SEC10-BP04 Playbooks zur Reaktion auf Sicherheitsvorfälle entwickeln und testen - Säule der Sicherheit
Implementierungsleitfaden Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SEC10-BP04 Playbooks zur Reaktion auf Sicherheitsvorfälle entwickeln und testen

Ein wichtiger Teil der Vorbereitung Ihrer Prozesse zur Vorfallreaktion ist die Entwicklung von Playbooks. Playbooks für die Vorfallreaktion enthalten eine Reihe von präskriptiven Anleitungen und Schritten, die Sie befolgen müssen, wenn ein Sicherheitsereignis eintritt. Eine klare Struktur und klare Schritte vereinfachen die Reaktion und verringern die Wahrscheinlichkeit menschlicher Fehler.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel

Implementierungsleitfaden

Playbooks sollten für Vorfallszenarien wie die folgenden erstellt werden:

  • Erwartete Vorfälle: Sie sollten Playbooks für zu erwartende Vorfälle erstellen. Dazu gehören Bedrohungen wie Denial of Service (DoS), Ransomware und die Kompromittierung von Anmeldeinformationen.

  • Bekannte Sicherheitsfeststellungen oder Warnmeldungen: Playbooks sollten für Ihre bekannten Sicherheitsfeststellungen und -warnungen, wie z. B. Ergebnisse, erstellt werden. GuardDuty Möglicherweise erhalten Sie ein GuardDuty Ergebnis und denken: „Was nun?“ Um zu verhindern, dass ein Ergebnis falsch behandelt oder ignoriert wird, sollten Sie für jedes potenzielle GuardDuty Ergebnis ein Playbook erstellen. GuardDuty Einige Einzelheiten und Anleitungen zur Problembehebung finden Sie in der Dokumentation. GuardDuty Es ist erwähnenswert, dass dies standardmäßig nicht aktiviert GuardDuty ist und Kosten verursacht. Weitere Informationen dazu finden Sie in Anhang A: Definitionen von Cloud-Funktionen — Sichtbarkeit und Warnmeldungen. GuardDuty

Playbooks sollten technische Schritte enthalten, die ein Sicherheitsanalyst ausführen muss, um einen potenziellen Sicherheitsvorfall angemessen zu untersuchen und darauf zu reagieren.

Implementierungsschritte

Zu den Elementen, die in ein Playbook aufgenommen werden sollten, gehören:

  • Playbook-Übersicht: Welches Risiko- oder Vorfallszenario behandelt dieses Playbook? Was ist das Ziel des Playbooks?

  • Voraussetzungen: Welche Protokolle, Erkennungsmechanismen und automatisierten Tools sind für dieses Vorfallszenario erforderlich? Wie lautet die erwartete Benachrichtigung?

  • Kommunikations- und Eskalationsinformationen: Wer ist beteiligt und wie lauten die Kontaktinformationen? Welche Aufgaben haben die einzelnen Stakeholder?

  • Reaktionsschritte: Welche taktischen Maßnahmen sollten in den einzelnen Phasen der Vorfallreaktion ergriffen werden? Welche Abfragen sollte ein Analyst ausführen? Welcher Code sollte ausgeführt werden, um das gewünschte Ergebnis zu erzielen?

    • Erkennen: Wie wird der Vorfall erkannt?

    • Analysieren: Wie wird der Umfang der Auswirkungen bestimmt?

    • Eindämmen: Wie wird der Vorfall isoliert, um den Umfang zu begrenzen?

    • Beseitigen: Wie wird die Bedrohung aus der Umgebung entfernt?

    • Wiederherstellen: Wie wird das betroffene System oder die betroffene Ressource wieder in der Produktion bereitgestellt?

  • Erwartete Ergebnisse: Was ist das erwartete Ergebnis des Playbooks, nachdem Abfragen und Code ausgeführt wurden?

Ressourcen

Zugehörige bewährte Methoden für Well-Architected:

Zugehörige Dokumente: