Day10: Detection on AWS

接下来我们将进入到五大面向的第二个部分:侦测。

侦测帮你找出资源的错误配置以及异常的行为，这些找到的结果常常会被用於流程订定、修复以及资安稽核，并根据过往情形找出规则设定自动通知。侦测又分为两个部分:

1.侦测到资源被异常启用或配置
你可以先透过Iac(Infrastructure as code)的方法，如:透过CloudFormation，方式写出一个stack template去进行AWS资源的布建，在搭配AWS Config去监控资源组态，如果资源有额外的变动，你可以从AWS Config发出的告警找出哪里有异常资源被启用，或是透过CloudTrail的log来看帐户的API调用。

2.侦测异常行为
你可以透过启用像是Amazon GuardDuty等威胁侦测服务来监控帐户的异常流量存取，例如:CloudTrail 、VPC Flow logs、DNS logs。如果需要自动修复，你可以使用CloudWatch event触发Lambda来进行。

若侦测到异常这里有两种方法能够修复问题:配置及调查

1.配置
最基本的做法就是在你的帐户层面建立检查机制，这个机制就是要记录和检测你帐户的所有活动，如:CloudTrail、Config、Security Hub等，并且可以透过自动化的机制或是透过第三方资安产品来进行修复。

2.调查
每一种调查及检测机制应该要写成手册，例如当Inspector找出了资安漏洞，手册上应明确寄载该如何处理此漏洞的流程。

文字简介先到这边，下篇开始我们将进到AWS 侦测相关服务的介绍以及布建。