Schlussfolgerung - AWS Security Incident Response Benutzerleitfaden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schlussfolgerung

Jede Betriebsphase hat eigene Ziele, Techniken, Methoden und Strategien. Tabelle 4 fasst diese Phasen und einige der in diesem Abschnitt behandelten Techniken und Methoden zusammen.

Tabelle 4 — Betriebsphasen: Ziele, Techniken und Methoden

Phase Ziel Techniken und Methoden
Erkennung Identifizieren eines potenziellen Sicherheitsereignisses.

  • Sicherheitskontrollen zur Erkennung

  • Verhaltens- und regelbasierte Erkennung

  • Personengestützte Erkennung

Analyse Stellen Sie fest, ob es sich bei dem Sicherheitsereignis um einen Vorfall handelt, und beurteilen Sie den Umfang des Vorfalls.

  • Validierung und Umfang der Warnung

  • Logs abfragen

  • Bedrohungsinformationen

  • Automatisierung

Eindämmung Minimiert und begrenzt die Auswirkungen des Sicherheitsereignisses.

  • Eingrenzung der Quelle

  • Technik und Eindämmung des Zugangs

  • Eindämmung des Ziels

Ausrottung Entfernen nicht autorisierter Ressourcen oder Artefakte im Zusammenhang mit dem Sicherheitsereignis.

  • Kompromittierte oder unbefugte Rotation oder Löschung von Anmeldeinformationen

  • Unbefugtes Löschen von Ressourcen

  • Entfernung von Schadsoftware

  • Sicherheitsscans

Wiederherstellung Stellen Sie den zweifelsfrei funktionierenden Zustand der Systeme wieder her und überwachen Sie diese Systeme, um sicherzustellen, dass die Bedrohung nicht erneut auftritt.

  • Systemwiederherstellung anhand von Backups

  • Systeme wurden von Grund auf neu aufgebaut

  • Kompromittierte Dateien wurden durch saubere Versionen ersetzt