Konzepte und Terminologie - AWS Security Incident Response Benutzerleitfaden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konzepte und Terminologie

Die folgenden Begriffe und Konzepte sind wichtig, um den AWS Security Incident Response Service und seine Funktionsweise zu verstehen.

Umfang: AWS Security Incident Response Entspricht dem Leitfaden 800-61 des National Institute of Standards and Technology (NIST) zur Behandlung von Computersicherheitsvorfällen und bietet einen konsistenten Ansatz für das Management von Sicherheitsereignissen, der sich auf die bewährten Verfahren der Branche bezieht.

Analyse: Die detaillierte Untersuchung und Untersuchung eines Sicherheitsvorfalls, um seinen Umfang, seine Auswirkungen und seine Ursache zu verstehen.

AWS Security Incident Response Serviceportal: Ein Self-Service-Portal, über das Sie Fälle von Sicherheitsvorfällen einleiten und verwalten können. Die kontinuierliche Kommunikation und Berichterstattung wird durch das Ticketsystem, automatisierte Benachrichtigungen und die direkte Zusammenarbeit mit dem Serviceteam erleichtert.

Kommunikation: Der kontinuierliche Dialog und der Informationsaustausch zwischen dem AWS Security Incident Response Team und dem Kunden während des Incident-Response-Prozesses.

Eindämmung, Beseitigung und Wiederherstellung: Verhinderung zusätzlicher unberechtigter Aktivitäten (Eindämmung) in Verbindung mit der Entfernung nicht autorisierter Ressourcen und der ursprünglichen Sicherheitslücke (Beseitigung) sowie der Wiederherstellung von Ressourcen, um wieder normal arbeiten zu können.

Kontinuierliche Verbesserung: AWS Security Incident Response berücksichtigt Feedback und Erfahrungen aus früheren Projekten, um die Erkennungskapazitäten, Ermittlungsprozesse und Abhilfemaßnahmen zu verbessern. AWS Security Incident Response hält sich auch up-to-date über die neuesten Sicherheitsbedrohungen und bewährte Verfahren zur Bewältigung neuer Sicherheitsprobleme auf dem Laufenden.

Cybersicherheitsereignis: Eine Aktion, bei der ein Informationssystem oder ein Netzwerk genutzt wird, um negative Auswirkungen auf das System, das Netzwerk oder die darin enthaltenen Informationen zu haben.

Cybersicherheitsvorfall: Ein Verstoß oder die unmittelbare Gefahr eines Verstoßes gegen Computersicherheitsrichtlinien, Richtlinien zur zulässigen Nutzung oder Standardsicherheitspraktiken.

Incident Response Team: Eine Gruppe von Personen, die bei aktiven Sicherheitsereignissen Unterstützung leisten. Für AWS unterstützte Fälle ist dies das AWS Customer Incident Response Team (CIRT).

Workflow zur Reaktion auf Vorfälle: Die festgelegte Abfolge von Schritten und Aktivitäten im Zusammenhang mit der end-to-end Verwaltung eines Sicherheitsereignisses gemäß dem Standard NIST 800-61.

Investigative Tools: AWS Security Incident Response Tools und dienstbezogene Rollen, mit denen Sie den Betriebsstatus Ihres Kontos und Ihrer Ressourcen überprüfen können.

Gelernte Erkenntnisse: Überprüfung und Dokumentation der Reaktion auf Sicherheitsvorfälle, um Verbesserungspotenziale zu identifizieren und als Grundlage für die future Planung der Reaktion auf Vorfälle zu dienen.

Überwachung und Untersuchung: AWS Security Incident Response Überprüft schnell Sicherheitswarnungen von Amazon und stellt die wichtigsten Warnmeldungen GuardDuty, die Ihr Team analysieren muss, in den Vordergrund. Es konfiguriert Unterdrückungsregeln, die auf den Besonderheiten Ihrer Umgebung basieren, um unnötige Warnmeldungen zu vermeiden.

Vorbereitung: Aktivitäten, die unternommen werden, um ein Unternehmen darauf vorzubereiten, effektiv auf Sicherheitsvorfälle zu reagieren und diese zu bewältigen, wie z. B. die Entwicklung von Plänen zur Reaktion auf Zwischenfälle und Testverfahren.

Berichterstattung und Kommunikation: Die Prozesse, mit denen Sie während des gesamten Prozesses zur Reaktion auf Vorfälle auf dem Laufenden gehalten werden, einschließlich automatisierter Benachrichtigungen, Call Bridges und der Bereitstellung von Ermittlungsartefakten. AWS Security Incident Response bietet ein einziges, zentrales Dashboard, über das AWS Management Console Sie all Ihre AWS Security Incident Response Bemühungen verwalten können.

Von Mitarbeitern generierte Informationen: Indikatoren für Kompromisse, Taktiken, Techniken und Verfahren sowie damit verbundene Muster, die im Rahmen von AWS CIRT-Untersuchungen beobachtet wurden.

Fachwissen über Sicherheitsereignisse: Das Fachwissen und die Fähigkeiten, die erforderlich sind, um effektiv auf Sicherheitsereignisse zu reagieren und diese zu bewältigen, insbesondere im Zusammenhang mit der AWS Cloud.

Modell der geteilten Verantwortung: Die Aufteilung der Sicherheitsverantwortung zwischen AWS dem Kunden, wobei der Kunde für die Sicherheit der Cloud verantwortlich AWS ist und der Kunde für die Sicherheit in der Cloud verantwortlich ist.

Bedrohungsinformationen: Interne und externe Datenfeeds mit Informationen zu unbefugten Aktivitäten, um neue Sicherheitsbedrohungen zu identifizieren und darauf zu reagieren.

Ticketsystem: Eine spezielle Fallmanagement-Plattform, mit der Sie Fälle von Sicherheitsereignissen erfassen und verwalten, Anlagen hinzufügen und den Reaktionszyklus auf Vorfälle verfolgen können.

Triage: Die erste Bewertung und Priorisierung eines Sicherheitsereignisses, um die angemessene Reaktion und die nächsten Schritte festzulegen.

Arbeitsablauf: Die festgelegte Abfolge von Schritten und Aktivitäten im Zusammenhang mit der end-to-end Verwaltung eines Sicherheitsereignisses.