SEC10-BP04 Entwickeln und Testen von Playbooks für die Reaktion auf Sicherheitsvorfälle
Ein wichtiger Teil der Vorbereitung Ihrer Prozesse zur Vorfallreaktion ist die Entwicklung von Playbooks. Playbooks für die Vorfallreaktion enthalten eine Reihe von präskriptiven Anleitungen und Schritten, die Sie befolgen müssen, wenn ein Sicherheitsereignis eintritt. Eine klare Struktur und klare Schritte vereinfachen die Reaktion und verringern die Wahrscheinlichkeit menschlicher Fehler.
Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel
Implementierungsleitfaden
Playbooks sollten für Vorfallszenarien wie die folgenden erstellt werden:
-
Erwartete Vorfälle: Sie sollten Playbooks für zu erwartende Vorfälle erstellen. Dazu gehören Bedrohungen wie Denial of Service (DoS), Ransomware und die Kompromittierung von Anmeldeinformationen.
-
Bekannte Sicherheitserkenntnisse oder Warnungen: Sie sollten Playbooks für Ihre bekannten Sicherheitserkenntnisse und Warnungen erstellen (beispielsweise für GuardDuty-Erkenntnisse). Möglicherweise erhalten Sie eine GuardDuty-Erkenntnis und denken: „Wie geht es weiter?“ Um zu verhindern, dass eine GuardDuty-Erkenntnis unsachgemäß gehandhabt oder ignoriert wird, sollten Sie für jede potenzielle GuardDuty-Erkenntnis ein Playbook erstellen. Einige Einzelheiten und Anleitungen zur Problembehandlung finden Sie in der GuardDuty-Dokumentation. Beachten Sie, dass GuardDuty standardmäßig nicht aktiviert ist und Kosten dafür anfallen. Weitere Informationen finden GuardDuty Sie in Anhang A: Definitionen der Cloud-Funktionen: Sichtbarkeit und Warnfunktion.
Playbooks sollten technische Schritte enthalten, die ein Sicherheitsanalyst ausführen muss, um einen potenziellen Sicherheitsvorfall angemessen zu untersuchen und darauf zu reagieren.
Implementierungsschritte
Zu den Elementen, die in ein Playbook aufgenommen werden sollten, gehören:
-
Playbook-Übersicht: Welches Risiko- oder Vorfallszenario behandelt dieses Playbook? Was ist das Ziel des Playbooks?
-
Voraussetzungen: Welche Protokolle, Erkennungsmechanismen und automatisierten Tools sind für dieses Vorfallszenario erforderlich? Wie lautet die erwartete Benachrichtigung?
-
Kommunikations- und Eskalationsinformationen: Wer ist beteiligt und wie lauten die Kontaktinformationen? Welche Aufgaben haben die einzelnen Stakeholder?
-
Reaktionsschritte: Welche taktischen Maßnahmen sollten in den einzelnen Phasen der Vorfallreaktion ergriffen werden? Welche Abfragen sollte ein Analyst ausführen? Welcher Code sollte ausgeführt werden, um das gewünschte Ergebnis zu erzielen?
-
Erkennen: Wie wird der Vorfall erkannt?
-
Analysieren: Wie wird der Umfang der Auswirkungen bestimmt?
-
Eindämmen: Wie wird der Vorfall isoliert, um den Umfang zu begrenzen?
-
Beseitigen: Wie wird die Bedrohung aus der Umgebung entfernt?
-
Wiederherstellen: Wie wird das betroffene System oder die betroffene Ressource wieder in der Produktion bereitgestellt?
-
-
Erwartete Ergebnisse: Was ist das erwartete Ergebnis des Playbooks, nachdem Abfragen und Code ausgeführt wurden?
Ressourcen
Zugehörige bewährte Methoden für Well-Architected:
Zugehörige Dokumente: