# SEC04-BP03 关联和扩充安全警报
<a name="sec_detect_investigate_events_security_alerts"></a>

 出现意外的活动时，不同的来源可能会生成多个安全警报，此时需要进一步关联和扩充警报以便理解整个背景信息。实施自动化的安全警报关联和扩充，有助于更准确地识别和响应事件。

 **期望结果：**当您的工作负载和环境中的活动生成了不同警报时，自动化机制会关联数据，并用其它信息扩充这些数据。通过这种预处理方法，您可以更详细地了解事件，这可以帮助调查人员确定事件的严重程度，以及是否构成了需要正式响应的事件。这个流程可减轻监控和调查团队的负担。

 **常见反模式：**
+  除非职责分离要求另有规定，否则由不同团队的人员调查不同系统生成的调查发现和警报。  
+  企业将所有安全调查发现和警报数据汇集到标准位置，但需要调查人员手动进行关联和扩充。
+  您完全依靠威胁检测系统的情报来报告调查发现并确定严重程度。

 **建立此最佳实践的好处：**自动关联和扩充警报有助于减少调查人员的总体认知负荷和数据准备人工工作。这种做法可以缩短确定事件是否表示出现事故并启动正式响应所需的时间。其它背景信息还可以帮助您准确评测事件的真实严重性，因为其严重性可能会高于或低于任何警报所暗示的严重性。

 **在未建立这种最佳实践的情况下暴露的风险等级：**低  

## 实施指导
<a name="implementation-guidance"></a>

 安全警报可能来自 AWS 中的许多不同来源，包括：
+  [Amazon GuardDuty](https://aws.amazon.com/guardduty/)、[AWS Security Hub CSPM](https://aws.amazon.com/security-hub/)、[Amazon Macie](https://aws.amazon.com/macie/)、[Amazon Inspector](https://aws.amazon.com/inspector/)、[AWS Config](https://aws.amazon.com/config/)、[AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 和[网络访问分析器](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html)等服务 
+  来自对 AWS 服务、基础设施和应用程序日志的自动分析的警报，例如来自 [Amazon OpenSearch Service 的安全分析](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/security-analytics.html)。
+  响应 [Amazon CloudWatch](https://aws.amazon.com/cloudwatch)、[Amazon EventBridge](https://aws.amazon.com/eventbridge/) 或 [AWS Budgets](https://aws.amazon.com/aws-cost-management/aws-budgets/) 等来源中账单活动变化的警报。
+  第三方来源，例如来自 AWS Partner Network 的威胁情报源和[安全合作伙伴解决方案](https://aws.amazon.com/security/partner-solutions/) 
+  [AWS 信任与安全团队](https://repost.aws/knowledge-center/aws-abuse-report)或其它来源（例如客户或内部员工）发起的联系事宜。
+  使用 [Threat Technique Catalog by AWS (TTC)](https://aws.amazon.com/blogs/security/aws-cirt-announces-the-launch-of-the-threat-technique-catalog-for-aws/)，通过入侵指标（IoC）识别来协助识别和关联威胁行为者的行为。TTC 是 MITRE ATT&CK 框架的扩展，对所有已知和观测到的针对 AWS 资源的威胁行为者行为和技术进行了分类。

 警报的最基本形式中包含有关谁（*主体*或*身份*）对什么（受影响的*资源*）做了哪些事*（**操作*）的信息。对于每个这些来源，确定是否有办法可以为这些身份、操作和资源跨标识符创建映射，以此作为执行关联的基础。要想做到这一点，可以将警报来源与安全信息和事件管理（SIEM，Security Information and Event Management）工具集成在一起来为您执行自动关联，或者构建自己的数据管道和数据处理，也可将两种方法结合使用。

 [Amazon Detective](https://aws.amazon.com/detective) 就是一个可以为您执行关联的服务示例。Detective 从各种 AWS 来源和第三方来源持续摄取警报，并使用不同形式的情报来描绘出这些关系的可视化图表，以协助进行调查。

 虽然警报的初始严重程度可以用于协助排列优先顺序，但发生警报的具体环境决定了真正的严重程度。例如，[Amazon GuardDuty](https://aws.amazon.com/guardduty/) 可能会发出警报，指出您工作负载中的某个 Amazon EC2 实例正在查询意外的域名。GuardDuty 可能会自行为此警报指定低严重程度。但是，通过自动关联发生警报时间前后的其它活动，可能会发现通过同一个身份部署了数百个 EC2 实例，这会增加总体运营成本。在这种情况下，这种相关的事件上下文将需要一个新的安全警报，且严重程度可能会被调整为高，这将加快进一步的行动。

### 实施步骤
<a name="implementation-steps"></a>

1.  确定安全警报信息的来源。了解来自这些系统的警报所代表的身份、操作和资源，以便确定可能的关联性。

1.  建立一种机制来收集源自不同来源的警报。对于此目的，可以考虑使用 Security Hub CSPM、EventBridge 和 CloudWatch 等服务。

1.  确定用于数据关联和扩充的来源。示例来源包括 [AWS CloudTrail](https://aws.amazon.com/cloudtrail/)、[VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)、[Route 53 Resolver 日志](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html)以及基础设施和应用程序日志。这些日志中的任何一个或所有日志都可以通过与 [Amazon Security Lake](https://aws.amazon.com/security-lake/) 的单一集成来使用。

1.  将警报与您的数据关联和扩充来源集成，创建更详细的安全事件背景信息并确定严重程度。

   1.  Amazon Detective、SIEM 工具或其它第三方解决方案可以自动执行一定级别的摄取、关联和扩展。

   1.  您也可以使用 AWS 服务来构建自己的服务。例如，您可以调用一个 AWS Lambda 函数来对 AWS CloudTrail 或 Amazon Security Lake 运行 Amazon Athena 查询，并将结果发布到 EventBridge。

## 资源
<a name="resources"></a>

 **相关最佳实践：**
+  [SEC10-BP03 准备取证能力](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_prepare_forensic.html) 
+  [OPS08-BP04 创建可操作的警报](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_workload_observability_create_alerts.html) 
+  [REL06-BP03 发送通知（实时处理和报警）](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_monitor_aws_resources_notification_monitor.html) 

 **相关文档：**
+  [AWS《Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html)》 

 **相关示例：**
+  [How to enrich AWS Security Hub CSPM findings with account metadata](https://aws.amazon.com/blogs/security/how-to-enrich-aws-security-hub-findings-with-account-metadata/) 

 **相关工具：**
+  [Amazon Detective](https://aws.amazon.com/detective/) 
+  [Amazon EventBridge](https://aws.amazon.com/eventbridge/) 
+  [AWS Lambda](https://aws.amazon.com/lambda/) 
+  [Amazon Athena](https://aws.amazon.com/athena/)