利用AWS安全事件响应的AI驱动能力加速调查

如果您曾花费数小时手动查阅AWS CloudTrail日志、检查AWS Identity and Access Management（IAM）权限并拼凑安全事件时间线，您就会理解事件调查所需的时间投入。今天，我们很高兴地宣布，AWS安全事件响应服务新增了AI驱动的调查功能，可自动化完成证据收集和分析工作。

AWS安全事件响应可帮助您更快、更有效地准备、响应安全事件并从中恢复。该服务结合了自动化安全发现监控与分类、遏制功能，以及现在新增的AI驱动调查能力，并提供24/7直接访问AWS客户事件响应团队（CIRT）的权限。

在调查可疑API调用或异常网络活动时，确定范围和验证需要查询多个数据源、关联时间戳、识别相关事件并构建完整的事件经过。安全运营中心（SOC）分析师为每次调查投入大量时间，其中约一半时间用于手动从各种工具和复杂日志中收集和拼凑证据。这种手动工作可能延迟您的分析和响应。

AWS正在为安全事件响应引入调查代理，改变这一模式并提升效率。该调查代理帮助您减少验证和响应潜在安全事件所需的时间。当由您或安全事件响应主动创建安全关注案例时，调查代理会询问澄清问题，以确保其完全理解潜在安全事件的背景。然后，它自动从CloudTrail事件、IAM配置、Amazon Elastic Compute Cloud（Amazon EC2）实例详细信息中收集证据，甚至分析成本使用模式。几分钟内，它关联证据、识别模式，并为您提供清晰的摘要。

实际运作方式

在深入示例之前，让我们清晰了解调查代理的位置、访问方式及其目的和功能。调查代理直接内置在安全事件响应中，在您创建案例时自动可用。其目的是充当您的第一响应者——收集证据、跨AWS服务关联数据，并构建全面的事件时间线，以便您能够快速从检测转向恢复。

例如：您发现账户中IAM用户的AWS凭证在公共GitHub存储库中暴露。您需要了解使用这些凭证执行了哪些操作，并正确确定潜在安全事件的范围，包括横向移动和侦察操作。您需要识别可能创建的持久性机制，并确定适当的遏制步骤。首先，您在安全事件响应控制台中创建一个案例并描述情况。

这就是代理方法与传统自动化的不同之处：它首先询问澄清问题。凭证首次暴露是什么时候？IAM用户名是什么？您是否已经轮换了凭证？哪个AWS账户受到影响？

这一交互步骤在开始收集证据之前收集适当的细节和元数据。具体来说，您不会得到通用结果——调查是根据您的具体关注点量身定制的。

代理获得所需信息后开始调查。它查找CloudTrail事件以查看使用泄露凭证进行了哪些API调用，拉取IAM用户和角色详细信息以检查授予的权限，识别新创建的IAM用户或角色，检查EC2实例信息（如果启动了计算资源），并分析成本和使​​用模式以查找异常资源消耗。无需您查询每个AWS服务，代理自动协调此过程。

几分钟内，您将获得如下所示的摘要。调查摘要包括高级摘要和关键发现，其中包含凭证暴露模式、观察到的活动及时间范围、受影响资源和限制因素。

图1 – 调查摘要

此响应是使用AWS生成式AI能力生成的。您有责任在特定上下文中评估任何建议，并实施适当的监督和保障措施。了解更多关于AWS负责任AI的要求。

注意：前述示例为代表性输出。确切格式将根据发现结果有所不同。

调查摘要包括各种标签页以获取详细信息，例如带有事件时间线的技术发现，如下所示：

图2 – 安全事件时间线

当时间紧迫时，这种透明度对于快速、高保真和准确的响应至关重要——特别是如果您需要升级到AWS CIRT（一组专门的AWS安全专家），或向领导层解释您的发现，为利益相关者创建查看事件的单一视角。

调查完成后，您将获得事件发生的高分辨率图像，并可以就遏制、清除和恢复做出明智决策。对于前述暴露凭证场景，您可能需要：

• 删除泄露的访问密钥
• 移除新创建的IAM角色
• 终止未经授权的EC2实例
• 审查并恢复相关的IAM策略更改
• 检查为其他用户创建的额外访问密钥

当您与CIRT合作时，他们可以根据代理收集的证据提供额外的遏制策略指导。

这对您的安全运营意味着什么

泄露凭证场景展示了代理对单个事件的能力。但更大的影响在于您的日常运营方式：

• 您花费在证据收集上的时间更少。调查代理自动化了调查中最耗时的部分——从多个来源收集和关联证据。与其花费一小时进行手动日志分析，您可以将大部分时间用于制定遏制决策和防止复发。
• 您可以使用自然语言进行调查。调查代理使用自然语言处理（NLP），您可以用自然语言描述调查内容，例如“来自IP地址X的异常API调用”或“已终止员工凭证的数据访问”，代理将其转换为所需的技术查询。您无需成为AWS日志格式专家或了解查询CloudTrail的确切语法。
• 您获得高保真和准确调查的基础。调查代理处理初步调查——收集证据、识别模式并提供全面摘要。如果您的案例需要更深入的分析，或者您需要复杂场景的指导，您可以与AWS CIRT合作，他们可以立即基于代理已完成的工作进行构建，加快响应时间。他们看到相同的证据和时间线，因此可以专注于高级威胁分析和遏制策略，而不是从头开始。

开始使用

如果您已经启用了安全事件响应，AI驱动的调查能力现已可用——无需额外配置。创建您的下一个安全案例，代理将自动开始工作。

如果您是安全事件响应的新用户，以下是设置方法：

1. 通过您的AWS Organizations管理账户启用安全事件响应。通过AWS管理控制台只需几分钟即可完成，并提供跨账户覆盖。
2. 创建案例。描述您要调查的内容；您可以通过安全事件响应控制台或API执行此操作，或设置从Amazon GuardDuty或AWS Security Hub警报自动创建案例。
3. 审查分析。代理通过安全事件响应控制台呈现其发现，或者您可以通过现有的工单系统（如Jira或ServiceNow）访问它们。

调查代理使用AWS Support服务链接角色从您的AWS资源收集信息。此角色在设置AWS账户时自动创建，并为Support工具查询CloudTrail事件、IAM配置、EC2详细信息和成本数据提供必要访问权限。代理采取的操作会记录在CloudTrail中，以实现完全可审计性。

调查代理包含在安全事件响应中，无需额外费用，现在提供计量定价，免费层覆盖每月前10,000个摄入的发现。超出部分，发现按随量递减的费率计费。通过这种基于消费的方法，您可以根据需求扩展安全事件响应能力。

与现有工具的配合

安全事件响应案例可以由客户创建，也可以由服务主动创建。调查代理在创建新案例时自动触发，案例可以通过控制台、API或Amazon EventBridge集成进行管理。

您可以使用EventBridge构建自动化工作流，将来自GuardDuty、Security Hub和安全事件响应本身的安全事件路由到创建案例并启动响应计划，从而实现端到端的检测到调查管道。在调查代理开始工作之前，服务的自动分类系统通过Security Hub监控和过滤来自GuardDuty和第三方安全工具的安全发现。它使用客户特定信息（如已知IP地址和IAM实体）根据预期行为过滤发现，减少警报量，同时升级需要立即关注的警报。这意味着调查代理专注于实际需要调查的警报。

结论

在本文中，我向您展示了AWS安全事件响应中的新调查代理如何自动化证据收集和分析，将安全事件调查时间从数小时减少到几分钟。代理询问澄清问题以理解您的具体关注点，自动查询多个AWS数据源，关联证据，并为您提供全面的时间线和摘要，同时保持完全透明和可审计性。

随着调查代理的加入，安全事件响应客户现在获得AI驱动自动化的速度和效率，并在需要时得到AWS安全专家的专业知识和监督支持。

AI驱动的调查能力现已在所有安全事件响应运营的商业AWS区域中可用。要了解有关定价和功能的更多信息，或开始使用，请访问AWS安全事件响应产品页面。

如果您对本文有反馈，请在下面的评论部分提交评论。