详细内容或原文请订阅后点击阅览
AWS 云中的威胁搜寻功能
我们刚刚读完 AWS 白皮书,该白皮书介绍了如何在云环境中构建威胁搜寻功能,它清晰地描绘了在开始此过程时您的安全成熟度应该达到什么水平。
来源:SecureWorld News _云安全我们刚刚读完 AWS 白皮书,该白皮书介绍了如何在云环境中构建威胁搜寻功能,它清晰地描绘了在开始此过程时您的安全成熟度应达到的水平。
“基础设施已构建,修补计划已到位,防火墙已锁定并监控,资产已管理,SOC 团队正在响应安全传感器发出的警报。实施基本安全措施后,威胁搜寻团队需要开始评估基础设施是否存在任何威胁和未检测到的漏洞。”
每个基础设施都具有移动部件、多个操作系统、网络工具和自定义应用程序。安全团队需要知道要寻找哪些威胁、如何确定它们的优先级以及从哪里开始搜寻。
然后,您添加在云环境中执行此操作的细微差别。
在云中接近威胁搜寻
在云中接近威胁搜寻那么您应该如何在云中接近威胁搜寻?首先,创建一个前提或假设:
“威胁搜寻始于这样的前提:‘我们的主要 Web 应用程序面向互联网,可能成为 Web 攻击的受害者。让我们看看如何确定这一点。’或者,一个弱指标引发怀疑:‘连续多次失败的 SQL 注入攻击。Web 服务器性能较慢。让我们寻找潜在的入侵。’两者之间有多种情况,都可以视为威胁搜寻。”
接下来,创建威胁搜寻循环:
AWS CloudTrail 是一种云原生服务,可收集并允许分析 Amazon Web Services API 请求。
白皮书随后介绍了一系列围绕云中的漏洞后检测的用例,丰富了分析数据,并创建了基于云的 SIEM 和 SOAR 环境。
用例:云中的威胁搜寻
ListBuckets资源: