# SEC04-BP03 Korelasikan dan perkaya data peringatan keamanan
<a name="sec_detect_investigate_events_security_alerts"></a>

 Aktivitas tak terduga dapat menghasilkan beberapa peringatan keamanan yang dibuat oleh sumber yang berbeda, sehingga membutuhkan korelasi dan pengayaan lebih lanjut untuk memahami konteksnya secara lengkap. Terapkan korelasi otomatis dan pengayaan peringatan keamanan untuk membantu mencapai identifikasi dan respons insiden yang lebih akurat. 

 **Hasil yang diinginkan:** Karena aktivitas menghasilkan peringatan yang berbeda dalam beban kerja dan lingkungan Anda, maka mekanisme otomatis menghubungkan data dan memperkaya data tersebut dengan informasi tambahan. Langkah-langkah sebelum pemrosesan (pre-processing) ini menyajikan pemahaman yang lebih mendetail tentang peristiwa, sehingga akan membantu penyelidik Anda dalam menentukan tingkat kekritisan peristiwa tersebut dan apakah peristiwa tersebut merupakan insiden yang memerlukan respons formal. Proses ini akan mengurangi beban pada tim pemantauan dan investigasi Anda. 

 **Anti-pola umum:** 
+  Grup orang yang berbeda menyelidiki temuan dan peringatan yang dihasilkan oleh berbagai sistem, kecuali jika ditentukan lain berdasarkan persyaratan pemisahan tugas.   
+  Organisasi Anda menyalurkan semua data temuan dan peringatan keamanan ke lokasi terstandardisasi, tetapi mengharuskan penyelidik melakukan korelasi dan pengayaan data secara manual. 
+  Anda hanya mengandalkan intelijen sistem deteksi ancaman untuk melaporkan temuan dan menetapkan tingkat kekritisan. 

 **Manfaat menjalankan praktik terbaik ini:** Korelasi otomatis dan pengayaan peringatan akan membantu Anda dalam mengurangi beban kognitif secara keseluruhan dan persiapan data manual yang diperlukan peneliti Anda. Praktik ini dapat mengurangi waktu yang dibutuhkan untuk menentukan apakah peristiwa tersebut merepresentasikan sebuah insiden dan memulai respons formal. Konteks tambahan juga akan membantu Anda untuk menilai secara akurat tingkat keparahan yang sebenarnya dari suatu peristiwa, karena hal itu bisa jadi lebih tinggi atau lebih rendah dari yang diindikasikan oleh satu peringatan mana pun. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah  

## Panduan implementasi
<a name="implementation-guidance"></a>

 Peringatan keamanan dapat berasal dari berbagai sumber yang ada di AWS, termasuk: 
+  Layanan-layanan seperti [Amazon GuardDuty](https://aws.amazon.com/guardduty/), [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/), [Amazon Macie](https://aws.amazon.com/macie/), [Amazon Inspector](https://aws.amazon.com/inspector/), [AWS Config](https://aws.amazon.com/config/), [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html), dan [Penganalisis Akses Jaringan](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html) 
+  Peringatan dari analisis otomatis layanan AWS, infrastruktur, dan log aplikasi, seperti dari [Security Analytics untuk Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/security-analytics.html). 
+  Alarm sebagai respons terhadap perubahan aktivitas penagihan Anda dari sumber seperti [Amazon CloudWatch](https://aws.amazon.com/cloudwatch), [Amazon EventBridge](https://aws.amazon.com/eventbridge/), atau [AWS Budgets](https://aws.amazon.com/aws-cost-management/aws-budgets/). 
+  Sumber pihak ketiga seperti umpan intelijen ancaman dan [Solusi Mitra Keamanan](https://aws.amazon.com/security/partner-solutions/) dari AWS Partner Network 
+  [Kontak oleh AWS Trust & Safety](https://repost.aws/knowledge-center/aws-abuse-report) atau sumber lain, seperti pelanggan atau karyawan internal. 
+  Gunakan [Threat Technique Catalog dari AWS (TTC)](https://aws.amazon.com/blogs/security/aws-cirt-announces-the-launch-of-the-threat-technique-catalog-for-aws/) untuk membantu mengidentifikasi dan mengaitkan perilaku pelaku ancaman melalui identifikasi indikator penyusupan (IoC). TTC merupakan perluasan dari kerangka kerja MITRE ATT&CK, yang mengategorikan seluruh perilaku dan teknik pelaku ancaman yang telah diketahui dan diamati, yang ditujukan terhadap sumber daya AWS. 

 Dalam bentuknya yang paling mendasar, peringatan berisi informasi tentang siapa (*principal* atau *identitas*) yang melakukan apa *(**tindakan* yang diambil) terhadap apa (*sumber daya* yang terdampak tindakan). Untuk masing-masing sumber ini, identifikasi apakah Anda dapat membuat pemetaan di seluruh pengidentifikasi untuk identitas, tindakan, dan sumber daya ini sebagai landasan untuk melakukan korelasi. Hal ini dapat berupa mengintegrasikan sumber peringatan dengan alat manajemen informasi dan peristiwa keamanan (SIEM) untuk melakukan korelasi secara otomatis untuk Anda, membuat pipeline dan pemrosesan data Anda sendiri, atau kombinasi keduanya. 

 Contoh layanan yang dapat melakukan korelasi untuk Anda adalah [Amazon Detective](https://aws.amazon.com/detective). Amazon Detective melakukan penyerapan peringatan yang berkelanjutan dari berbagai sumber AWS dan pihak ketiga, serta menggunakan berbagai bentuk intelijen untuk menyusun grafik visual tentang hubungan peringatan-peringatan tersebut untuk membantu penyelidikan. 

 Meskipun tingkat kekritisan awal sebuah peringatan dapat membantu dalam menentukan prioritisas, konteks yang mendasari terjadinya peringatan tersebut akan menentukan tingkat kekritisan yang sebenarnya. Sebagai contoh, [Amazon GuardDuty](https://aws.amazon.com/guardduty/) dapat mengingatkan bahwa instans Amazon EC2 dalam beban kerja Anda sedang mengueri nama domain yang tidak terduga. GuardDuty mungkin menetapkan tingkat kekritisan yang rendah untuk peringatan ini sendiri. Namun, korelasi otomatis dengan aktivitas lainnya yang terjadi kira-kira pada saat peringatan diberikan mungkin menunjukkan bahwa beberapa ratus instans EC2 di-deploy dengan identitas yang sama, sehingga akan meningkatkan biaya operasi secara keseluruhan. Dalam peristiwa ini, konteks peristiwa yang berkorelasi ini mungkin memerlukan peringatan keamanan baru dan tingkat kekritisannya mungkin harus diubah ke tinggi, sehingga akan mempercepat tindakan lebih lanjut. 

### Langkah-langkah implementasi
<a name="implementation-steps"></a>

1.  Identifikasi sumber untuk informasi peringatan keamanan. Pahami cara peringatan dari sistem ini merepresentasikan identitas, tindakan, dan sumber daya untuk menentukan di mana korelasi mungkin dilakukan. 

1.  Tetapkan sebuah mekanisme untuk merekam peringatan dari berbagai sumber. Pertimbangkan layanan-layanan seperti CSPM Security Hub, EventBridge, dan CloudWatch untuk tujuan ini. 

1.  Identifikasi sumber untuk korelasi dan pengayaan data. Contoh sumber meliputi [AWS CloudTrail](https://aws.amazon.com/cloudtrail/), [Log Aliran VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html), [log Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html), serta log infrastruktur dan aplikasi. Salah satu atau semua log ini dapat dikonsumsi melalui integrasi tunggal dengan [Amazon Security Lake](https://aws.amazon.com/security-lake/). 

1.  Integrasikan peringatan Anda dengan sumber korelasi dan pengayaan data untuk membuat konteks peristiwa keamanan yang lebih mendetail dan menetapkan tingkat kekritisannya. 

   1.  Amazon Detective, alat SIEM, atau solusi pihak ketiga lainnya dapat melakukan penyerapan, korelasi, dan pengayaan data pada tingkat tertentu secara otomatis. 

   1.  Anda juga dapat menggunakan layanan-layanan AWS untuk membuat solusi Anda sendiri. Misalnya, Anda dapat menginvokasi fungsi AWS Lambda untuk menjalankan kueri Amazon Athena terhadap AWS CloudTrail atau Amazon Security Lake, dan memublikasikan hasilnya ke EventBridge. 

## Sumber daya
<a name="resources"></a>

 **Praktik-praktik terbaik terkait:** 
+  [SEC10-BP03 Menyiapkan kemampuan forensik](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_prepare_forensic.html) 
+  [OPS08-BP04 Membuat peringatan yang dapat ditindaklanjuti](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_workload_observability_create_alerts.html) 
+  [REL06-BP03 Mengirimkan notifikasi (Pemrosesan dan pembuatan alarm waktu nyata)](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_monitor_aws_resources_notification_monitor.html) 

 **Dokumen terkait:** 
+  [AWS Panduan Respons Insiden Keamanan](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) 

 **Contoh terkait:** 
+  [Cara memperkaya temuan AWS Security Hub CSPM dengan metadata akun](https://aws.amazon.com/blogs/security/how-to-enrich-aws-security-hub-findings-with-account-metadata/) 

 **Alat terkait:** 
+  [Amazon Detective](https://aws.amazon.com/detective/) 
+  [Amazon EventBridge](https://aws.amazon.com/eventbridge/) 
+  [AWS Lambda](https://aws.amazon.com/lambda/) 
+  [Amazon Athena](https://aws.amazon.com/athena/)