SEC 4: Wie erkennen und untersuchen Sie Sicherheitsereignisse?

Erfassen und analysieren Sie Ereignisse mithilfe von Protokollen und Kennzahlen, um Einblick zu erhalten. Ergreifen Sie Maßnahmen bei Sicherheitsereignissen und potenziellen Bedrohungen, um Ihren Workload zu schützen.

Ressourcen

Threat management in the cloud: Amazon GuardDuty and AWS Security Hub
Remediating Amazon GuardDuty and AWS Security Hub Findings
Centrally Monitoring Resource Configuration and Compliance
Setting up Amazon GuardDuty
AWS Security Hub
Amazon CloudWatch
Getting started: Amazon CloudWatch Logs
Amazon EventBridge
AWS Config
AWS Answers: Centralized Logging
Security Partner Solutions: Logging and Monitoring

Bewährte Methoden:

• Konfigurieren der Service- und Anwendungsprotokollierung: Konfigurieren Sie die Protokollierung in der gesamten Workload, einschließlich Anwendungsprotokolle, Ressourcenprotokolle und AWS-Serviceprotokolle. Stellen Sie beispielsweise sicher, dass AWS CloudTrail, Amazon CloudWatch Logs, Amazon GuardDuty und AWS Security Hub für alle Konten in Ihrer Organisation aktiviert sind.

• Zentrale Analyse von Protokollen, Ergebnissen und Metriken: Alle Protokolle, Metriken und Telemetriedaten sollten zentral erfasst und automatisch analysiert werden, um Anomalien und Indikatoren für nicht autorisierte Aktivitäten zu erkennen. Ein Dashboard bietet Ihnen einen einfachen Zugriff auf Einblicke in den Echtzeitzustand. Stellen Sie beispielsweise sicher, dass Amazon GuardDuty- und Security Hub-Protokolle an einen zentralen Ort für Warnungen und Analysen gesendet werden.

• Automatisieren der Reaktion auf Ereignisse: Die Nutzung der Automatisierung zum Ermitteln und Beheben von Ereignissen reduziert den menschlichen Aufwand und menschliche Fehler und ermöglicht Ihnen die Skalierung der Prüffunktionen. Regelmäßige Prüfungen helfen Ihnen dabei, Automatisierungstools zu optimieren und immer wieder auszuführen. Sie können beispielsweise Reaktionen auf Amazon GuardDuty-Ereignisse automatisieren, indem Sie den ersten Untersuchungsschritt automatisieren und dann erneut ausführen, um den menschlichen Aufwand schrittweise zu eliminieren.

• Implementieren von umsetzbaren Sicherheitsereignissen: Erstellen Sie Warnungen, die an Ihr Team gesendet werden und von diesem bearbeitet werden können. Stellen Sie sicher, dass Warnungen relevante Informationen enthalten, damit das Team Maßnahmen ergreifen kann. Stellen Sie beispielsweise sicher, dass Amazon GuardDuty- und AWS Security Hub-Warnungen zur Bearbeitung an das Team oder an die Reaktionsautomatisierungs-Tools gesendet werden, wobei das Team durch Nachrichten aus dem Automatisierungsframework informiert bleibt.

Verbesserungsplan

Konfigurieren der Service- und Anwendungsprotokollierung

Aktivieren der Protokollierung von AWS-Services: Aktivieren Sie die Protokollierung von AWS-Services entsprechend Ihren Anforderungen. Folgende Protokollfunktionen sind verfügbar: VPC Flow Logs, ELB-Protokolle, S3-Bucket-Protokolle, CloudFront-Zugriffsprotokolle, Route 53-Abfrageprotokolle und Amazon RDS-Protokolle.
AWS Answers: native AWS security-logging capabilities

Auswerten und Aktivieren der Protokollierung von Betriebssystemen und anwendungsspezifisch: Bewerten und aktivieren Sie die Protokollierung von betriebssystem- und anwendungsspezifischen Protokollen, um verdächtiges Verhalten zu erkennen.
Getting started with CloudWatch Logs
Developer Tools/Log Analysis

Anwenden von angemessenen Kontrollen auf die Protokolle: Protokolle können vertrauliche Informationen enthalten und nur autorisierte Benutzer sollten Zugriff darauf haben. Erwägen Sie, die Berechtigungen auf S3-Buckets und CloudWatch Logs-Protokollgruppen einzuschränken.
Authentication and Access Control for Amazon CloudWatch
Identity and access management in Amazon S3

Konfigurieren von Amazon GuardDuty: Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der Ihre AWS-Konten und -Workloads zu deren Schutz fortlaufend auf böswillige oder unbefugte Verhaltensweisen überwacht. Aktivieren Sie GuardDuty und konfigurieren Sie automatisierte Warnungen für E-Mails mithilfe des Labors.
Amazon GuardDuty
Lab: Automated Deployment of Detective Controls

Konfigurieren eines benutzerdefinierten Prüfprotokolls in CloudTrail: Durch das Konfigurieren eines Prüfprotokolls können Sie Protokolle über den Standardzeitraum hinaus speichern und analysieren.
Creating a trail in CloudTrail
Lab: Automated Deployment of Detective Controls

Aktivieren von AWS Config: AWS Config bietet Ihnen einen detaillierten Überblick über die Konfiguration der AWS-Ressourcen unter Ihrem AWS-Konto. Hierzu zählt auch, wie die Ressourcen zueinander in Verbindung stehen und wie sie in der Vergangenheit konfiguriert wurden. So können Sie erkennen, wie sich die Konfigurationen und Beziehungen mit der Zeit ändern.
AWS Config
Lab: Automated Deployment of Detective Controls

Aktivieren von AWS Security Hub: AWS Security Hub bietet Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus in AWS und hilft Ihnen, Ihre Compliance mit den Standards und bewährten Methoden der Sicherheitsbranche zu überprüfen. Security Hub sammelt Sicherheitsdaten von allen AWS-Konten, -Services und unterstützten Produkten von Drittanbietern und hilft Ihnen, Ihre Sicherheitstrends zu analysieren und Sicherheitsprobleme mit der höchsten Priorität zu identifizieren.
AWS Security Hub

Zentrale Analyse von Protokollen, Ergebnissen und Metriken

Bewerten der Funktionen zur Protokollverarbeitung: Bewerten der für die Verarbeitung von Protokollen verfügbaren Optionen
Use Amazon OpenSearch Service to log and monitor (almost) everything
Find a partner that specializes in logging and monitoring solutions

Testen von Amazon Athena als Ausgangspunkt für die Analyse von CloudTrail-Protokollen
Configuring Athena to analyze CloudTrail logs

Implementieren der zentralen Protokollierung in AWS: AWS-Beispiellösung zur Zentralisierung der Protokollierung aus mehreren Quellen.
Centralize logging solution

Implementieren der zentralen Protokollierung mit dem Partner: APN-Partner bieten Lösungen, mit denen Sie Protokolle zentral analysieren können.
Logging and Monitoring

Automatisieren der Reaktion auf Ereignisse

Implementieren automatisierter Warnungen mit Amazon GuardDuty: Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der Ihre AWS-Konten und -Workloads zu deren Schutz fortlaufend auf böswillige oder unbefugte Verhaltensweisen überwacht. Aktivieren Sie GuardDuty und konfigurieren Sie automatisierte Warnungen.
Lab: Automated Deployment of Detective Controls

Automatische Untersuchungsprozesse: Entwickeln Sie automatische Prozesse, die ein Ereignis untersuchen und Berichte an einen Administrator senden, um Zeit zu sparen.
Lab: Amazon GuardDuty hands on

Implementieren von umsetzbaren Sicherheitsereignissen

Ermitteln von Metriken, die für AWS-Services verfügbar sind: Ermitteln Sie die Metriken, die über CloudWatch für die Services verfügbar sind, die Sie verwenden.
AWS service documentation
Using Amazon CloudWatch Metrics

Konfigurieren von Amazon CloudWatch-Alarmen: .
Using Amazon CloudWatch Alarms