检测与分析

AWS 安全事件响应会持续监控、分级并调查来自 Amazon GuardDuty 及通过 AWS Security Hub 集成的安全事件调查发现。以下措施可显著增强 AWS 安全事件响应的监控与调查能力：

启用支持的检测数据源

注意

AWS 安全事件响应费用不包含与支持的检测数据源相关的使用费用，以及其他 AWS 服务的使用费用。如需了解费用详情，请参阅各功能或服务的定价页面。

Amazon GuardDuty

GuardDuty 是一项威胁检测服务，用于持续监控、分析和处理 AWS 环境中的数据来源和日志。使用 AWS 安全事件响应 虽不强制要求启用 Amazon GuardDuty，但若需使用主动响应及警报分级功能，则必须启用 GuardDuty。

如需在整个组织内启用 GuardDuty，请参阅《Amazon GuardDuty User Guide》中的“Setting up GuardDuty”部分。

强烈建议在所有受支持的 AWS 区域启用 GuardDuty。这样，GuardDuty 就可以生成有关未经授权或异常活动的调查发现，甚至在您未主动使用的区域也是如此。有关更多信息，请参阅 Amazon GuardDuty Regions and endpoints。

启用 GuardDuty 可为 AWS 安全事件响应提供关键威胁检测数据，显著增强其在 AWS 环境中识别和响应潜在安全问题的能力。

AWS Security Hub

Security Hub 可以从多个 AWS 服务和受支持的第三方安全解决方案接收安全调查发现。这些集成可以帮助 AWS 安全事件响应监控和调查来自其他检测工具的调查发现。

要启用 Security Hub 与 Organizations 的集成，请参阅《AWS Security Hub User Guide》。

Security Hub 提供多种集成启用方式。对于第三方产品集成，您可能需要从 AWS Marketplace 中购买集成，然后配置该集成。集成信息提供了用于完成这些任务的链接。详细了解如何启用 AWS Security Hub 集成。

当以下工具与 AWS Security Hub 集成时，AWS 安全事件响应会监控和调查来自这些工具的调查发现：

• CrowdStrike – CrowdStrike Falcon

• Lacework – Lacework

• Trend Micro – Cloud One

启用这些集成可显著提升 AWS 安全事件响应的监控和调查能力范围及效果。

分析调查发现

AWS 安全事件响应自动化流程与 AWS CIRT 服务团队会分析所有来自受支持工具的调查发现。我们会通过 AWS Support 案例与您沟通，着手了解您环境的情况。例如，当需要确认某个调查发现是预期行为还是应升级为事件时，随着对您环境了解的深入，我们会逐步优化服务配置，从而减少必要的沟通频次。

报告安全事件

您可通过 AWS 安全事件响应服务门户立即上报安全事件。发生安全事件时，切勿延误。AWS 安全事件响应采用自动化与人工结合的方式调查安全事件、分析日志并识别异常模式。您对自身环境的深入理解与积极配合会显著加速分析进程。

建立沟通机制。

AWS 安全事件响应通过事件案例与您的安全联系人保持沟通，确保调查过程透明可控。多名团队成员可协助处理事件，通过事件工单同步记录客户提供的内容及 AWS 更新信息。

沟通内容包括：安全警报生成时的自动通知、事件分析过程中的进度沟通、多方通话桥接的建立、日志文件等取证材料的持续分析、安全事件处置期间实时反馈调查结果。

本服务会创建 AWS 安全事件响应案例来与您的团队进行沟通。我们会针对您的成员账户创建案例。这种方法会将所有账户的沟通集中到同一位置。案例名称的 "[Proactive case]" 前缀有助于识别由 AWS 安全事件响应发起的案例。

通过积极参与这些沟通并及时响应，您可以帮助 AWS 安全事件响应：

• 更深入地了解环境和预期行为

• 逐步减少误报情况

• 提高警报的准确性和相关性

• 确保快速响应真实安全事件

• 请注意，AWS 安全事件响应服务的有效性会随着协作而提升，从而打造更安全、监控更高效的 AWS 环境。