使用AWS安全事件响应优化安全运营

本文详细介绍如何通过AWS安全事件响应服务优化安全运营,包括服务功能、部署前提、成功标准制定、配置定义、部署准备和启用步骤,帮助组织快速提升安全能力并实现即时价值。

通过AWS安全事件响应优化安全运营

安全威胁需要快速响应,因此AWS安全事件响应提供AWS原生保护,可立即强化您的安全态势。这一综合解决方案将自动分类和评估逻辑与您的安全边界元数据相结合,以识别关键问题,并在需要时无缝引入人工专业知识。当安全事件响应在统一安全环境中与Amazon GuardDuty和AWS Security Hub集成时,组织可通过直观控制台获得AWS客户事件响应团队(CIRT)的24/7访问权限,实现快速检测、专家分析和高效威胁遏制。安全事件响应包含在Amazon托管服务(AMS)中,帮助组织高效、安全地大规模采用和运营AWS。

本文指导您启用安全事件响应并执行概念验证(POC),以快速增强安全能力并实现即时效益。我们将探讨服务功能、建立POC成功标准、定义配置、准备部署、启用服务并从第一天起优化效果,帮助组织在事件响应生命周期中建立信心,同时缩短恢复时间。

理解安全事件响应的功能

AWS安全事件响应服务通过简化的四步流程提供全面的威胁检测和响应能力。它首先从GuardDuty和选定的Security Hub与第三方工具集成中获取安全发现。然后,该服务使用客户元数据和威胁情报自动对这些发现进行分类,以识别异常行为和可疑活动。当检测到潜在威胁时,CIRT成员通过客户门户主动调查案例,确定它们是真正威胁还是误报。对于已确认的威胁,服务将发现升级以立即采取行动,而误报则会触发自动分类系统及GuardDuty和Security Hub的抑制规则更新,持续提高检测准确性。

最小先决条件下的全面保护

安全事件响应通过与AWS威胁检测和事件响应(TDIR)系统以及CrowdStrike、Lacework和TrendMicro等第三方安全服务的无缝集成,提供强大的安全能力。该解决方案为端到端事件管理(从规划、沟通到解决)提供统一指挥中心,同时获取GuardDuty发现并通过Security Hub与外部提供商集成。通过安全案例管理和不可变活动时间线,它通过增强安全运营中心(SOC)和事件响应(IR)团队的可见性及访问AWS验证工具和人员,显著提升安全运营。AWS CIRT在调查和恢复期间与您的响应人员协作,释放您的宝贵资源用于其他优先事项。

该服务通过主动监控和响应能力提供持续价值。它使用GuardDuty和Security Hub发现持续监控您的环境,服务自动化、分类和分析在后台勤奋工作,仅在真正安全问题时发出警报。这种保护在潜在事件期间提供即时价值,无需您持续关注。

入门很简单——唯一的先决条件是启用AWS Organizations,并确保您已建立包含成员账户的基本组织单位(OU)结构的组织。这一基础不仅支持安全事件响应部署,还是在整个组织内实施稳健TDIR策略的基石。

确定成功标准

建立成功标准有助于用业务目标对标POC结果。一些示例标准包括:

  • 指定事件响应团队:识别并记录负责事件响应的内部团队成员和外部资源。如AWS良好架构安全支柱所述,指定人员可减少安全事件期间的分类和响应时间。
  • 制定正式事件响应框架:制定详细剧本和定期桌面演练协议的全面事件响应计划。AWS在GitHub上提供剧本参考库。
  • 运行桌面演练:考虑实施定期模拟,测试事件响应计划,识别差距,并在真实危机发生前在安全团队中建立肌肉记忆。AWS提供各类桌面演练的背景信息。
  • 识别现有第三方安全提供商:识别与Security Hub集成并馈送至安全事件响应的第三方安全提供商。AWS合作伙伴提供发现,如检测和分析中所述。
  • 实施GuardDuty:根据最佳实践配置GuardDuty以监控和检测关键服务中的威胁。AWS在AWS安全服务GuardDuty最佳实践中维护最佳实践。

审查成功标准,确保您的目标在给定时间框架和特定组织约束下是现实的。例如,您是否完全控制组织中部署的AWS服务配置?是否有资源可投入实施和测试?相关利益相关者评估服务的时间是否方便?

定义安全事件响应配置

建立成功标准和时间表后,最佳实践是定义安全事件响应配置。一些重要决策包括:

  • 选择委托管理员账户:确定哪个账户将作为安全事件响应的委托管理员(DA)。此账户和您选择的AWS区域将托管安全事件响应服务和门户。AWS安全参考架构(SRA)建议使用专用安全工具账户。在最终确定DA前,请查阅重要考虑和建议文档。
  • 定义账户范围:安全事件响应被视为组织级服务。您组织内每个区域的每个账户都有权在单个订阅下获得覆盖。服务覆盖范围随账户添加或删除自动调整,在整个AWS覆盖范围内提供全面保护。
  • 配置发现源:确定哪些安全发现满足组织需求。服务自动获取组织范围内的GuardDuty发现和来自第三方合作伙伴的选定Security Hub发现类型。评估哪些GuardDuty保护计划和Security Hub发现为您的安全态势和事件响应能力提供最大价值。
  • 制定升级框架:为不同案例类型(自管理、AWS支持和主动案例)建立明确升级阈值。根据严重性、影响和资源需求定义谁有权决定案例提交和类型。
  • 实施分析策略:确定使用原生AWS分析工具(如Amazon Athena、Amazon OpenSearch和Amazon Detective)还是与现有安全信息和事件管理(SIEM)解决方案集成。这些功能可通过上下文数据和更深入洞察丰富事件响应。

准备部署

确定成功标准和安全事件响应配置后,识别利益相关者、期望状态和时间框架。通过完成以下工作准备部署:

  • 项目计划和时间表:制定包含明确成功标准、范围边界、关键里程碑和现实实施时间表的项目计划。建议事件时间表:
    • 启用前:配置GuardDuty和Security Hub第三方,执行资源规划;向AWS账户团队或服务团队请求POC试用批准。
    • 第0天:启用服务。
    • 第1周:打开响应式CIRT案例。
    • 第2周:连接到IT服务管理(ITSM)工具。
    • 第3周:执行桌面演练。
    • 第4周:审查CIRT提供的报告。
  • 识别利益相关者:识别CISO、信息安全团队、SOC人员、事件响应团队、安全工程师、财务、法律、合规、外部MSSP和业务部门代表。
  • 制定RACI矩阵:创建详细RACI图表,定义事件响应生命周期中的角色和职责,促进问责制和适当沟通渠道。
  • 配置管理账户访问:确保授权委托管理访问权限。更多信息,请参阅指定委托安全事件响应管理员账户所需权限。
  • 设置IAM角色和权限:使用AWS身份和访问管理(IAM)角色实施基于角色的访问控制,与RACI图表对齐,包括使用AWS托管策略的案例管理、升级和只读角色。更多信息,请参阅AWS托管策略。

启用安全事件响应

准备就绪后,即可启用服务。

在管理账户中访问安全事件响应:

  1. 在组织管理账户中,转到AWS管理控制台,在控制台搜索栏中搜索安全事件响应。
  2. 选择注册。
  3. 验证是否选中“使用委托管理员账户 – 推荐”,在账户ID字段中输入委托管理员账户编号,然后选择下一步。
  4. 登录步骤3中配置的委托管理员账户,搜索安全事件响应,并选择注册。

在委托管理员账户中完成设置:

  1. 定义成员详细信息
    • 在区域选择下选择您的主区域。
    • 对于成员名称,输入符合组织命名标准的合适名称。
    • 在成员联系人下,输入主要和次要联系信息。
  2. 根据组织标记策略添加成员标记。
  3. 选择下一步。
  4. 配置主动响应权限
    • 主动响应的服务权限已启用,但您可以根据需要禁用此功能。
    • 选择“通过选择此选项…”,然后选择下一步。
  5. 审查服务权限并选择下一步。
  6. 审查成员配置和详细信息,然后选择注册。

通过此入职流程,具有主动响应的服务链接角色无法在管理账户中创建。有关将服务链接角色部署到管理账户的信息,请参阅AWS安全事件响应用户指南。

详细说明可在YouTube设置视频中找到。

许多组织已建立完善的事件响应和安全威胁管理流程及应用套件。为适应这些现有设置,AWS开发了与流行ITSM和案例管理应用程序的集成。我们的初始版本实现与Jira和ServiceNow的完整双向集成,更多集成即将推出。我们在GitHub上提供全面说明指导您完成设置过程。

第一天优化价值

启用服务后,安全事件响应立即开始获取您的GuardDuty和Security Hub发现(来自安全合作伙伴)。您的发现使用确定性评估逻辑自动分类和监控;基于您组织的独特元数据和安全边界,高优先级威胁升级到您的安全事件响应指挥中心进行立即调查。虽然您的组织从一开始就获得24/7覆盖,但实施这些推荐优化将显著提高威胁检测准确性、减少误报、加速响应时间,并通过与特定业务风险和合规要求对齐的定制保护强化整体安全态势。

为最大化安全事件响应的即时价值,我们建议从第一天起使用其响应能力。当您的团队遇到可疑活动或需要专家调查时,您可以通过服务门户创建AWS支持案例,直接与AWS CIRT专家互动。这些安全专家有效扩展团队能力,提供专业知识和指导,帮助您快速理解、遏制和修复潜在安全问题。这种按需访问AWS CIRT可减少平均解决时间,最小化潜在影响,并确保即使对于可能压倒内部资源的复杂安全场景,您也能获得专业支持。

响应式支持查询示例包括:

  • 我们注意到环境中有一个可疑IP地址执行各种API调用。您能帮助我们调查吗?
  • 两天前创建了一个新账户,我们通过Amazon EventBridge规则和端点检测与响应(EDR)集成收到通知,您能帮助我们确定范围并找出创建者吗?是如何创建的?
  • AWS身份和访问管理(IAM)用户正在跨区域进行API调用并在未使用区域创建资源。
  • 我们的EDR解决方案检测到生产网站上的异常行为,表明可能存在漏洞。
  • 我们的EDR检测到可疑的web-shell上传和活动。我们需要帮助调查和隔离此问题。
  • 未经授权的用户生成了超出其授权级别的API活动,帮助我们查找权限提升。
  • 我们需要帮助分析来自AWS WAF和Amazon Elastic Compute Cloud(Amazon EC2)实例的安全日志。是否存在任何入侵指标或可疑模式?

后续步骤

如果您决定继续使用AWS安全事件响应并部署POC,我们推荐以下行动项:

  • 确定您是否有批准和预算使用安全事件响应。提供首选定价协议、折扣和基于性能的试用。
  • 配置和部署GuardDuty,帮助在管理和成员账户、关键服务和工作负载间保持全面相关覆盖。
  • 验证第三方安全工具(如CrowdStrike、Lacework或Trend Micro)是否正确与Security Hub集成。
  • 向相关组织团队传达安全事件响应工具变更。

结论

在本文中,我们展示了如何规划和实施AWS安全事件响应POC。您学习了如何通过阶段执行此操作,包括定义成功标准、配置安全事件响应以及验证安全事件响应是否满足业务需求。

作为客户,本指南将帮助您成功运行安全事件响应POC。它指导您评估价值并在决定实施当前功能时考虑因素。

其他资源

  • 安全事件响应 – 入门指南
  • 通过Security Hub配置安全工具集成
  • 使用Amazon EventBridge管理安全事件响应事件
  • Amazon GuardDuty最佳实践
  • AWS Security Hub最佳实践
  • AWS安全事件响应技术指南(最佳实践)
  • AWS托管服务产品
  • AWS安全事件响应博客:客户加速事件响应生命周期的旅程

如果您对本文有反馈,请在下方评论部分提交评论。如果您对本文有疑问,请联系AWS支持。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次