Ein wichtiger Teil der Vorbereitung Ihrer Prozesse zur Vorfallreaktion ist die Entwicklung von Playbooks. Playbooks für die Vorfallreaktion enthalten präskriptive Anleitungen und Schritte, die Sie ausführen sollten, wenn ein Sicherheitsereignis eintritt. Eine klare Struktur und klare Schritte vereinfachen die Reaktion und verringern die Wahrscheinlichkeit menschlicher Fehler.
Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel
Implementierungsleitfaden
Playbooks sollten für Vorfallszenarien wie die folgenden erstellt werden:
-
Erwartete Vorfälle: Sie sollten Playbooks für zu erwartende Vorfälle erstellen. Dazu gehören Bedrohungen wie Denial of Service (DoS), Ransomware und die Kompromittierung von Anmeldeinformationen.
-
Bekannte Sicherheitserkenntnisse oder Warnungen: Sie sollten Playbooks für bekannte Sicherheitserkenntnisse und Warnungen erstellen, z. B. aus Amazon GuardDuty. Wenn Sie eine GuardDuty-Erkenntnis erhalten, sollte das Playbook klare Schritte beschreiben, um zu verhindern, dass die Warnung falsch behandelt oder ignoriert wird. Weitere Informationen und Anleitungen zur Behebung finden Sie unter Beheben von Sicherheitsproblemen, die von GuardDuty entdeckt wurden.
Playbooks sollten technische Schritte enthalten, die ein Sicherheitsanalyst ausführen muss, um einen potenziellen Sicherheitsvorfall angemessen zu untersuchen und darauf zu reagieren.
Implementierungsschritte
Zu den Elementen, die in ein Playbook aufgenommen werden sollten, gehören:
-
Playbook-Übersicht: Welches Risiko- oder Vorfallszenario behandelt dieses Playbook? Was ist das Ziel des Playbooks?
-
Voraussetzungen: Welche Protokolle, Erkennungsmechanismen und automatisierten Tools sind für dieses Vorfallszenario erforderlich? Wie lautet die erwartete Benachrichtigung?
-
Kommunikations- und Eskalationsinformationen: Wer ist beteiligt und wie lauten die Kontaktinformationen? Welche Aufgaben haben die einzelnen Stakeholder?
-
Reaktionsschritte: Welche taktischen Maßnahmen sollten in den einzelnen Phasen der Vorfallreaktion ergriffen werden? Welche Abfragen sollte ein Analyst ausführen? Welcher Code sollte ausgeführt werden, um das gewünschte Ergebnis zu erzielen?
-
Erkennen: Wie wird der Vorfall erkannt?
-
Analysieren: Wie wird der Umfang der Auswirkungen bestimmt?
-
Eindämmen: Wie wird der Vorfall isoliert, um den Umfang zu begrenzen?
-
Beseitigen: Wie wird die Bedrohung aus der Umgebung entfernt?
-
Wiederherstellen: Wie wird das betroffene System oder die betroffene Ressource wieder in der Produktion bereitgestellt?
-
-
Erwartete Ergebnisse: Was ist das erwartete Ergebnis des Playbooks, nachdem Abfragen und Code ausgeführt wurden?
Ressourcen
Zugehörige bewährte Methoden für Well-Architected:
Zugehörige Dokumente: