# SEC04-BP03 Correlazione e arricchimento degli avvisi di sicurezza
<a name="sec_detect_investigate_events_security_alerts"></a>

 Un’attività imprevista può generare diversi avvisi di sicurezza da origini diverse, richiedendo un’ulteriore correlazione e arricchimento per la comprensione del contesto completo. Implementa correlazione e arricchimento automatizzati degli avvisi di sicurezza per un’identificazione e una risposta agli incidenti più accurate. 

 **Risultato desiderato:** mentre l’attività generano avvisi diversi all’interno di carichi di lavoro e ambienti, i meccanismi automatizzati correlano i dati e li arricchiscono con informazioni aggiuntive. Questa pre-elaborazione presenta un quadro più dettagliato dell’evento, che aiuta gli investigatori a determinare la criticità dell’evento e a stabilire se si tratta di un incidente che richiede una risposta formale. Questo processo riduce il carico sui team di monitoraggio e investigazione. 

 **Anti-pattern comuni:** 
+  Gruppi diversi di persone esaminano esiti e avvisi generati da sistemi differenti, a meno che i requisiti di separazione degli incarichi non impongano altrimenti.   
+  L’organizzazione convoglia tutti i dati di esiti e avvisi di sicurezza in posizioni standard, ma richiede agli investigatori di eseguire correlazioni e arricchimenti manuali. 
+  Ti affidi esclusivamente all’intelligence dei sistemi di rilevamento delle minacce per riferire sugli esiti e stabilire la criticità. 

 **Vantaggi dell’adozione di questa best practice:** riduzione del carico cognitivo complessivo e della preparazione manuale dei dati richiesta agli investigatori grazie a correlazione e arricchimento automatizzati degli avvisi. Questa pratica può ridurre il tempo necessario per determinare se l’evento rappresenta un incidente e avviare una risposta formale. Un contesto aggiuntivo consente inoltre di valutare con precisione la reale gravità di un evento, in quanto può essere superiore o inferiore a quanto suggerito da un avviso. 

 **Livello di rischio associato se questa best practice non fosse adottata:** basso  

## Guida all’implementazione
<a name="implementation-guidance"></a>

 Gli avvisi di sicurezza possono provenire da diverse sorgenti all’interno di AWS, tra cui: 
+  Servizi come [Amazon GuardDuty](https://aws.amazon.com/guardduty/), [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/), [Amazon Macie](https://aws.amazon.com/macie/), [Amazon Inspector](https://aws.amazon.com/inspector/), [AWS Config](https://aws.amazon.com/config/), [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) e [Strumento di analisi degli accessi alla rete](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html) 
+  Avvisi provenienti dall’analisi automatizzata dei log di servizi, infrastrutture e applicazioni AWS, ad esempio da [Security Analytics per il Servizio OpenSearch di Amazon](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/security-analytics.html). 
+  Allarmi in risposta a modifiche nella tua attività di fatturazione provenienti da origini come [Amazon CloudWatch](https://aws.amazon.com/cloudwatch), [Amazon EventBridge](https://aws.amazon.com/eventbridge/) o [Budget AWS](https://aws.amazon.com/aws-cost-management/aws-budgets/). 
+  Origini di terze parti come feed di intelligence sulle minacce e [Soluzioni dei partner per la sicurezza](https://aws.amazon.com/security/partner-solutions/) da AWS Partner Network 
+  [Contatto tramite AWS Trust & Safety](https://repost.aws/knowledge-center/aws-abuse-report) o altre origini, come clienti o dipendenti interni. 
+  Utilizza [Threat Technique Catalog by AWS (TTC)](https://aws.amazon.com/blogs/security/aws-cirt-announces-the-launch-of-the-threat-technique-catalog-for-aws/) per facilitare l’identificazione e la correlazione del comportamento degli autori delle minacce attraverso l’identificazione degli indicatori di compromissione (IoC). Il TTC è un’estensione del framework MITRE ATT&CK, che classifica tutti i comportamenti e le tecniche noti e osservati degli autori di minacce rivolti alle risorse AWS. 

 Nella loro forma più elementare, gli avvisi contengono informazioni su chi (il *principale* o l’*identità*) sta facendo cosa *(*l’*azione* intrapresa) e cosa (le *risorse* interessate). Per ognuna di queste origini, individua le modalità con cui puoi creare mappature tra gli identificatori per queste identità, azioni e risorse come base per eseguire la correlazione. Ciò può avvenire integrando le origini degli avvisi con uno strumento di gestione delle informazioni e degli eventi di sicurezza (SIEM) per eseguire la correlazione automatica, creando pipeline ed elaborazioni di dati proprie o una combinazione di entrambi. 

 Un esempio di servizio in grado di eseguire la correlazione è [Amazon Detective](https://aws.amazon.com/detective). Il rilevatore inserisce continuamente avvisi da varie origini AWS e da terze parti e utilizza diverse forme di intelligenza per creare un grafico visivo delle loro relazioni in modo da semplificare le indagini. 

 Sebbene la criticità iniziale di un avviso sia un aiuto per la definizione delle priorità, il relativo contesto di generazione ne determina la vera criticità. Ad esempio, [Amazon GuardDuty](https://aws.amazon.com/guardduty/) può mostrare avvisi che indicano che un’istanza Amazon EC2 all’interno del tuo carico di lavoro sta eseguendo una query su un nome di dominio inaspettato. GuardDuty potrebbe assegnare una bassa criticità a questo avviso. Tuttavia, la correlazione automatica con altre attività svolte al momento dell’allarme potrebbe rivelare che diverse centinaia di istanze EC2 sono state distribuite dalla stessa identità, con un conseguente aumento dei costi operativi complessivi. In tal caso, questo contesto di eventi correlati causerebbe la visualizzazione di un nuovo avviso di sicurezza, la cui criticità potrebbe essere regolata su un livello superiore accelerando così l’esecuzione di ulteriori azioni. 

### Passaggi dell’implementazione
<a name="implementation-steps"></a>

1.  Identifica le origini delle informazioni sugli avvisi di sicurezza. Scopri come gli avvisi provenienti da questi sistemi rappresentano identità, azioni e risorse per determinare dove è possibile una correlazione. 

1.  Stabilisci un meccanismo per acquisire avvisi da diverse origini. Prendi in considerazione servizi come Security Hub CSPM, EventBridge e CloudWatch a tale scopo. 

1.  Identifica le origini per correlazione e arricchimento dei dati. Alcuni esempi di origini sono: [AWS CloudTrail](https://aws.amazon.com/cloudtrail/), [log di flusso VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html), [log del risolutore Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html) e log di infrastrutture e applicazioni. Alcuni di questi log, oppure tutti, potrebbero essere utilizzati tramite un’unica integrazione con [Amazon Security Lake](https://aws.amazon.com/security-lake/). 

1.  Integra i tuoi avvisi con le tue origini di correlazione e arricchimento dei dati per creare contesti degli eventi di sicurezza più dettagliati e stabilire le criticità. 

   1.  Amazon Detective, strumenti SIEM o altre soluzioni di terze parti possono eseguire in automatico un determinato livello di inserimento, correlazione e arricchimento. 

   1.  Puoi anche utilizzare i servizi AWS per crearne uno tuo. Ad esempio, puoi richiamare una funzione AWS Lambda per eseguire una query Amazon Athena rispetto a AWS CloudTrail o Amazon Security Lake e pubblicare i risultati su EventBridge. 

## Risorse
<a name="resources"></a>

 **Best practice correlate:** 
+  [SEC10-BP03 Preparazione di funzionalità forensi](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_prepare_forensic.html) 
+  [OPS08-BP04 Creare avvisi fruibili](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_workload_observability_create_alerts.html) 
+  [REL06-BP03 Invio di notifiche (elaborazione e avvisi in tempo reale)](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_monitor_aws_resources_notification_monitor.html) 

 **Documenti correlati:** 
+  [AWS Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) 

 **Esempi correlati:** 
+  [How to enrich AWS Security Hub CSPM findings with account metadata](https://aws.amazon.com/blogs/security/how-to-enrich-aws-security-hub-findings-with-account-metadata/) 

 **Strumenti correlati:** 
+  [Amazon Detective](https://aws.amazon.com/detective/) 
+  [Amazon EventBridge](https://aws.amazon.com/eventbridge/) 
+  [AWS Lambda](https://aws.amazon.com/lambda/) 
+  [Amazon Athena](https://aws.amazon.com/athena/)