做為安全控制工程一部分的偵測

偵測機制是安全控制開發不可或缺的一部分。定義指示和預防性控制時，應建構相關的偵測性和回應性控制。例如，組織會建立與 AWS 帳戶根使用者相關的指令控制，這應該僅用於特定且定義非常明確的活動。它們將其與使用 AWS 組織的服務控制政策 (SCP) 實作的預防性控制相關聯。如果發生超出預期基準的根使用者活動，則使用 EventBridge 規則和 SNS 主題實作的偵測性控制會提醒安全操作中心 (SOC)。回應式控制需要 SOC 選取適當的手冊、執行分析和工作，直到事件解決為止。

安全控制的最佳定義方式是對在 中執行的工作負載進行威脅建模 AWS。偵測性控制的關鍵性將透過查看特定工作負載的業務影響分析 (BIA) 來設定。偵測性控制項產生的警示不會在進入時處理，而是根據其初始重要性在分析期間進行調整。初始關鍵性集有助於排定優先順序；發生警示的內容將決定其真正的關鍵性。例如，組織使用 Amazon GuardDuty 作為用於工作負載一部分 EC2 執行個體的偵測控制元件。Impact:EC2/SuspiciousDomainRequest.Reputation 會產生調查結果，通知您工作負載中列出的 Amazon EC2 執行個體正在查詢疑似惡意的網域名稱。此提醒預設為低嚴重性，並且隨著分析階段的進展，已確定未經授權的演員p4d.24xlarge已部署數百個 類型的 EC2 執行個體，大幅增加組織的營運成本。此時，事件回應團隊會決定將此提醒的重要性調整為高，增加緊迫感並加速進一步的動作。請注意，GuardDuty 調查結果嚴重性無法變更。