实施检测性控制措施 - AWS 安全事件响应 用户指南

实施检测性控制措施

了解检测性控制措施的实施方式至关重要,因为这有助于确定警报将如何用于特定事件。检测性技术控制措施主要有两种实施方式:

  • 行为检测依赖于通常称为机器学习(ML)或人工智能(AI)的数学模型。检测基于推断进行;因此,警报不一定反映实际事件。

  • 基于规则的检测是确定性的;客户可以设定需要发出警报的确切活动参数,结果是确定的。

现代检测系统 [例如入侵检测系统(IDS)] 的实现通常同时包含这两种机制。以下是使用 GuardDuty 进行基于规则的检测和行为检测的一些示例。

  • 调查发现 Exfiltration:IAMUser/AnomalousBehavior 生成后,将通知您,“在您的账户中观察到异常的 API 请求。” 当您进一步查阅文档时,将提示您“机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者所用技术相关的异常事件”,这表明该调查发现具有行为检测的特性。

  • 对于调查发现 Impact:S3/MaliciousIPCaller,GuardDuty 会分析 CloudTrail 中来自 Amazon S3 服务的 API 调用,将 SourceIPAddress 日志元素与包含威胁情报源的公有 IP 地址表进行比对。发现直接匹配的条目后,便会生成调查发现。

我们建议混合使用行为警报和规则警报,因为针对威胁模型中的每项活动发出基于规则的警报并非总是可行。