# SEC04-BP03 建立安全提醒的相互關聯並增添其豐富性
<a name="sec_detect_investigate_events_security_alerts"></a>

 非預期的活動可能會導致不同來源產生多個安全提醒，因此需要進一步在建立這些來源之間的相互關聯並增添豐富性，才能了解完整的內容。實作安全提醒的自動化相互關聯並增添其豐富性，有助於更準確地識別和回應事件。

 **預期成果：**當活動在您的工作負載和環境內產生不同的提醒時，自動化機制會建立資料的相互關聯，並使用其他資訊增添該資料的豐富性。此預先處理程序呈現了對事件更詳細的了解，進而協助調查人員判斷事件的關鍵性，以及它是否構成需要正式回應的事件。此程序可減輕監控和調查團隊的負擔。

 **常見的反模式：**
+  不同組合的人員對不同系統產生的調查結果和提醒進行調查 (除非是在因職責區分需求而另有規定的情況下)。  
+  您的組織將所有安全調查結果和提醒資料收集到標準位置，但要求調查人員手動建立相互關聯和添加資訊。
+  您只仰賴威脅偵測系統的情報來回報調查結果和確定關鍵性。

 **建立此最佳實務的優勢：**自動建立提醒的相互關聯和增添其豐富性，有助於減輕調查人員的整體認知負擔和手動準備資料的負荷。這種做法可縮短判斷事件是否為「事件」及正式回應所需的時間。額外的內容還可協助您準確評估事件的嚴重性，因為實際的嚴重性可能高於或低於任何提醒表明的嚴重性。

 **未建立此最佳實務時的曝險等級：**低  

## 實作指引
<a name="implementation-guidance"></a>

 安全提醒可能來自 AWS 內多個不同的來源，包括：
+  [Amazon GuardDuty](https://aws.amazon.com/guardduty/)、[AWS Security Hub CSPM](https://aws.amazon.com/security-hub/)、[Amazon Macie](https://aws.amazon.com/macie/)、[Amazon Inspector](https://aws.amazon.com/inspector/)、[AWS Config](https://aws.amazon.com/config/)、[AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 和[網路存取分析器](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html)等服務 
+  來自 AWS 服務、基礎設施和應用程式日誌的自動化分析的提醒，例如來自 [Security Analytics for Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/security-analytics.html)。
+  回應帳單活動變更的警示，來自下列來源：[Amazon CloudWatch](https://aws.amazon.com/cloudwatch)、[Amazon EventBridge](https://aws.amazon.com/eventbridge/) 或 [AWS Budgets](https://aws.amazon.com/aws-cost-management/aws-budgets/)。
+  第三方來源，例如來自 AWS Partner Network 的威脅情報摘要和[安全合作夥伴解決方案](https://aws.amazon.com/security/partner-solutions/) 
+  [來自 AWS 信任與安全或其他來源的聯絡資訊](https://repost.aws/knowledge-center/aws-abuse-report)，例如客戶或內部員工。
+  使用 [Threat Technique Catalog by AWS(TTC)](https://aws.amazon.com/blogs/security/aws-cirt-announces-the-launch-of-the-threat-technique-catalog-for-aws/)，透過入侵指標 (IoC)識別法幫助識別和關聯威脅行為者的行為。TTC 是 MITRE ATT&CK 架構的延伸，可針對 AWS 資源的所有已知和觀察到的威脅行為和技術進行分類。

 提醒基本上包含有關誰 (*主體*或*身分*)、做了什麼 *(*採取的*動作*)，以及對象是誰 (受影響的*資源*) 的資訊。對於其中每個來源，請確定是否有能夠在這些身分、動作和資源的識別符之間建立映射的方式，以作為建立相互關聯的基礎。可能的形式包括整合提醒來源與安全資訊和事件管理 (SIEM) 工具，以便為您自動建立相互關聯、建置您自己的資料管道和處理流程，或結合上述兩者。

 可為您建立相互關聯的服務範例為 [Amazon Detective](https://aws.amazon.com/detective)。偵測會持續接收來自各種 AWS 和第三方來源的提醒，並使用不同形式的情報來構成視覺化圖形以呈現其關係，進而協助調查。

 雖然提醒的初始關鍵性可協助判斷優先順序，但提醒發生的環境則決定了其真實的關鍵性。舉例來說，[Amazon GuardDuty](https://aws.amazon.com/guardduty/) 可以針對您工作負載內的 Amazon EC2 執行個體正在查詢非預期的網域名稱而發出警示。GuardDuty 可能會自行對此提醒指派「低關鍵性」標簽。然而，如果在提醒發出之時與其他活動自動建立相互關聯，您就可能會發現有數百個 EC2 執行個體是由相同身分部署的，這種情況會增加整體營運成本。在此事件中，此相互關聯事件內容會發布新的安全提醒，且關鍵性可能會調整為高，進而加速採取進一步行動。

### 實作步驟
<a name="implementation-steps"></a>

1.  識別安全提醒資訊的來源。了解來自這些系統的提醒如何表示身分、動作和資源，以確定可能的相互關聯。

1.  建立一個機制來擷取不同來源的提醒。考慮用於這類用途的服務，例如 Security Hub CSPM、EventBridge 和 CloudWatch。

1.  識別資料相互關聯和增添豐富性的來源。範例來源包括 [AWS CloudTrail](https://aws.amazon.com/cloudtrail/)、[VPC 流程日誌](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)、[Route 53 Resolver 日誌](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html)，以及基礎設施和應用程式日誌。這些日誌的任一種或全部都可能透過與 [Amazon Security Lake](https://aws.amazon.com/security-lake/) 的單一整合來取用。

1.  將提醒與資料相互關聯和增添豐富性的來源整合在一起，以建立更詳細的安全事件內容並構成關鍵性。

   1.  Amazon Detective、SIEM 工具或其他第三方解決方案可以自動執行特定層級的擷取、相互關聯和豐富性。

   1.  您也可以使用 AWS 服務來自行建置。例如，您可以調用 AWS Lambda 函數來對 AWS CloudTrail 或 Amazon Security Lake 執行 Amazon Athena 查詢，並將結果發佈至 EventBridge。

## 資源
<a name="resources"></a>

 **相關的最佳實務：**
+  [SEC10-BP03 準備鑑識功能](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_prepare_forensic.html) 
+  [OPS08-BP04 建立可付諸行動的提醒](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_workload_observability_create_alerts.html) 
+  [REL06-BP03 傳送通知 (即時處理和警示)](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_monitor_aws_resources_notification_monitor.html) 

 **相關文件：**
+  [AWS 安全事件回應指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) 

 **相關範例：**
+  [如何使用帳戶中繼資料增添 AWS Security Hub CSPM 調查結果的豐富性](https://aws.amazon.com/blogs/security/how-to-enrich-aws-security-hub-findings-with-account-metadata/) 

 **相關工具：**
+  [Amazon Detective](https://aws.amazon.com/detective/) 
+  [Amazon EventBridge](https://aws.amazon.com/eventbridge/) () 
+  [AWS Lambda](https://aws.amazon.com/lambda/) 
+  [Amazon Athena](https://aws.amazon.com/athena/)