检测
您可以使用检测控制来识别潜在的安全威胁或事件。检测控制是管理框架的重要组成部分,并且可以用于支持质量流程、法律或合规,还可以用于威胁识别和响应工作。检测控制分为多种不同类型。例如,编制资产清单及其详细属性有助于更有效地做出决策(以及进行生命周期管理),从而有助于建立运营基准。您可以通过内部审计(是指对信息系统相关的控制措施进行的检查)来确保实践符合策略和要求,并确保您已根据定义的条件设置了正确的自动告警通知。这些控制措施都是重要的响应手段,可以帮助您的组织识别和了解异常活动的范围。
在 AWS 中,您可以通过处理可用于审计、自动化分析和触发警报的日志、事件以及监控来实施检测控制。CloudTrail 日志、AWS API 调用和 CloudWatch 可以提供对指标进行监控以及报警的功能,AWS Config 可以提供配置历史记录。Amazon GuardDuty 是一种托管的威胁检测服务,可以持续监控恶意或未经授权的行为,从而帮助您保护您的 AWS 账户和工作负载。您还可以使用服务级别日志,例如,您可以使用 Amazon Simple Storage Service (Amazon S3) 来记录访问请求。
以下问题主要针对安全方面的注意事项。
| SEC 4:您如何检测和调查安全事件? |
|---|
| 通过日志和指标来记录和分析事件,以便了解信息。针对安全事件和潜在的威胁采取措施,以便保护您的工作负载。 |
日志管理对于架构完善的工作负载至关重要,这其中原因众多,包括安全性或取证、法律或法规要求。分析日志并相应地做出响应至关重要,这样您能够识别潜在的安全事件。借助 AWS 提供的功能,您能够定义数据保留生命周期或定义数据保存、存档或最终删除的位置,从而更轻松地管理日志。这样,您就能够以更为简单且更具成本效益的方式进行可预测且可靠的数据处理。
