SEC 4: 您如何偵測和調查安全事件？

從日誌和指標中擷取並分析事件以掌握情況。針對安全事件和潛在威脅採取行動，有助於保護工作負載。

資源

Threat management in the cloud: Amazon GuardDuty and AWS Security Hub
Remediating Amazon GuardDuty and AWS Security Hub Findings
Centrally Monitoring Resource Configuration and Compliance
Setting up Amazon GuardDuty
AWS Security Hub
Amazon CloudWatch
Getting started: Amazon CloudWatch Logs
Amazon EventBridge
AWS Config
AWS Answers: Centralized Logging
Security Partner Solutions: Logging and Monitoring

最佳實務:

• 設定服務和應用程式記錄: 設定整個工作負載中的記錄，包括應用程式日誌、資源日誌和 AWS 服務日誌。例如：確定組織內的所有帳戶已啟用 AWS CloudTrail、Amazon CloudWatch Logs、Amazon GuardDuty 和 AWS Security Hub。

• 集中分析日誌、問題清單和指標: 應集中收集所有日誌、指標和遙測，並自動分析以偵測異常和未經授權活動的指標。儀表板可讓您輕鬆存取運作狀態的即時洞見。例如：確保 Amazon GuardDuty 和 Security Hub 日誌傳送到中央位置以進行提醒和分析。

• 自動回應事件: 使用自動化來調查和修復事件可減少人工作業和人為錯誤，還可讓您擴展調查功能。定期檢閱將協助您調整自動化工具並持續反覆運算。例如：將 Amazon GuardDuty 事件的回應自動化，方法是自動化第一個調查步驟，然後反覆運算以逐步消除人工作業。

• 實作可行的安全事件: 建立傳送給團隊並能讓團隊據此採取行動的提醒。確保提醒包含讓團隊採取動作的相關資訊。例如：確保 Amazon GuardDuty 和 AWS Security Hub 提醒傳送給團隊採取動作，或傳送到回應自動化工具，且團隊仍透過自動化架構的簡訊收到通知。

改進方案

設定服務和應用程式記錄

啟用 AWS 服務的記錄: 啟用 AWS 服務的記錄以符合您的需求。可用的記錄功能如下：VPC Flow Logs、ELB 日誌、S3 儲存貯體日誌、CloudFront 存取日誌、Route 53 查詢日誌和 Amazon RDS 日誌。
AWS Answers: native AWS security-logging capabilities

評估並啟用作業系統和應用程式專屬的記錄: 評估並啟用作業系統和應用程式專屬的記錄，以偵測可疑行為。
Getting started with CloudWatch Logs
Developer Tools/Log Analysis

對日誌套用適當控制: 日誌可能包含敏感資訊，因此只有授權使用者可以存取。考慮限制對 S3 儲存貯體和 CloudWatch Logs 日誌群組的權限。
Authentication and Access Control for Amazon CloudWatch
Identity and access management in Amazon S3

設定 Amazon GuardDuty: Amazon GuardDuty 是威脅偵測服務，可持續監控惡意活動和未經授權的行為，以保護 AWS 帳戶和工作負載。使用實驗室啟用 GuardDuty 並設定電子郵件的自動提醒。
Amazon GuardDuty
Lab: Automated Deployment of Detective Controls

在 CloudTrail 中設定自訂追蹤: 設定軌跡可讓您儲存日誌的時間長於預設時間，以便之後分析這些日誌。
Creating a trail in CloudTrail
Lab: Automated Deployment of Detective Controls

啟用 AWS Config: AWS Config 提供了您的 AWS 帳戶中 AWS 資源組態的詳細檢視。檢視內容包括資源之間的關係，以及它們過去的組態，以便您了解組態和關係如何隨時間變更。
AWS Config
Lab: Automated Deployment of Detective Controls

啟用 AWS Security Hub: AWS Security Hub 提供 AWS 安全狀態的全面檢視，並協助您檢查是否符合安全產業標準和最佳實務。Security Hub 會收集 AWS 帳戶、服務和支援的第三方合作夥伴產品的安全資料，協助您分析安全趨勢並找出優先順序最高的安全問題。
AWS Security Hub

集中分析日誌、問題清單和指標

評估日誌處理能力: 評估可用於處理日誌的選項
Use Amazon OpenSearch Service to log and monitor (almost) everything
Find a partner that specializes in logging and monitoring solutions

若要開始分析 CloudTrail 日誌，請測試 Amazon Athena
Configuring Athena to analyze CloudTrail logs

在 AWS 中實作集中記錄: 用於集中多個來源記錄的 AWS 範例解決方案。
Centralize logging solution

透過合作夥伴實作集中記錄: APN 合作夥伴提供的解決方案可協助您集中分析日誌。
Logging and Monitoring

自動回應事件

使用 Amazon GuardDuty 實作自動提醒: Amazon GuardDuty 是威脅偵測服務，可持續監控惡意活動和未經授權的行為，以保護 AWS 帳戶和工作負載。啟用 GuardDuty 並設定自動提醒。
Lab: Automated Deployment of Detective Controls

自動化調查程序: 制定可調查事件並向管理員報告相關資訊的自動化程序，以節省時間。
Lab: Amazon GuardDuty hands on

實作可行的安全事件

探索 AWS 服務可用的指標: 針對您所使用的服務，探索透過 CloudWatch 提供的指標。
AWS service documentation
Using Amazon CloudWatch Metrics

設定 Amazon CloudWatch 警示: .
Using Amazon CloudWatch Alarms