检测属于安全控制措施工程的一部分

检测机制是制定安全控制措施不可或缺的一部分。定义指令性控制措施和预防性控制措施时，应同时设立相关的检测性控制措施和响应性控制措施。例如，某组织设立了与 AWS 账户根用户相关的指令性控制措施，该控制措施仅应用于明确定义的特定活动。组织将其与通过 AWS 组织的服务控制策略（SCP）实施的预防性控制措施相关联。如果根用户活动超出预期基准，通过 EventBridge 规则和 SNS 主题实施的检测性控制措施将向安全运营中心（SOC）发出警报。响应性控制措施则要求 SOC 选择适当的行动手册、执行分析，并持续工作直至事件解决。

安全控制措施最好通过对 AWS 中运行的工作负载进行威胁建模来定义。检测性控制措施的严重程度需要查看特定工作负载的业务影响分析（BIA），据此确定。检测性控制措施生成的警报不会按接收顺序处理，而会根据其初始严重程度进行处理，以便在分析期间进行调整。虽然设定的初始严重程度有助于排列优先顺序，但发生警报的具体环境决定了真正的严重程度。例如，组织将 Amazon GuardDuty 用作检测性控制措施的组成部分，用于保护属于工作负载的 EC2 实例。此时，将生成调查发现 Impact:EC2/SuspiciousDomainRequest.Reputation，告知您工作负载中列出的 Amazon EC2 实例正在查询疑似恶意的域名。默认情况下，此警报会设置为低严重性，但随着分析阶段的深入，确定未经授权的行为者部署了数百个 p4d.24xlarge 类型 EC2 实例，导致组织运营成本激增。在这种情况下，事件响应团队决定将此警报的严重程度调整为高，从而提升紧迫感并加快进一步的行动。请注意，GuardDuty 调查发现的严重性无法更改。