本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 偵測性控制
<a name="detective-controls"></a>

*偵測性控制*是安全控制，旨在事件發生後偵測、記錄和提醒。偵測性控制是控管架構的基礎部分。這些防護機制是第二道防線，通知您繞過預防性控制的安全問題。

例如，您可以套用偵測性控制來偵測 Amazon Simple Storage Service (Amazon S3) 儲存貯體是否可公開存取並通知您。雖然您可能已採取預防性控制，在帳戶層級停用對 S3 儲存貯體的公開存取，然後停用透過 SCP 的存取，但威脅行為者可以透過以管理使用者身分登入來規避這些預防性控制。在這些情況下，偵測性控制可以提醒您組態錯誤和潛在威脅。

**Topics**
+ [目標](#detective-objectives)
+ [流程](#detective-process)
+ [使用案例](#detective-use-cases)
+ [技術](#detective-technology)
+ [業務成果](#detective-business-outcomes)

## 目標
<a name="detective-objectives"></a>
+ 偵測性控制可協助您改進安全操作程序和品質程序。
+ 偵測性控制可協助您履行法規、法律或合規義務。
+ 偵測性控制為安全營運團隊提供了回應安全問題的可見性，包括繞過預防性控制的進階威脅。
+ 偵測性控制可以協助您識別對安全問題和潛在威脅的適當回應。

## 流程
<a name="detective-process"></a>

您可以分兩個階段實作偵測性控制。首先，您將系統設定為將事件和資源狀態記錄至集中位置，例如 Amazon CloudWatch Logs。集中式日誌記錄到位後，您可以分析這些日誌以偵測可能表示威脅的異常狀況。每個分析都是一個映射回您的原始需求和政策的控制。例如，您可以建立偵測性控制，以在日誌中搜尋特定模式，並在符合時產生提醒。安全團隊使用偵測性控制來提高對系統可能面臨的威脅和風險的整體可見性。

## 使用案例
<a name="detective-use-cases"></a>

### 偵測可疑行為
<a name="detective-use-case1"></a>

偵測性控制有助於識別任何異常活動，例如洩露特權使用者憑證或者存取或外洩敏感資料。這些控制是重要的反應因素，可以協助您的公司識別和了解異常活動的範圍。

### 偵測詐欺
<a name="detective-use-case2"></a>

這些控制有助於偵測和識別公司內部的威脅，例如規避政策和執行未經授權的交易的使用者。

### 合規
<a name="detective-use-case3"></a>

偵測性控制可協助您符合合規要求，例如支付卡產業資料安全標準 (PCI DSS)，並有助於防止身分盜用。這些控制可以協助您探索和保護受法規合規約束的敏感資訊，例如個人身分識別資訊。

### 自動化分析
<a name="detective-use-case4"></a>

偵測性控制可以自動分析日誌以偵測異常狀況和未經授權活動的其他指標。

您可以自動分析來自不同來源的日誌 (例如 AWS CloudTrail 日誌、[VPC 流程日誌](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)和網域名稱系統 (DNS) 日誌)，以發現潛在惡意活動的跡象。為了協助組織，請將多個 的安全提醒或調查結果彙總 AWS 服務 到集中位置。

## 技術
<a name="detective-technology"></a>

常見的偵測性控制是實作一或多個監控服務，這些服務可以分析資料來源 (例如日誌) 以識別安全威脅。在 中 AWS 雲端，您可以分析 AWS CloudTrail 日誌、Amazon S3 存取日誌和 Amazon Virtual Private Cloud 流量日誌等來源，以協助偵測異常活動。 AWS Amazon GuardDuty AWS Security Hub CSPM、Amazon Detective 和 Amazon Macie 等安全服務具有內建的監控功能。

### GuardDuty 和 Security Hub CSPM
<a name="detective-technology1"></a>

[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 使用威脅情報、機器學習和異常偵測技術來持續監控您的日誌來源是否有惡意或未經授權的活動。儀表板可讓您深入了解 AWS 帳戶 和 工作負載的即時運作狀態。您可以將 GuardDuty 與 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 整合，後者是一種雲端安全狀態管理服務，可檢查是否遵守最佳實務、彙總提醒並啟用自動修復。GuardDuty 會將調查結果傳送至 Security Hub CSPM，做為集中資訊的方式。您可以進一步整合 Security Hub CSPM 與安全資訊和事件管理 (SIEM) 解決方案，以擴展組織的監控和提醒功能。

### Macie
<a name="detective-technology2"></a>

[Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) 是一種全受管資料安全和資料隱私權服務，該服務使用機器學習和模式比對來協助探索和保護 AWS中的敏感資料。以下是 Macie 中提供的一些偵測性控制和功能：
+ Macie 會檢查儲存貯體庫存和儲存在 Amazon S3 中的所有物件。此資訊可以在單一儀表板檢視中呈現，提供可見性並協助您評估儲存貯體安全性。
+ 為了探索敏感資料，Macie 使用內建的受管資料識別符，並且還支援自訂資料識別符。
+ Macie 原生與其他 AWS 服務 和 工具整合。例如，Macie 將調查結果發出為 Amazon EventBridge 事件，這些事件會自動傳送至 Security Hub CSPM。

以下是在 Macie 中設定偵測性控制的最佳實務：
+ 在所有帳戶上啟用 Macie。透過使用委派的管理功能，使用 AWS Organizations在多個帳戶上啟用 Macie。
+ 使用 Macie 評估您帳戶中 S3 儲存貯體的安全狀態。這有助於透過提供資料位置和存取的可見性來防止資料遺失。如需詳細資訊，請參閱[分析您的 Amazon S3 安全狀態](https://docs.aws.amazon.com/macie/latest/user/monitoring-s3-inventory.html) (Macie 文件)。
+ 透過執行和排程自動處理和資料探索作業，自動探索 S3 儲存貯體中的敏感資料。這會定期檢查 S3 儲存貯體中是否有敏感資料。

### AWS Config
<a name="detective-technology3"></a>

[AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) 稽核並記錄 AWS 資源的合規性。 會 AWS Config 探索現有 AWS 資源並產生完整庫存，以及每個資源的組態詳細資訊。如果存在任何組態變更，則會記錄這些變更並提供通知。這可以協助您偵測並復原未經授權的基礎設施變更。您可以使用 AWS 受管規則，也可以建立自訂規則。

以下是在 AWS Config中設定偵測性控制的最佳實務：
+  AWS Config 為組織中的每個成員帳戶以及包含您要保護之資源 AWS 區域 的每個成員帳戶啟用 。
+ 針對任何組態變更，設定 Amazon Simple Notification Service (Amazon SNS) 提醒。
+ 將組態資料儲存在 S3 儲存貯體中，並使用 Amazon Athena 進行分析。
+ 使用[自動化](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) ( AWS Systems Manager的一項功能) 來自動修復不合規資源。
+ 使用 EventBridge 或 Amazon SNS 設定有關不合規 AWS 資源的通知。

### Trusted Advisor
<a name="detective-technology4"></a>

[AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html) 可以用作偵測性控制的服務。透過一組檢查， Trusted Advisor 識別您可以最佳化基礎設施、改善效能和安全性或降低成本的領域。 Trusted Advisor 會根據您可以遵循的 AWS 最佳實務提供建議，以改善您的服務和資源。商業和企業支援計劃可讓您存取 AWS Well-Architected Framework [支柱](https://docs.aws.amazon.com/wellarchitected/latest/framework/the-pillars-of-the-framework.html)的所有可用檢查。

以下是在 Trusted Advisor中設定偵測性控制的最佳實務：
+ 檢閱檢查層級摘要
+ 針對警告和錯誤狀態實作資源特定的建議。
+  Trusted Advisor 經常檢查以主動檢閱和實作其建議。

### Amazon Inspector
<a name="detective-technology5"></a>

[Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) 是一項自動化漏洞管理服務，在啟用之後，可持續掃描您的工作負載，以尋找任何意外的網路暴露或軟體漏洞。它將調查結果融入風險分數中，可以協助您確定後續步驟，例如修復或確認合規狀態。

以下是在 Amazon Inspector 中設定偵測性控制的最佳實務：
+ 在所有帳戶上啟用 Amazon Inspector，並將其整合到 EventBridge 和 Security Hub CSPM 中，以設定安全漏洞的報告和通知。
+ 根據 Amazon Inspector 風險分數，排定修復和其他動作的優先順序。

## 業務成果
<a name="detective-business-outcomes"></a>

### 減少人工和錯誤
<a name="detective-business-outcome1"></a>

您可以使用基礎設施即程式碼 (IaC) 來實現自動化。自動化部署、監控組態及修復服務和工具可降低手動錯誤的風險，並減少擴展這些偵測性控制所需的時間和精力。自動化有助於制定安全執行手冊，並減少安全分析師的手動操作。定期審核有助於調整自動化工具並持續反覆運算並改進偵測性控制。

### 針對潛在威脅採取適當動作
<a name="detective-business-outcome2"></a>

從日誌和指標中擷取和分析事件對於取得可見性至關重要。這有助於分析師針對安全事件和潛在威脅採取行動，以協助保護您的工作負載。可以快速識別存在的漏洞，有助於分析師採取適當的動作來解決和修復這些漏洞。

### 更好的事件回應和調查處理
<a name="detective-business-outcome3"></a>

自動化偵測性控制工具可以提高偵測、調查和復原的速度。基於定義條件的自動提醒和通知可讓安全分析師適當地調查和回應。這些回應因素可以協助您識別和了解異常活動的範圍。