# Erkennung
<a name="a-detective-controls"></a>

**Topics**
+ [SICH 4  Wie erkennen und untersuchen Sie Sicherheitsereignisse?](w2aac19b7b9b5.md)

# SICH 4  Wie erkennen und untersuchen Sie Sicherheitsereignisse?
<a name="w2aac19b7b9b5"></a>

Erfassen und analysieren Sie Ereignisse mithilfe von Protokollen und Kennzahlen, um Einblick zu erhalten. Ergreifen Sie Maßnahmen bei Sicherheitsereignissen und potenziellen Bedrohungen, um Ihren Workload zu schützen.

**Topics**
+ [SEC04-BP01 Konfigurieren der Service- und Anwendungsprotokollierung](sec_detect_investigate_events_app_service_logging.md)
+ [SEC04-BP02 Zentrale Analyse von Protokollen, Ergebnissen und Metriken](sec_detect_investigate_events_analyze_all.md)
+ [SEC04-BP03 Automatisierte Reaktion auf Ereignisse](sec_detect_investigate_events_auto_response.md)
+ [SEC04-BP04 Implementieren von umsetzbaren Sicherheitsereignissen:](sec_detect_investigate_events_actionable_events.md)

# SEC04-BP01 Konfigurieren der Service- und Anwendungsprotokollierung
<a name="sec_detect_investigate_events_app_service_logging"></a>

 Konfigurieren Sie die Protokollierung in der gesamten Workload, einschließlich Anwendungsprotokolle, Ressourcenprotokolle und AWS-Serviceprotokolle. Stellen Sie beispielsweise sicher, dass AWS CloudTrail, Amazon CloudWatch Logs, Amazon GuardDuty und AWS Security Hub CSPM für alle Konten in Ihrer Organisation aktiviert sind. 

Eine grundlegende Vorgehensweise besteht darin, eine Reihe von Erkennungsmechanismen auf Kontoebene einzurichten. Diese grundlegenden Mechanismen dienen der Aufzeichnung und Erkennung einer Vielzahl von Aktionen für alle Ressourcen in Ihrem Konto. Sie ermöglichen es Ihnen, eine umfassende Aufklärungsfunktion mit Optionen wie automatisierten Korrekturen und Partnerintegrationen zu erstellen, um Funktionen hinzuzufügen.

In AWS sind folgende Services in dieser Basisgruppe enthalten:
+ [AWS CloudTrail](http://aws.amazon.com/cloudtrail) stellt den Ereignisverlauf Ihrer AWS-Kontoaktivität bereit, einschließlich Aktionen über die AWS-Managementkonsole, AWS SDKs, Befehlszeilentools und andere AWS-Services.
+ [AWS Config](http://aws.amazon.com/config) überwacht und zeichnet Ihre AWS-Ressourcenkonfigurationen auf. Darüber hinaus ermöglicht es Ihnen, die Auswertung und Korrektur der gewünschten Konfigurationen zu automatisieren.
+ [Amazon GuardDuty](http://aws.amazon.com/guardduty) ist ein Service zur Bedrohungserkennung, der Ihre AWS-Konten und -Workloads zu deren Schutz fortlaufend auf böswillige oder unbefugte Verhaltensweisen überwacht.
+ [AWS Security Hub CSPM](http://aws.amazon.com/security-hub) bietet einen zentralen Ort, an dem Ihre Sicherheitswarnungen oder Ergebnisse von mehreren AWS-Services und optionalen Produkten von Drittanbietern aggregiert, organisiert und priorisiert werden. So erhalten Sie einen umfassenden Überblick über Sicherheitswarnungen und den Compliance-Status.

Aufbauend auf der Grundlage der Kontoebene, bieten viele wichtige AWS-Services, z. B. [Amazon Virtual Private Cloud Console (Amazon VPC)](http://aws.amazon.com/vpc)Protokollierungsfunktionen auf Service-Ebene. [Amazon VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) ermöglichen es Ihnen, Informationen über den IP-Datenverkehr zu und von Netzwerkschnittstellen zu erfassen, die wertvolle Einblicke in den Konnektivitätsverlauf bieten und automatisierte Aktionen basierend auf ungewöhnlichem Verhalten auslösen können.

Für Amazon Elastic Compute Cloud (Amazon EC2)-Instances und anwendungsbasierte Protokollierung, die nicht von AWS-Services stammen, besteht die Möglichkeit zur Speicherung und Analyse von Protokollen mit [Amazon CloudWatch Logs](http://aws.amazon.com/cloudwatch). Eine [Agent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html) sammelt die Protokolle vom Betriebssystem und den ausgeführten Anwendungen und speichert sie automatisch. Sobald die Protokolle in CloudWatch Logs verfügbar sind, können Sie [sie in Echtzeit verarbeiten](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Subscriptions.html)oder mithilfe von [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html).

Neben dem Erfassen und Aggregieren von Protokollen ist auch das Extrahieren aussagekräftiger Informationen aus dem enormen Umfang an Protokollen und Ereignisdaten wichtig, die von modernen, komplexen Architekturen generiert werden. Weitere Informationen finden Sie auf der Registerkarte *Überwachung* im [Whitepaper zur Säule der Zuverlässigkeit](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/monitor-workload-resources.html) . Protokolle können selbst sensible Daten enthalten, entweder wenn Anwendungsdaten fälschlicherweise den Weg in Protokolldateien gefunden haben, die der CloudWatch Logs-Agent erfasst, oder wenn die regionsübergreifende Protokollierung für die Protokollaggregation konfiguriert ist und es gesetzliche Vorgaben zum grenzüberschreitenden Versand bestimmter Informationen gibt.

Eine Möglichkeit besteht darin, AWS Lambda-Funktionen zu nutzen, welche von Protokollen angestoßen werden. So können Protokolldaten gefiltert und verkleinert werden, bevor sie an einen zentralen Protokollierungsstandort weitergeleitet werden, z. B. einen Amazon Simple Storage Service (Amazon S3)-Bucket. Die nicht bearbeiteten Protokolle können in einem lokalen Bucket aufbewahrt werden, bis eine „angemessene Zeit“ vergangen ist (wie von der Gesetzgebung und Ihrem Rechtsteam festgelegt). Ab diesem Zeitpunkt kann eine Amazon S3-Lebenszyklusregel sie automatisch löschen. Protokolle können in Amazon S3 weiter geschützt werden, indem Sie [Amazon S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)wo Sie Objekte mit einem WORM-Modell (Write-Once-Read-Many) speichern können.

 **Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Aktivierung der Protokollierung von AWS-Services: Aktivieren Sie die Protokollierung von AWS-Services entsprechend Ihren Anforderungen. Die Protokollierungsfunktionen umfassen Folgendes: Amazon VPC Flow Logs, Elastic Load Balancing (ELB)-Protokolle, Amazon S3-Bucket-Protokolle, CloudFront-Zugriffsprotokolle, Amazon Route 53-Abfrageprotokolle und Amazon Relational Database Service (Amazon RDS)-Protokolle. 
  +  [AWS Answers: Native AWS-Sicherheitsprotokollierungsfunktionen ](https://aws.amazon.com/answers/logging/aws-native-security-logging-capabilities/)
+  Bewerten und aktivieren Sie die Protokollierung von betriebssystem- und anwendungsspezifischen Protokollen, um verdächtiges Verhalten zu erkennen. 
  + [ Erste Schritte mit CloudWatch Logs ](http://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
  + [ Entwicklertools und Protokollanalyse ](https://aws.amazon.com/marketplace/search/results?category=4988009011)
+  Angemessene Kontrollen für Protokolle anwenden: Protokolle können vertrauliche Informationen enthalten und nur autorisierte Benutzer sollten Zugriff darauf haben. Erwägen Sie, die Berechtigungen auf Amazon S3-Buckets und CloudWatch Logs-Protokollgruppen einzuschränken. 
  + [ Authentifizierung und Zugriffskontrolle für Amazon CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/auth-and-access-control-cw.html)
  +  [Identitäts- und Zugriffsverwaltung in Amazon S3 ](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.html)
+  Konfigurieren [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html): GuardDuty ist ein Service zur Bedrohungserkennung, der Ihre AWS-Konten und AWS-Workloads zu deren Schutz fortlaufend auf böswillige oder unbefugte Verhaltensweisen überwacht. Aktivieren Sie GuardDuty und konfigurieren Sie automatisierte Warnungen für E-Mails mithilfe der Übung. 
+  [Konfigurieren eines benutzerdefinierten Prüfprotokolls in CloudTrail](http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html): Durch das Konfigurieren eines Prüfprotokolls können Sie Protokolle über den Standardzeitraum hinaus speichern und analysieren. 
+  Aktivieren [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html): AWS Config bietet Ihnen einen detaillierten Überblick über die Konfiguration der AWS-Ressourcen in Ihrem AWS-Konto. Hierzu zählt auch, wie die Ressourcen zueinander in Verbindung stehen und wie sie in der Vergangenheit konfiguriert wurden. So können Sie erkennen, wie sich die Konfigurationen und Beziehungen mit der Zeit ändern. 
+  Aktivieren [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html): Security Hub CSPM bietet Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus in AWS und hilft Ihnen, Ihre Compliance mit den Standards und Best Practices der Sicherheitsbranche zu überprüfen. Security Hub CSPM erfasst Sicherheitsdaten von allen AWS-Konten, AWS-Services und unterstützten Produkten von Drittanbieterpartnern und hilft Ihnen, Ihre Sicherheitstrends zu analysieren und die Sicherheitsprobleme mit der höchsten Priorität zu identifizieren. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+  [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Erste Schritte: Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+  [Partnerlösungen im Bereich Sicherheit: Protokollierung und Überwachung](https://aws.amazon.com/security/partner-solutions/#logging-monitoring) 

 **Zugehörige Videos:** 
+ [ Best Practices for Centrally Monitoring Resource Configuration and Compliance (Best Practices für die zentrale Überwachung der Ressourcenkonfiguration und Compliance) ](https://youtu.be/kErRv4YB_T4)
+  [Remediating Amazon GuardDuty and AWS Security Hub CSPM Findings (Korrektur von Amazon GuardDuty- und AWS Security Hub CSPM-Feststellungen) ](https://youtu.be/nyh4imv8zuk)
+ [ Threat management in the cloud: Amazon GuardDuty and AWS Security Hub CSPM (Bedrohungsmanagement in der Cloud: Amazon GuardDuty und AWS Security Hub CSPM) ](https://youtu.be/vhYsm5gq9jE)

 **Zugehörige Beispiele:** 
+ [ Übung: Automatisierte Bereitstellung von aufdeckenden Kontrollen ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)

# SEC04-BP02 Zentrale Analyse von Protokollen, Ergebnissen und Metriken
<a name="sec_detect_investigate_events_analyze_all"></a>

 Sicherheitsteams benötigen Protokolle und Suchtools, um potenziell interessante Ereignisse zu erkennen, die auf unbefugte Aktivitäten oder unbeabsichtigte Änderungen hinweisen können. Um mit den enormen Informationsmengen komplexer Architekturen Schritt zu halten, reicht es jedoch nicht aus, erfasste Daten einfach zu analysieren und die Informationen manuell zu verarbeiten. Nur mittels Analyse und Berichterstellung lassen sich nicht die richtigen Ressourcen zuweisen, um ein Ereignis zeitnah zu bearbeiten. 

Zur Erstellung eines kompetenten Sicherheitsteams hat es sich bewährt, den Fluss von Sicherheitsereignissen und -ergebnissen tief in ein Benachrichtigungs- und Workflow-System zu integrieren. Dies kann beispielsweise ein Ticketsystem, ein Bug- oder Fehlersystem oder ein anderes Security Information and Event Management-System (SIEM) sein. Der Workflow wird dadurch aus E-Mail-Berichten und statischen Berichten genommen, sodass Sie Ereignisse oder Ergebnisse weiterleiten, eskalieren und verwalten können. Viele Organisationen integrieren mittlerweile Sicherheitsbenachrichtigungen in ihre Chat- oder Zusammenarbeitsplattformen und in ihre Plattformen für Entwicklerproduktivität. Für Organisationen, die die Automatisierung einführen, bietet ein API-gesteuertes Ticketing-System mit geringer Latenz erhebliche Flexibilität bei der Planung, vor allem in Bezug darauf, was zuerst automatisiert werden soll.

Diese bewährte Methode gilt nicht nur für Sicherheitsereignisse, die anhand von Protokollnachrichten bezüglich Benutzeraktivitäten oder Netzwerkereignissen generiert wurden, sondern auch für solche, die aufgrund von Änderungen in der Infrastruktur ausgelöst wurden. Die Fähigkeit, Änderungen zu erkennen, zu bestimmen, ob eine Änderung angemessen war, und diese Informationen dann an den richtigen Korrekturworkflow weiterzuleiten, ist für die Aufrechterhaltung und Validierung einer sicheren Architektur unerlässlich. Dies gilt im Kontext unerwünschter Änderungen, die nicht besonders auffällig sind, sodass ihre Ausführung derzeit nicht mit einer Kombination aus AWS Identity and Access Management (IAM) und AWS Organizations-Konfiguration verhindert werden kann.

Amazon GuardDuty und AWS Security Hub CSPM bieten Aggregations-, Deduplizierungs- und Analysemechanismen für Protokolldatensätze, die Ihnen auch über andere AWS-Services zur Verfügung gestellt werden. GuardDuty speist Informationen aus Quellen wie AWS CloudTrail-Management- und -Datenereignissen, VPC-DNS-Protokollen und VPC Flow Logs ein und aggregiert und analysiert diese Informationen. Security Hub CSPM kann Ausgaben von GuardDuty, AWS Config, Amazon Inspector, Amazon Macie, AWS Firewall Manager und zahlreichen Sicherheitsprodukten von Drittanbietern im AWS Marketplace einspeisen, aggregieren und analysieren. Das gilt auch für Ihren eigenen Code, wenn er entsprechend erstellt wurde. Sowohl GuardDuty als auch Security Hub CSPM verfügen über ein Administrator-Member-Modell, das Ergebnisse und Einblicke über mehrere Konten hinweg aggregieren kann. Security Hub CSPM wird häufig von Kunden verwendet, die über ein On-Premise-SIEM als AWS-seitigen Protokoll- und Alarmpräprozessor und Aggregator verfügen. Über diesen können sie Amazon EventBridge über einen AWS Lambda-basierten Prozessor und Weiterleiter einspeisen.

 **Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Bewerten der Funktionen zur Protokollverarbeitung: Bewerten Sie die für die Verarbeitung von Protokollen verfügbaren Optionen. 
  +  [Amazon OpenSearch Service zum Protokollieren und Überwachen von (praktisch) allem verwenden ](https://d1.awsstatic.com/whitepapers/whitepaper-use-amazon-elasticsearch-to-log-and-monitor-almost-everything.pdf)
  +  [Suchen eines Partners mit Spezialisierung auf Protokollierungs- und Überwachungslösungen ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
+  Testen Sie zum Analysieren von CloudTrail-Protokollen zunächst Amazon Athena. 
  + [ Konfigurieren von Athena zum Analysieren von CloudTrail-Protokollen ](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html)
+  Implementieren der zentralisierten Protokollierung in AWS: Sehen Sie sich die folgende AWS-Beispiellösung zum Zentralisieren der Protokollierung für mehrere Quellen an. 
  +  [Centralize logging solution ](https://aws.amazon.com/solutions/centralized-logging/https://aws.amazon.com/solutions/centralized-logging/)
+  Implementieren der zentralisierten Protokollierung mit einem Partner: APN-Partner verfügen über Lösungen, die Ihnen beim zentralen Analysieren von Protokollen helfen. 
  + [ Protokollierung und Überwachung ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+ [ Zentralisierte Protokollierung in AWS](https://aws.amazon.com/answers/logging/centralized-logging/)
+  [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+  [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Erste Schritte mit Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+  [Partnerlösungen im Bereich Sicherheit: Protokollierung und Überwachung](https://aws.amazon.com/security/partner-solutions/#logging-monitoring) 

 **Zugehörige Videos:** 
+ [ Best Practices for Centrally Monitoring Resource Configuration and Compliance (Best Practices für die zentrale Überwachung der Ressourcenkonfiguration und Compliance) ](https://youtu.be/kErRv4YB_T4)
+  [Remediating Amazon GuardDuty and AWS Security Hub CSPM Findings (Korrektur von Amazon GuardDuty- und AWS Security Hub CSPM-Feststellungen) ](https://youtu.be/nyh4imv8zuk)
+ [ Threat management in the cloud: Amazon GuardDuty and AWS Security Hub CSPM (Bedrohungsmanagement in der Cloud: Amazon GuardDuty und AWS Security Hub CSPM) ](https://youtu.be/vhYsm5gq9jE)

# SEC04-BP03 Automatisierte Reaktion auf Ereignisse
<a name="sec_detect_investigate_events_auto_response"></a>

 Die Nutzung der Automatisierung zum Ermitteln und Beheben von Ereignissen reduziert den menschlichen Aufwand und menschliche Fehler und ermöglicht Ihnen die Skalierung der Prüffunktionen. Regelmäßige Prüfungen helfen Ihnen dabei, Automatisierungstools zu optimieren und immer wieder auszuführen. 

In AWS können interessante Ereignisse und Informationen zu potenziell unerwarteten Änderungen an einem automatisierten Workflow mithilfe von Amazon EventBridge untersucht werden. Dieser Service bietet eine skalierbare Rules Engine, die sowohl native AWS-Ereignisformate (z. B. AWS CloudTrail-Ereignisse) als auch von Ihnen generierbare benutzerdefinierte Ereignisse behandelt. Mit Amazon GuardDuty können Sie Ereignisse auch an ein Workflow-System für jene weiterleiten, die Vorfallreaktionssysteme (AWS Step Functions) erstellen, oder an ein zentrales Sicherheitskonto oder an einen Bucket zur weiteren Analyse.

Um Änderungen zu erkennen und diese Informationen an den richtigen Workflow weiterzuleiten, können Sie AWS-Config-Regeln und [Conformance Packs](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)verwenden. AWS Config erkennt Änderungen an ordnungsgemäß ausgeführten Services (wenn auch mit einer höheren Latenz als dies bei EventBridge der Fall ist) und generiert Ereignisse, die mithilfe von AWS-Config-Regeln-Regeln analysiert werden können. Dies ermöglicht es, einen Rollback durchzuführen, Compliance-Richtlinien zu erzwingen und Informationen an Systeme wie Änderungsverwaltungsplattformen und operative Ticketsysteme weiterzuleiten. Sie können nicht nur eigene Lambda-Funktionen schreiben, um auf AWS Config-Ereignisse zu reagieren, sondern auch das [AWS-Config-Regeln Development Kit](https://github.com/awslabs/aws-config-rdk)benutzen und auf eine [Bibliothek mit Open Source-](https://github.com/awslabs/aws-config-rules) AWS-Config-Regeln zugreifen. Conformance Packs sind eine Sammlung von AWS-Config-Regeln- und Korrekturaktionen, die Sie als einzelne Einheit in Form einer YAML-Vorlage bereitstellen. A [beispielhafte Conformance-Pack-Vorlage](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html) ist für die Well-Architected-Säule „Sicherheit“ verfügbar.

 **Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Implementieren automatisierter Warnungen mit GuardDuty: GuardDuty ist ein Service zur Bedrohungserkennung, der Ihre AWS-Konten und AWS-Workloads fortlaufend auf böswillige oder unbefugte Verhaltensweisen überwacht und so schützt. Aktivieren Sie GuardDuty und konfigurieren Sie automatisierte Warnungen. 
+  Automatisieren von Untersuchungsprozessen: Entwickeln Sie automatische Prozesse, die ein Ereignis untersuchen und Berichte an einen Administrator senden, um Zeit zu sparen. 
  + [ Übung: Amazon GuardDuty in der Praxis ](https://hands-on-guardduty.awssecworkshops.com/)

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+ [ Zentralisierte Protokollierung in AWS](https://aws.amazon.com/answers/logging/centralized-logging/)
+  [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+  [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Erste Schritte mit Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+  [Partnerlösungen im Bereich Sicherheit: Protokollierung und Überwachung](https://aws.amazon.com/security/partner-solutions/#logging-monitoring) 
+ [ Erste Schritte mit Amazon GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)

 **Zugehörige Videos:** 
+ [ Best Practices for Centrally Monitoring Resource Configuration and Compliance (Best Practices für die zentrale Überwachung der Ressourcenkonfiguration und Compliance) ](https://youtu.be/kErRv4YB_T4)
+  [Remediating Amazon GuardDuty and AWS Security Hub CSPM Findings (Korrektur von Amazon GuardDuty- und AWS Security Hub CSPM-Feststellungen) ](https://youtu.be/nyh4imv8zuk)
+ [ Threat management in the cloud: Amazon GuardDuty and AWS Security Hub CSPM (Bedrohungsmanagement in der Cloud: Amazon GuardDuty und AWS Security Hub CSPM) ](https://youtu.be/vhYsm5gq9jE)

 **Zugehörige Beispiele:** 
+  [Übung: Automatisierte Bereitstellung von aufdeckenden Kontrollen ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)

# SEC04-BP04 Implementieren von umsetzbaren Sicherheitsereignissen:
<a name="sec_detect_investigate_events_actionable_events"></a>

 Erstellen Sie Warnungen, die an Ihr Team gesendet werden und von diesem bearbeitet werden können. Stellen Sie sicher, dass Warnungen relevante Informationen enthalten, damit das Team Maßnahmen ergreifen kann. Für jeden Aufklärungsmechanismus, den Sie besitzen, sollten Sie auch einen Prozess zur Untersuchung in Form eines [Runbooks](https://wa.aws.amazon.com/wat.concept.runbook.en.html) oder [eines Playbooks](https://wa.aws.amazon.com/wat.concept.playbook.en.html)haben. Wenn Sie beispielsweise [Amazon GuardDuty](http://aws.amazon.com/guardduty)aktivieren, werden verschiedene [Ergebnisse](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html). Sie sollten einen Runbook-Eintrag für jeden Ergebnistyp haben. Wenn beispielsweise ein [Trojaner](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_trojan.html) erkannt wird, enthält Ihr Runbook einfache Anweisungen, die jemanden anweisen, den Vorfall zu untersuchen und zu beheben. 

 **Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Niedrig 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Ermitteln verfügbarer Metriken für AWS-Services: Ermitteln Sie die Metriken, die über Amazon CloudWatch für die Services verfügbar sind, die Sie verwenden. 
  +  [AWS-Servicedokumentation](https://aws.amazon.com/documentation/) 
  +  [Verwenden von Amazon CloudWatch-Metriken](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) 
+  Konfigurieren Sie Amazon CloudWatch-Alarme. 
  +  [Verwenden von Amazon CloudWatch-Alarmen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+  [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+  [Partnerlösungen im Bereich Sicherheit: Protokollierung und Überwachung](https://aws.amazon.com/security/partner-solutions/#logging-monitoring) 

 **Zugehörige Videos:** 
+ [ Best Practices for Centrally Monitoring Resource Configuration and Compliance (Best Practices für die zentrale Überwachung der Ressourcenkonfiguration und Compliance) ](https://youtu.be/kErRv4YB_T4)
+  [Remediating Amazon GuardDuty and AWS Security Hub CSPM Findings (Korrektur von Amazon GuardDuty- und AWS Security Hub CSPM-Feststellungen) ](https://youtu.be/nyh4imv8zuk)
+ [ Threat management in the cloud: Amazon GuardDuty and AWS Security Hub CSPM (Bedrohungsmanagement in der Cloud: Amazon GuardDuty und AWS Security Hub CSPM) ](https://youtu.be/vhYsm5gq9jE)