SEC04-BP03 Automatisierte Reaktion auf Ereignisse

Die Nutzung der Automatisierung zum Ermitteln und Beheben von Ereignissen reduziert den menschlichen Aufwand und menschliche Fehler und ermöglicht Ihnen die Skalierung der Prüffunktionen. Regelmäßige Prüfungen helfen Ihnen dabei, Automatisierungstools zu optimieren und immer wieder auszuführen.

In AWS können interessante Ereignisse und Informationen zu potenziell unerwarteten Änderungen an einem automatisierten Workflow mithilfe von Amazon EventBridge untersucht werden. Dieser Service bietet eine skalierbare Rules Engine, die sowohl native AWS-Ereignisformate (z. B. AWS CloudTrail-Ereignisse) als auch von Ihnen generierbare benutzerdefinierte Ereignisse behandelt. Mit Amazon GuardDuty können Sie Ereignisse auch an ein Workflow-System für jene weiterleiten, die Vorfallreaktionssysteme (AWS Step Functions) erstellen, oder an ein zentrales Sicherheitskonto oder an einen Bucket zur weiteren Analyse.

Um Änderungen zu erkennen und diese Informationen an den richtigen Workflow weiterzuleiten, können Sie AWS-Config-Regeln und Conformance Packsverwenden. AWS Config erkennt Änderungen an ordnungsgemäß ausgeführten Services (wenn auch mit einer höheren Latenz als dies bei EventBridge der Fall ist) und generiert Ereignisse, die mithilfe von AWS-Config-Regeln-Regeln analysiert werden können. Dies ermöglicht es, einen Rollback durchzuführen, Compliance-Richtlinien zu erzwingen und Informationen an Systeme wie Änderungsverwaltungsplattformen und operative Ticketsysteme weiterzuleiten. Sie können nicht nur eigene Lambda-Funktionen schreiben, um auf AWS Config-Ereignisse zu reagieren, sondern auch das AWS-Config-Regeln Development Kitbenutzen und auf eine Bibliothek mit Open Source- AWS-Config-Regeln zugreifen. Conformance Packs sind eine Sammlung von AWS-Config-Regeln- und Korrekturaktionen, die Sie als einzelne Einheit in Form einer YAML-Vorlage bereitstellen. A beispielhafte Conformance-Pack-Vorlage ist für die Well-Architected-Säule „Sicherheit“ verfügbar.

Risikostufe, wenn diese Best Practice nicht eingeführt wird: Mittel

Implementierungsleitfaden

Implementieren automatisierter Warnungen mit GuardDuty: GuardDuty ist ein Service zur Bedrohungserkennung, der Ihre AWS-Konten und AWS-Workloads fortlaufend auf böswillige oder unbefugte Verhaltensweisen überwacht und so schützt. Aktivieren Sie GuardDuty und konfigurieren Sie automatisierte Warnungen.
Automatisieren von Untersuchungsprozessen: Entwickeln Sie automatische Prozesse, die ein Ereignis untersuchen und Berichte an einen Administrator senden, um Zeit zu sparen.
- Übung: Amazon GuardDuty in der Praxis

Ressourcen

Zugehörige Dokumente:

Zugehörige Videos:

Zugehörige Beispiele:

Übung: Automatisierte Bereitstellung von aufdeckenden Kontrollen

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

SEC04-BP02 Zentrale Analyse von Protokollen, Ergebnissen und Metriken

SEC04-BP04 Implementieren von umsetzbaren Sicherheitsereignissen: