亚马逊AWS官方博客

Amazon Detective 推出了新功能以加速和改善您的云安全调查

今天,Amazon Detective 推出了四项新功能,以帮助您节省时间和加强安全操作。

首先,适用于 IAM 的 Detective 调查可帮助安全分析师调查 AWS Identity and Access Management(IAM)对象(例如用户和角色)的危害迹象(IOC),以确定是否可能涉及 MITRE ATT&CK 框架中的已知策略。可以在 AWS 管理控制台的“Detective”部分或者通过一个新的 API 执行这些自动调查,以自动执行分析或事件响应或者将这些调查结果发送给其他系统,例如 AWS Security Hub 或您的 SIEM

其次,Detective 发现小组摘要利用生成式人工智能(AI)来丰富自己的调查。它会自动分析发现小组的调查结果,并以自然语言提供洞察以加快安全调查速度。它通过分析发现小组的调查结果提供通俗易懂的标题,其中包含相关的摘要洞察,例如描述引发事件的活动及其影响(如果有)。通过分析发现小组从多个 AWS 数据来源取得的调查结果,发现小组摘要将这项繁重工作化繁为简,因此能够更轻松、更快速地调查异常活动或可疑活动。

除了我在本文中介绍的这两项新功能以外,Detective 还推出了另外两项功能(本文未予说明):

  • Detective 现在支持对 Amazon GuardDuty ECS 运行时监控功能检测到的威胁执行安全调查。
  • Detective 现已与 Amazon Security Lake 集成,使安全分析师能够查询和检索 Security Lake 中存储的日志。

Amazon Detective 可以更轻松地分析、调查和快速识别安全调查结果或可疑活动的根本原因。Detective 利用机器学习(ML)、统计分析和图论帮助您可视化和执行更快速、更高效的安全调查。Detective 自动从 AWS CloudTrail 日志、Amazon Virtual Private Cloud(Amazon VPC)流日志Amazon GuardDuty 检测结果、Amazon Elastic Kubernetes Service(Amazon EKS)审计日志和 AWS 安全调查结果等来源收集日志数据和事件。Detective 可保留长达一年的汇总数据,以供分析和调查。

云安全专业人员经常会发现,威胁追踪和事件调查会耗费大量的资源和时间。他们必须手动收集和分析来自各种来源的数据,以识别与 IAM 相关的潜在威胁。云权限和凭证是动态变化的,因此 IAM 调查尤其具有挑战性。分析师需要整理的数据来自于可能分散在多个位置的不同系统,包括审计日志、授权报告和 CloudTrail 事件。云权限通常是按需授予或通过自动化脚本授予的,这样就导致难以跟踪授权变更。重建活动时间表和识别不规则授权可能需要数小时甚至几天时间,具体情况视复杂程度而定。对遗留系统的可见性有限和不完整的日志导致 IAM 调查变得更加复杂,因此很难明确了解未经授权的访问。

适用于 IAM 的 Detective 调查会对调查结果进行分类,并只显示最关键的可疑问题,以使安全分析师能够专注于高级别调查。它利用机器学习和威胁情报自动分析 AWS 环境中的资源,以识别潜在的危害迹象或可疑活动。这样就使分析师能够识别模式并了解哪些资源受到了安全事件的影响,因此提供了一种主动识别和缓解威胁的方法。

并非只能在控制台中执行这些调查;还可以使用新推出的 StartInvestigation API 自动执行修复工作流或者收集有关所涉及的全部 IP 或受到危害的 AWS 资源的信息。还可以使用此 API 将数据提供给其他系统,以便为安全状况构建一个综合视图。

发现小组摘要将评估环境中的安全事件之间的关系,并以自然语言提供洞察,以便将相关威胁、受到危害的资源和恶意行为联系起来。本文为安全分析师提供了安全事件的全面概览,而不仅仅是个别服务报告。通过对来自多个来源的数据进行分组和情境化,发现小组摘要可以识别在分离洞察时可能被忽视的威胁。这种方法提高了调查和响应的速度和效率。安全分析师可以利用发现小组摘要全面了解安全事件及其相互关系,从而帮助他们为遏制和修复措施做出明智的决策。

我们来了解一下这两项功能的实际应用
在此演示中,我将首先介绍控制台“Detective”部分中的适用于 IAM 的 Detective 调查。Detective 控制面板显示了已完成的调查数量以及参与可疑活动的 IAM 角色和用户的数量。

Detective 自动调查 – 控制面板

从那里,我要深入了解调查列表。

Detective 自动调查 – 列表

我选择了一项具体的调查,以了解详细信息。首先是一份摘要。

Detective 自动调查 – 控制面板

我向下滚动页面,以查看涉及了哪些 IP 地址以及哪些类型的活动。此示例展示了一个实际上不可能性发生的情况:在很短的时间内,从澳大利亚和日本的两个不同的地方使用了同一个 IP。

Detective 自动调查 – IP 地址

在我看来,此页面最有趣的部分是与策略、技术和程序(TTP)之间的映射。所有 TTP 都根据它们的严重程度进行分类。控制台显示了采用的技术和采取的措施。当选择一个特定的 TTP 时,我可以在右侧的窗格中看到详细信息。在此示例中,可疑的 IP 地址曾经 2000 多次试图更改 IAM 角色的可信策略,但都未得逞。

Detective 自动调查 – TTP

最后,我导航到迹象选项卡,以查看迹象列表。

Detective 自动调查 – 迹象

另一方面,发现小组下方提供了发现小组摘要。我选择了一个发现小组,以接收以自然语言编写的调查结果和相关风险说明。

Detective 生成的 AI 调查结果

定价和可用性
这两项新功能现在可供所有 AWS 客户使用。

适用于 IAM 的 Detective 调查已在所有支持 Detective 服务的 AWS 区域推出。发现小组摘要已在五个 AWS 区域推出:美国东部(弗吉尼亚州北部)、美国西部(俄勒冈州)、亚太地区(新加坡、东京)和欧洲地区(法兰克福)。

了解 Amazon Detective 的所有详细信息并立即开始使用

– seb