Enthalten - AWS Security Incident Response Benutzerleitfaden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Enthalten

AWS Security Incident Response arbeitet mit Ihnen zusammen, um Ereignisse einzudämmen. Sie können eine Servicerolle so konfigurieren AWS Security Incident Response , dass als Reaktion auf Warnmeldungen automatisierte und manuelle Aktionen in Ihrem Konto ausgeführt werden. Sie können die Eindämmung auch selbst oder in Zusammenarbeit mit Ihren Geschäftspartnern mithilfe von SSM-Dokumenten durchführen.

Ein wesentlicher Bestandteil der Eindämmung ist die Entscheidungsfindung, z. B. ob ein System heruntergefahren, eine Ressource vom Netzwerk isoliert, der Zugriff deaktiviert oder Sitzungen beendet werden sollen. Diese Entscheidungen werden einfacher, wenn es vorher festgelegte Strategien und Verfahren gibt, um das Ereignis einzudämmen. AWS Security Incident Response stellt die Eindämmungsstrategie bereit, informiert Sie über mögliche Auswirkungen und unterstützt Sie bei der Implementierung der Lösung erst, nachdem Sie die damit verbundenen Risiken abgewogen und ihnen zugestimmt haben.

AWS Security Incident Response führt in Ihrem Namen unterstützte Eindämmungsmaßnahmen aus, um die Reaktion zu beschleunigen und die Zeit zu verkürzen, die ein Bedrohungsakteur benötigt, um in Ihrer Umgebung potenziell Schaden anzurichten. Diese Funktion ermöglicht eine schnellere Abwehr identifizierter Bedrohungen, minimiert potenzielle Auswirkungen und verbessert Ihre allgemeine Sicherheitslage. Je nach den zu analysierenden Ressourcen gibt es unterschiedliche Eindämmungsoptionen. Folgende Eindämmungsmaßnahmen werden unterstützt:

  • EC2 Containment: Die AWSSupport-ContainEC2Instance Containment-Automatisierung führt eine umkehrbare Netzwerkeindämmung einer EC2 Instance durch, wobei die Instance intakt und aktiv bleibt, sie jedoch von jeder neuen Netzwerkaktivität isoliert wird und verhindert, dass sie mit Ressourcen innerhalb und außerhalb Ihrer VPC kommuniziert.

    Wichtig

    Es ist wichtig zu beachten, dass bestehende nachverfolgte Verbindungen nicht aufgrund von wechselnden Sicherheitsgruppen geschlossen werden — nur future Datenverkehr wird durch die neue Sicherheitsgruppe und dieses SSM-Dokument effektiv blockiert. Weitere Informationen finden Sie im Abschnitt Source Containment des technischen Leitfadens zum Service.

  • IAM-Eindämmung: Die AWSSupport-ContainIAMPrincipal Containment-Automatisierung führt eine umkehrbare Netzwerkeindämmung eines IAM-Benutzers oder einer IAM-Rolle durch, sodass der Benutzer oder die Rolle in IAM verbleibt, aber von der Kommunikation mit Ressourcen in Ihrem Konto isoliert wird.

  • S3-Eindämmung: Die AWSSupport-ContainS3Resource Containment-Automatisierung führt eine umkehrbare Eindämmung eines S3-Buckets durch, wobei die Objekte im Bucket belassen und der Amazon S3-Bucket oder das Amazon S3-Objekt durch Änderung seiner Zugriffsrichtlinien isoliert werden.

Wichtig

AWS Security Incident Response aktiviert standardmäßig keine Containment-Funktionen. Um diese Containment-Aktionen auszuführen, müssen Sie dem Service zunächst mithilfe von Rollen die erforderlichen Berechtigungen erteilen. Sie können diese Rollen einzeln für jedes Konto oder für Ihre gesamte Organisation erstellen, indem Sie mit AWS CloudFormation Stacksets arbeiten, die die erforderlichen Rollen erstellen.

AWS Security Incident Response empfiehlt Ihnen, für jede Art von Großereignis Strategien zur Eindämmung zu erwägen, die Ihrer Risikobereitschaft entsprechen. Dokumentieren Sie klare Kriterien, die Ihnen bei der Entscheidungsfindung während einer Veranstaltung helfen. Zu den zu berücksichtigenden Kriterien gehören:

  • Mögliche Schäden an Ressourcen

  • Beweissicherung und regulatorische Anforderungen

  • Nichtverfügbarkeit von Diensten (z. B. Netzwerkkonnektivität, für externe Parteien bereitgestellte Dienste)

  • Zeit und Ressourcen, die für die Umsetzung der Strategie benötigt wurden

  • Wirksamkeit der Strategie (z. B. teilweise oder vollständige Eindämmung)

  • Dauerhaftigkeit der Lösung (z. B. reversibel oder irreversibel)

  • Dauer der Lösung (z. B. Notfalllösung, vorübergehende Behelfslösung, permanente Lösung) Wenden Sie Sicherheitskontrollen an, die das Risiko verringern und Zeit für die Definition und Umsetzung einer effektiveren Eindämmungsstrategie bieten.

AWS Security Incident Response empfiehlt einen schrittweisen Ansatz zur Erzielung einer effizienten und effektiven Eindämmung, der je nach Ressourcentyp kurz- und langfristige Strategien umfasst.

  • Strategie zur Eindämmung

    • Kann der Umfang des Sicherheitsereignisses AWS Security Incident Response ermittelt werden?

      • Falls ja, identifizieren Sie alle Ressourcen (Benutzer, Systeme, Ressourcen).

      • Falls nein, untersuchen Sie dies parallel zur Ausführung des nächsten Schritts für identifizierte Ressourcen.

    • Kann die Ressource isoliert werden?

      • Falls ja, fahren Sie mit der Isolierung der betroffenen Ressourcen fort.

      • Falls nein, arbeiten Sie mit den Systembesitzern und Managern zusammen, um weitere Maßnahmen zur Eindämmung des Problems zu ergreifen.

    • Sind alle betroffenen Ressourcen von den nicht betroffenen Ressourcen isoliert?

      • Falls ja, fahren Sie mit dem nächsten Schritt fort.

      • Falls nein, sollten Sie die betroffenen Ressourcen weiter isolieren, um eine kurzfristige Eindämmung zu erreichen und eine weitere Eskalation des Ereignisses zu verhindern.

  • System-Backup

    • Wurden Sicherungskopien der betroffenen Systeme zur weiteren Analyse erstellt?

    • Werden die forensischen Kopien verschlüsselt und an einem sicheren Ort gespeichert?

      • Falls ja, fahren Sie mit dem nächsten Schritt fort.

      • Falls nein, verschlüsseln Sie die forensischen Bilder und speichern Sie sie an einem sicheren Ort, um eine versehentliche Verwendung, Beschädigung und Manipulation zu verhindern.