uma resposta formal. O contexto adicional também ajuda a avaliar com precisão a verdadeira gravidade de um evento, pois ela pode ser maior ou menor do que o sugerido por qualquer alerta.
Nível de exposição a riscos se esta prática recomendada não for estabelecida: baixo
Orientações para a implementação
Os alertas de segurança podem vir de várias fontes diferentes na AWS, incluindo:
-
Serviços como Amazon GuardDuty
, AWS Security Hub , Amazon Macie , Amazon Inspector , AWS Config , AWS Identity and Access Management Access Analyzer e Network Access Analyzer. -
Alertas da análise automatizada de logs de aplicação, infraestrutura e serviços da AWS, como da Análise de Segurança para o Amazon OpenSearch Service.
-
Alarmes em resposta a mudanças em sua atividade de cobrança de fontes como o Amazon CloudWatch
, o Amazon EventBridge ou o AWS Budgets . -
Fontes de terceiros, como feeds de inteligência contra ameaças e soluções de parceiros de segurança
da AWS Partner Network. -
Contatos feitos pela Equipe de Confiança e Segurança da AWS
ou por outras fontes, como clientes ou funcionários internos.
Em sua forma mais fundamental, os alertas contêm informações sobre quem (a entidade principal ou identidade) está fazendo o quê (a ação realizada) para quem (osrecursos afetados). Em cada uma dessas fontes, identifique se há maneiras de criar associações nos identificadores referentes a essas identidades, ações e recursos como base para realizar a correlação. Isso poderia ser integrar fontes de alerta a uma ferramenta de gerenciamento de eventos e informações de segurança (SIEM) para realizar a correlação automatizada para você, criar seus próprios pipelines e processamento de dados ou uma combinação de ambos.
Um exemplo de um serviço que pode realizar a correlação para você é o Amazon Detective
Embora a gravidade inicial de um alerta ajude na priorização, o contexto em que o alerta aconteceu determina sua verdadeira gravidade. Como exemplo, o Amazon GuardDuty pode alertar que uma instância do Amazon EC2 dentro da workload está consultando um nome de domínio inesperado. O GuardDuty pode atribuir um baixo nível de gravidade a esse alerta por si só. Entretanto, a correlação automatizada com outras atividades em torno do momento do alerta pode revelar que várias centenas de instâncias do EC2 foram implantadas pela mesma identidade, o que aumenta os custos operacionais gerais. Nesse caso, o GuardDuty pode publicar esse contexto de evento correlacionado como um novo alerta de segurança e definir a gravidade como alta, o que agilizaria ações futuras.
Etapas da implementação
-
Identifique fontes de informações sobre alertas de segurança. Entenda como os alertas desses sistemas representam identidade, ação e recursos para determinar onde a correlação é possível.
-
Estabeleça um mecanismo para capturar alertas de diferentes fontes. Considere serviços como o Security Hub, o EventBridge e o CloudWatch para essa finalidade.
-
Identifique fontes para correlação e enriquecimento de dados. As fontes de exemplo incluem o CloudTrail, logs de fluxo da VPC, o Amazon Security Lake e logs de infraestrutura e aplicação.
-
Integre os alertas às fontes de correlação e enriquecimento de dados para criar contextos de eventos de segurança mais detalhados e determinar a gravidade.
-
O Amazon Detective, ferramentas de SIEM ou outras soluções de terceiros podem realizar determinado nível de ingestão, correlação e enriquecimento automaticamente.
-
Você também pode usar serviços da AWS para criar seus próprios alertas. Por exemplo, você pode invocar uma função do AWS Lambda para executar uma consulta do Amazon Athena no AWS CloudTrail ou no Amazon Security Lake e publicar os resultados no EventBridge.
-
Recursos
Práticas recomendadas relacionadas:
Documentos relacionados:
Exemplos relacionados:
Ferramentas relacionadas:
