Sicherheitsempfehlungen für die Reaktion auf Vorfälle - AWS Präskriptive Leitlinien

Plan zur Reaktion auf Vorfälle Runbooks und Playbooks Ereignisgesteuerte Automatisierung Support Prozess Benachrichtigungen für Sicherheitsereignisse

Sicherheitsempfehlungen für die Reaktion auf Vorfälle

Wenn in Ihrem Unternehmen ein Sicherheitsereignis eintritt, müssen Ihre Benutzer darauf vorbereitet sein, darauf zu reagieren. Alle Benutzer sollten ein grundlegendes Verständnis der Sicherheitsreaktionsprozesse Ihres Unternehmens haben. Planung, Schulung und Erfahrung sind entscheidend für ein erfolgreiches Incident-Response-Programm. Idealerweise bereiten Sie Ihr Unternehmen darauf vor, dass ein potenzielles Sicherheitsereignis eintritt. Das AWS Well-Architected Framework identifiziert drei Grundlagen, die für ein erfolgreiches Incident-Response-Programm in der Cloud erforderlich sind: Vorbereitung, Betrieb und Aktivitäten nach dem Vorfall. Weitere Informationen finden Sie unter Aspekte der Reaktion auf AWS Vorfälle im AWS Well-Architected Framework.

Mit Ausnahme von Sicherheitskontrollen, die Sie über Ereignisse informieren oder automatisch darauf reagieren, gibt es nur begrenzte Kontrollen, die Sie für die Reaktion auf Vorfälle einrichten können. Eine solide Reaktion auf Vorfälle wird in erster Linie durch die Pläne, Prozesse, Runbooks, Playbooks und Schulungsprogramme geschaffen, die Sie in Ihrem Unternehmen verwenden. Sie können die Kontrollen und Empfehlungen in diesem Abschnitt verwenden, um bewährte Verfahren für Ihr Incident-Response-Programm umzusetzen. Weitere Informationen zu bewährten Methoden für die Reaktion auf Vorfälle und Anleitungen zur Implementierung finden Sie unter Reaktion auf Vorfälle im AWS Well-Architected Framework.

Empfehlungen in diesem Abschnitt:

Definieren Sie einen Plan zur Reaktion auf Vorfälle
Erstellen und verwalten Sie Runbooks und Playbooks zur Reaktion auf Vorfälle
Implementieren Sie eine ereignisgesteuerte Sicherheitsautomatisierung
Dokumentieren Sie, wie Betriebsteams mit folgenden Themen umgehen sollten Support
Konfigurieren Sie Warnmeldungen für Sicherheitsereignisse

Definieren Sie einen Plan zur Reaktion auf Vorfälle

Erstellen Sie einen klar definierten Plan zur Reaktion auf Vorfälle (IRP). Der Incident-Response-Plan soll die Grundlage für Ihr Incident-Response-Programm bilden. Dieser Plan muss an die Bedürfnisse jedes Unternehmens angepasst werden.

Weitere Informationen finden Sie in den folgenden Ressourcen:

Entwickeln und testen Sie einen Plan zur Reaktion auf Vorfälle im AWS Security Incident Response Guide
Entwickeln Sie Incident-Management-Pläne im AWS Well-Architected Framework
Identifizieren Sie wichtige Mitarbeiter und externe Ressourcen im AWS Well-Architected Framework

Erstellen und verwalten Sie Runbooks und Playbooks zur Reaktion auf Vorfälle

Ein wichtiger Teil der Vorbereitung von Prozessen zur Reaktion auf Vorfälle ist die Entwicklung von Playbooks. Playbooks zur Reaktion auf Vorfälle enthalten eine Reihe von empfohlenen Schritten, die Benutzer befolgen müssen, wenn ein Sicherheitsereignis eintritt. Eine klare Struktur und klare Schritte vereinfachen die Reaktion und verringern die Wahrscheinlichkeit menschlicher Fehler.

Weitere Informationen finden Sie in den folgenden Ressourcen:

Wofür sollten Playbooks im AWS Security Incident Response Guide erstellt werden
AWS Beispiele für Playbooks zur Reaktion auf Vorfälle auf GitHub
Entwickeln und testen Sie Playbooks zur Reaktion auf Sicherheitsvorfälle im AWS Well-Architected Framework

Implementieren Sie eine ereignisgesteuerte Sicherheitsautomatisierung

Die Automatisierung von Sicherheitsreaktionen ist eine vordefinierte und programmierte Aktion, die darauf ausgelegt ist, automatisch auf ein Sicherheitsereignis zu reagieren oder es zu beheben. Diese Automatisierungen dienen als detektive oder reaktionsschnelle Sicherheitskontrollen, die Sie bei der Implementierung bewährter AWS Sicherheitsmethoden unterstützen. Beispiele für automatisierte Antwortaktionen sind das Ändern einer VPC-Sicherheitsgruppe, das Patchen einer EC2 Amazon-Instance oder das Rotieren von Anmeldeinformationen.

Viele AWS-Services unterstützen automatisierte Antworten. Sie können beispielsweise einen CloudWatch Amazon-Alarm für bestimmte Messwerte konfigurieren, und der Alarm kann eine Aktion einleiten, wenn der Alarm seinen Status ändert. Über Amazon EventBridge können Sie auch automatische Reaktionen und Abhilfemaßnahmen für Ergebnisse in AWS Security Hub Amazon Inspector konfigurieren.

Weitere Informationen finden Sie in den folgenden Ressourcen:

Automatische Behebung von Sicherheitsproblemen bei Amazon Inspector im AWS Sicherheitsblog
Erste Schritte mit der Automatisierung von Sicherheitsreaktionen finden Sie AWS im AWS Sicherheits-Blog
Automatisierte Sicherheitsabwehr ist AWS in der AWS Solutions Library verfügbar
Verwendung von CloudWatch Amazon-Alarmen in der CloudWatch Dokumentation
Automatisierte Reaktion und Problembehebung in der Security Hub Hub-Dokumentation
Erstellen von benutzerdefinierten Antworten auf Ergebnisse von Amazon Inspector mit Amazon EventBridge in der Amazon Inspector Inspector-Dokumentation

Dokumentieren Sie, wie Betriebsteams mit folgenden Themen umgehen sollten Support

Für Ihren AWS-Konto können Sie einen Hauptkontakt und drei alternative Ansprechpartner definieren. Wir empfehlen, dass Sie für jeden AWS-Konto oder für Ihr Unternehmen einen Sicherheitskontakt angeben.

AWS -Support bietet eine Reihe von Plänen, die den Zugriff auf Tools und Fachwissen ermöglichen, die den Erfolg und die Funktionsfähigkeit von AWS Lösungen unterstützen können. Überlegen Sie auch, ob Ihr Unternehmen von einer Nutzung AWS Managed Services statt eines Support Plans profitieren würde. AWS Managed Services (AMS) unterstützt Sie dabei, effizienter und sicherer zu arbeiten, indem es eine kontinuierliche Verwaltung Ihrer AWS Infrastruktur bietet, einschließlich Überwachung, Vorfallmanagement, Sicherheitsberatung, Patch-Support und Backup für AWS Workloads. Das AMS-Supportmodell eignet sich möglicherweise besser für Unternehmen, deren Cloud-Betriebsteams nur über begrenzte Ressourcen verfügen. Wir empfehlen Ihnen, diese Modelle und Pläne miteinander zu vergleichen, um die für Ihr Unternehmen am besten geeignete Lösung und den Cloud-Reifegrad auszuwählen.

Weitere Informationen finden Sie in den folgenden Ressourcen:

Erfahren Sie AWS mehr über Reaktionsteams und Support im AWS Security Incident Response Guide
Aktualisieren Sie die alternativen Ansprechpartner für Sie AWS-Konto im AWS Account Management Guide
Vergleichen Sie die Support Tarife auf der AWS Website
Strategie AWS Managed Services zur Erreichung der angestrebten Geschäftsergebnisse in AWS Prescriptive Guidance

Konfigurieren Sie Warnmeldungen für Sicherheitsereignisse

Die Erkennung einer Abnormalität ist ebenso wichtig wie die Maßnahmen zur Bekämpfung dieser Abnormalität. Eine Warnung ist der Hauptbestandteil der Erkennungsphase. Es generiert eine Benachrichtigung, um den Prozess zur Reaktion auf Vorfälle auf der Grundlage der AWS-Konto gewünschten Aktivität einzuleiten. Stellen Sie sicher, dass die Benachrichtigungen relevante Informationen enthalten, damit das Team Maßnahmen ergreifen kann.

Weitere Informationen finden Sie in den folgenden Ressourcen:

Erkennung im Leitfaden zur Reaktion auf AWS Sicherheitsvorfälle
Bereiten Sie forensische Funktionen im Well-Architected Framework vor AWS
Implementieren Sie umsetzbare Sicherheitsereignisse im AWS Well-Architected Framework

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Datenkontrollen

Nächste Schritte