本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 偵測和分析 **報告事件** 您可以透過 AWS 安全事件應變 入口網站引發安全事件。在安全事件期間不要等待。 AWS 安全事件應變 會使用自動化和手動技術來調查安全事件、分析日誌,以及尋找異常模式。您的合作夥伴關係和對您環境的了解可加速此分析。 **啟用支援的偵測來源** **注意** AWS 安全事件應變 服務成本不包括與受支援偵測來源或使用其他服務相關的用量和其他成本和費用 AWS 。如需成本詳細資訊,請參閱個別功能或服務頁面。 *Amazon GuardDuty* 若要在整個組織中啟用 GuardDuty,請參閱《[Amazon GuardDuty 使用者指南](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html#guardduty_enable-gd)》中的`Setting up GuardDuty`一節。 強烈建議您在所有支援的 中啟用 GuardDuty AWS 區域。這可讓 GuardDuty 產生有關未經授權或異常活動的調查結果,即使在您未主動使用的區域中也是如此。如需詳細資訊,請參閱 [Amazon GuardDuty 區域和端點](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_regions.html) 啟用 GuardDuty 可讓您 AWS 安全事件應變 存取關鍵威脅偵測資料,增強其識別和回應 AWS 環境中潛在安全問題的能力。 *AWS Security Hub CSPM* AWS Security Hub CSPM 可以從數個 AWS 服務和支援的第三方安全解決方案擷取安全調查結果。這些整合可協助 AWS 安全事件應變 監控和調查來自其他偵測工具的問題清單。 若要啟用 Security Hub CSPM 與 Organizations 整合,請參閱 [AWS Security Hub CSPM 使用者指南](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html#securityhub-orgs-setup-overviews)。 有多種方式可在 Security Hub CSPM 上啟用整合。對於第三方產品整合,您可能需要從 購買整合 AWS Marketplace,然後設定整合。整合資訊提供完成這些任務的連結。進一步了解[如何啟用 AWS Security Hub CSPM 整合](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integration-enable.html)。 AWS 安全事件應變 可以監控和調查下列工具與 整合時的調查結果 AWS Security Hub CSPM: + [CrowdStrike – CrowdStrike Falcon](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-crowdstrike-falcon) + [浮水印 – 浮水印](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-lacework) + [Trend Micro – Cloud One](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-trend-micro) 透過啟用這些整合,您可以大幅提升 AWS 安全事件應變監控和調查功能的範圍和有效性。 **偵測** 透過[主動回應](setup-monitoring-and-investigation-workflows.md),從 Amazon GuardDuty 擷取問題清單, AWS Security Hub CSPM 並透過在加入期間部署到帳戶的 Amazon EventBridge 規則 AWS 安全事件應變 擷取問題清單。 AWS 安全事件應變 會自動封存自動分類期間判斷為良性或與預期活動相關聯的 Amazon GuardDuty 調查結果。您可以從問題清單狀態篩選條件中選取已封存,以在 Amazon GuardDuty 主控台中檢視已封存的問題清單。如需詳細資訊,請參閱《Amazon [GuardDuty 使用者指南》中的在 GuardDuty 主控台中檢視產生的調查結果](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_working-with-findings.html)。 *Amazon GuardDuty * AWS 安全事件應變 會自動封存自動分類期間判斷為良性或與預期活動相關聯的 Amazon GuardDuty 調查結果。此封存僅適用於已分類且結果指定為「封存」的調查結果。即使在調查結束之後,作用中調查中的調查結果仍會在 Amazon GuardDuty 主控台中顯示。您可以從問題清單篩選條件中選取已封存,以在 Amazon GuardDuty 主控台中檢視**已封存**的問題清單。如需使用封存問題清單的詳細資訊,請參閱《*Amazon GuardDuty 使用者指南*》中的[使用問題清單](https://docs.aws.amazon.com/guardduty/latest/ug/findings_managing.html)。 AWS Security Hub CSPM 擷取安全調查結果時,系統會更新每個調查結果,並記下自動分類已開始。工作流程狀態會從 NEW 變更為 NOTIFIED,這會從預設問題清單檢視中移除 AWS Security Hub CSPM 問題清單。如果分類判斷問題清單為良性或與預期活動相關聯,系統會將備註新增至問題清單,並將工作流程狀態更新為 SUPPRESSED。 **分析:自動分類** AWS 安全事件應變 會自動分類安全調查結果。分類程序會分析來自多個來源的資料,包括調查結果承載、 AWS 服務中繼資料、 AWS 記錄和監控資料 (例如 AWS CloudTrail 和 VPC 流程日誌)、 AWS 威脅智慧,以及您獲邀提供有關 AWS 和內部部署環境的內容,以判斷偵測到的活動是否代表預期的行為。 如果自動分類判斷偵測到的活動是預期的,則系統不會採取進一步的調查動作。 **分析:事件回應安全調查** AWS 安全事件應變 Engineering 是一個全球、隨時可用的安全專業人員團隊,具備 AWS 和安全事件回應的專業知識。如果自動分類無法判斷活動是否預期, AWS 安全事件應變 則工程會參與執行安全調查。如果事件是從 Security Hub 擷取,則會將備註發佈至相關調查結果,指出 AWS 安全事件應變 工程的調查正在進行中。 AWS 安全事件應變 Engineering 透過分析其他服務中繼資料和威脅情報、檢閱您環境中過去調查結果和調查的洞察,以及套用事件回應專業知識,進行實作安全調查。根據您的遏制偏好設定 (請參閱包含) AWS 安全事件回應工程可能會透過 AWS 安全事件應變 主控台中的安全事件回應案例與組織的事件回應團隊互動,以驗證是否預期偵測到的活動並授權[回應 AWS 產生的案例](https://docs.aws.amazon.com/security-ir/latest/userguide/responding-to-an-aws-generated-case.html)。 作為安全調查的一部分, AWS 安全事件應變 也可以使用 EC2 Triage 從 Amazon Elastic Compute Cloud 執行個體內收集調查資訊。啟用時,此功能可讓 AWS 安全事件應變 回應者在 Amazon EC2 執行個體上執行 AWS Systems Manager Run Command,以收集調查資料、檢查執行中的程序和分析系統狀態,而不需要直接存取執行個體。 EC2 Triage 支援下列作業系統: Linux + Amazon Linux 2、Amazon Linux 2023 + Ubuntu 18.04、20.04、22.04、24.04 + Red Hat Enterprise Linux (RHEL) 7.x、8.x、9.x + CentOS 7.x、8.x + SUSE Linux Enterprise Server (SLES) 12.x、15.x + Debian 10、11、12 Windows + Windows Server 2012 R2 + Windows Server 2016、2019、2022 若要使用 EC2 Triage,您必須將 **Containment with EC2 Triage** CloudFormation 範本部署至您的帳戶。如需詳細資訊,請參閱[使用 CloudFormation StackSets](working-with-stacksets.md)。目標 Amazon EC2 執行個體必須安裝並執行 [SSM Agent](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html),且必須上線並由 管理 AWS Systems Manager。如需設定資訊,請參閱[設定 Amazon EC2 執行個體的 Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html)。 **通訊** AWS 安全事件應變 透過安全事件回應案例與事件回應團隊互動,在安全調查期間通知您。多個 AWS 安全事件應變 工程成員可能支援調查。通訊可能包括:確認或通知安全調查的建立;建立呼叫橋接器;分析成品,例如日誌檔案;確認預期活動的請求;以及共用調查結果。 AWS 安全事件應變 主動與您的事件回應團隊互動時,會在您的 AWS 安全事件應變 成員帳戶中建立案例,將所有組織帳戶的通訊集中在一處。這些案例在其標題中包含「【主動案例】」字首,其會將其識別為由 起始 AWS 安全事件應變。透過主動參與並及時回應這些通訊,您的事件回應團隊可以協助 AWS 安全事件應變 執行下列動作: + 確保快速回應真正的安全事件。 + 了解您的環境和預期行為。 + 隨著時間減少誤報偵測。 的有效性會隨著您的協同合作而 AWS 安全事件應變 改善,並產生更有效的監控和安全 AWS 的環境。 **更新問題清單** AWS 安全事件應變 根據問題清單的來源和分類結果,以不同的方式管理問題清單。 **服務調校** 當您的帳戶服務配額允許時, 會 AWS 安全事件應變 嘗試部署 [Amazon GuardDuty 禁止規則](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html)或[AWS Security Hub CSPM 自動化規則](https://docs.aws.amazon.com/securityhub/latest/userguide/automation-rules.html)。這些規則會抑制符合已知授權活動類型和來源 (例如來源 IP 地址、ASN、身分主體或資源) 的未來調查結果。 AWS Security Hub CSPM 規則會以優先順序 10 部署,因此您可以視需要使用自行定義的規則覆寫這些自動化。 透過這種方式, 會根據您 AWS 環境中的預期行為來 AWS 安全事件應變 調整偵測來源。您的事件回應團隊會收到這些規則集的修改通知,且變更會在請求時復原。