SEC04-BP03 Mengotomatiskan respons untuk peristiwa
Menggunakan otomatisasi untuk menyelidiki dan menangani peristiwa dapat mengurangi upaya manusia dan potensi kesalahan, serta memungkinkan Anda untuk menskalakan kemampuan penyelidikan. Tinjauan rutin dapat membantu Anda menyesuaikan alat otomatisasi, dan mengulanginya secara iteratif.
Di AWS, menyelidiki peristiwa menarik dan informasi tentang potensi perubahan yang tidak diharapkan ke alur kerja otomatis dapat dicapai menggunakan Amazon EventBridge. Layanan ini menyediakan mesin aturan yang dapat diskalakan dan dirancang untuk mengelola format peristiwa AWS native (seperti peristiwa AWS CloudTrail), serta peristiwa kustom yang dapat dihasilkan dari aplikasi Anda. Amazon GuardDuty juga memungkinkan Anda untuk merutekan peristiwa ke sistem alur kerja untuk mereka yang membangun sistem respons insiden (AWS Step Functions), atau ke Akun Keamanan pusat, atau ke bucket untuk analisis lebih jauh.
Mendeteksi perubahan dan merutekan informasi ini ke alur kerja yang sesuai dapat dilakukan dengan menggunakan Aturan AWS Config dan Paket Konformasi. AWS Config mendeteksi perubahan ke layanan dalam cakupan (walaupun dengan latensi yang lebih tinggi dari EventBridge) dan membuat peristiwa yang dapat di-parse menggunakan Aturan AWS Config untuk rollback, penerapan kebijakan kepatuhan, dan melanjutkan informasi ke sistem, seperti mengubah platform manajemen dan sistem ticketing operasional. Selain menulis fungsi Lambda Anda sendiri untuk merespons peristiwa AWS Config, Anda juga dapat memanfaatkan Kit Pengembangan Aturan AWS Config
Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Sedang
Panduan implementasi
-
Implementasikan peringatan yang diotomatiskan dengan GuardDuty: GuardDuty adalah layanan deteksi ancaman yang terus-menerus memantau aktivitas berbahaya dan perilaku yang tidak diotorisasi, untuk melindungi Akun AWS dan beban kerja Anda. Aktifkan GuardDuty dan konfigurasikan peringatan yang diotomatiskan.
-
Otomatiskan proses penyelidikan: Kembangkan proses otomatis yang menyelidiki peristiwa serta melaporkan informasi ke administrator untuk menghemat waktu.
Sumber daya
Dokumen terkait:
Video terkait:
Contoh terkait: