本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Detective 控制實作
請務必了解偵測控制如何實作,因為它們有助於判斷警示將如何用於特定事件。技術偵測性控制有兩種主要實作:
-
行為偵測倚賴通常稱為機器學習 (ML) 或人工智慧 (AI) 的數學模型。偵測是透過推論進行;因此,提醒不一定反映實際事件。
-
規則型偵測是確定性的;客戶可以設定要提醒哪些活動的確切參數,這是確定的。
偵測系統的現代實作,例如入侵偵測系統 (IDS),通常都具有這兩種機制。以下是使用 GuardDuty 進行規則型和行為偵測的一些範例。
-
Exfiltration:IAMUser/AnomalousBehavior產生調查結果時,它會通知您「在您的帳戶中觀察到異常 API 請求。」 當您進一步查看文件時,它會告訴您「ML 模型會評估您帳戶中的所有 API 請求,並識別與對手使用的技術相關聯的異常事件」,指出此調查結果具有行為本質。 -
對於調查結果
Impact:S3/MaliciousIPCaller,GuardDuty 正在分析來自 CloudTrail 中 Amazon S3 服務的 API 呼叫,比較SourceIPAddress日誌元素與包含威脅情報摘要的公有 IP 地址資料表。一旦找到與項目的直接相符項目,就會產生問題清單。
我們建議您實作行為和規則型警示的混合,因為不一定可以針對威脅模型中的每個活動實作規則型警示。
