SEC10-BP06 Melakukan deployment alat di awal

Pastikan bahwa personel keamanan sejak awal telah melakukan deployment alat yang tepat ke dalam AWS untuk mengurangi waktu investigasi melalui pemulihan.

Untuk mengotomatiskan rekayasa keamanan dan fungsi operasi, Anda dapat menggunakan set API dan alat yang komprehensif dari AWS. Anda dapat sepenuhnya mengotomatiskan manajemen identitas, keamanan jaringan, perlindungan data, dan kemampuan pemantauan, serta menyediakannya menggunakan metode pengembangan perangkat lunak populer yang sudah Anda gunakan. Saat Anda membangun otomatisasi keamanan, sistem Anda dapat memantau, meninjau, dan menginisiasi respons, tanpa memerlukan orang untuk memantau posisi keamanan Anda dan memberikan reaksi terhadap peristiwa secara manual. Cara efektif untuk secara otomatis menyediakan data log yang relevan dan dapat dicari di seluruh layanan AWS kepada pemberi respons insiden Anda adalah dengan mengaktifkan Amazon Detective.

Jika tim respons insiden Anda terus merespons peringatan dengan cara yang sama, mereka berisiko mengalami kelelahan alarm (alarm fatigue). Seiring berjalannya waktu, tim dapat menjadi tidak peka terhadap peringatan sehingga dapat membuat kesalahan saat menangani situasi biasa atau melewatkan peringatan yang tidak biasa. Otomatisasi membantu mencegah kelelahan alarm dengan menggunakan fungsi yang memproses peringatan biasa dan repetitif, sehingga manusia cukup menangani insiden yang sensitif dan unik. Integrasi sistem deteksi anomali, seperti Amazon GuardDuty, Wawasan AWS CloudTrail, dan Deteksi Anomali Amazon CloudWatch, dapat mengurangi beban dari peringatan umum berbasis ambang batas.

Anda dapat memperbaiki proses manual dengan mengotomatiskan langkah-langkah dalam proses secara terprogram. Setelah Anda menentukan perbaikan pola pada peristiwa, Anda dapat menguraikan pola tersebut menjadi logika yang dapat ditindaklanjuti, dan menulis kode untuk menjalankan logika tersebut. Pemberi respons selanjutnya dapat mengeksekusi kode tersebut untuk memperbaiki masalah. Seiring berjalannya waktu, Anda dapat mengotomatiskan lebih banyak langkah, dan pada akhirnya secara otomatis menangani semua jenis insiden yang biasa muncul.

Untuk alat yang melakukan eksekusi dalam sistem operasi instans Amazon Elastic Compute Cloud (Amazon EC2), Anda harus melakukan evaluasi menggunakan AWS Systems Manager Run Command, agar Anda dapat mengadministrasikan instans dari jarak jauh secara aman menggunakan agen yang Anda instal di sistem operasi instans Amazon EC2 Anda. Hal ini memerlukan Systems Manager Agent (SSM Agent), yang diinstal secara default di banyak Amazon Machine Images (AMI). Namun, perlu diperhatikan bahwa ketika instans disusupi, respons dari alat atau agen yang berjalan pada instans tersebut tidak dapat dianggap tepercaya.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Rendah

Panduan implementasi

Melakukan deployment alat di awal: Pastikan bahwa personel keamanan memiliki alat yang tepat yang telah di-deploy di awal di AWS sehingga respons yang tepat terhadap insiden dapat dilakukan.
Implementasikan penandaan sumber daya: Tandai sumber daya dengan informasi, seperti kode untuk sumber daya yang diinvestigasi, agar Anda dapat mengidentifikasi sumber daya selama insiden.
- Strategi Penandaan AWS

Sumber daya

Dokumen terkait:

Panduan Respons Insiden AWS

Video terkait:

Panduan mandiri untuk runbook, laporan insiden, dan respons insiden

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

SEC10-BP05 Menyediakan akses di awal

SEC10-BP07 Menjalankan game day