Concetti e terminologia

I termini e i concetti seguenti sono importanti per comprendere il AWS Security Incident Response servizio e il suo funzionamento.

Scopo: AWS Security Incident Response si allinea alla Guida 800-61 del National Institute of Standards and Techology (NIST) 800-61 sulla gestione degli incidenti di sicurezza informatica, che fornisce un approccio coerente alla gestione degli eventi di sicurezza in relazione alle migliori pratiche del settore.

Analisi: l'indagine e l'esame dettagliati di un evento di sicurezza per comprenderne la portata, l'impatto e la causa principale.

AWS Security Incident Response portale di assistenza: un portale self-service che consente di avviare e gestire casi di eventi di sicurezza. Comunicazione e reportistica continue agevolate dal sistema di biglietteria, dalle notifiche automatiche e dal coinvolgimento diretto con il team di assistenza.

Comunicazione: il dialogo continuo e la condivisione delle informazioni tra il team di AWS Security Incident Response e il cliente durante il processo di risposta all'incidente.

Contenimento, eliminazione e ripristino: prevenzione di ulteriori attività non autorizzate (contenimento), abbinata alla rimozione delle risorse non autorizzate e della vulnerabilità originaria (eradicazione), e recupero delle risorse per tornare alla normalità.

Miglioramento continuo: AWS Security Incident Response incorpora il feedback e le lezioni apprese dagli impegni precedenti per potenziarne le capacità di rilevamento, i processi investigativi e le azioni correttive. AWS Security Incident Response si attiene inoltre up-to-date alle più recenti minacce alla sicurezza e alle migliori pratiche per affrontare le sfide di sicurezza in continua evoluzione.

Evento di sicurezza informatica: un'azione che utilizza un sistema o una rete di informazioni per produrre un effetto negativo sul sistema, sulla rete o sulle informazioni in esso contenute.

Incidente di sicurezza informatica: violazione o minaccia imminente di violazione delle politiche di sicurezza informatica, delle politiche di utilizzo accettabile o delle pratiche di sicurezza standard.

Incident Response Team: un gruppo di persone che forniscono supporto durante eventi di sicurezza attivi. Per i casi AWS supportati, si tratta del AWS Customer Incident Response Team (CIRT).

Flusso di lavoro di risposta agli incidenti: la sequenza definita di passaggi e attività coinvolti nella end-to-end gestione di un evento di sicurezza, in linea con lo standard NIST 800-61.

Strumenti investigativi: AWS Security Incident Response strumenti e ruoli collegati ai servizi utilizzati per esaminare lo stato operativo dell'account e delle risorse.

Lezioni apprese: la revisione e la documentazione della risposta a un evento di sicurezza per identificare le aree di miglioramento e informare la pianificazione della risposta agli incidenti futuri.

Monitoraggio e indagine: esamina AWS Security Incident Response rapidamente gli avvisi di sicurezza di Amazon GuardDuty, mettendo in primo piano gli avvisi più importanti che il tuo team deve analizzare. Configura le regole di soppressione in base alle specifiche dell'ambiente per prevenire avvisi non necessari.

Preparazione: le attività intraprese per preparare un'organizzazione a rispondere e gestire efficacemente gli eventi di sicurezza, come lo sviluppo di piani di risposta agli incidenti e procedure di test.

Segnalazione e comunicazione: i processi utilizzati per tenervi informati durante tutto il processo di risposta agli incidenti, tra cui notifiche automatiche, call bridge e consegna di elementi investigativi. AWS Security Incident Response fornisce un'unica dashboard centralizzata AWS Management Console per gestire tutti i tuoi sforzi. AWS Security Incident Response

Responder Generated Intelligence: indicatori di compromesso, tattiche, tecniche e procedure e modelli associati osservati dalle AWS indagini del CIRT.

Competenza in materia di eventi di sicurezza: le conoscenze e le competenze specialistiche necessarie per rispondere e gestire efficacemente gli eventi di sicurezza, in particolare nel contesto del cloud. AWS

Modello di responsabilità condivisa: la divisione delle responsabilità di sicurezza tra il cliente AWS e il cliente, dove AWS è responsabile della sicurezza del cloud e il cliente è responsabile della sicurezza nel cloud.

Threat Intelligence: feed di dati interni ed esterni contenenti dettagli di attività non autorizzate per aiutare a identificare e rispondere alle minacce alla sicurezza in evoluzione.

Sistema di ticketing: una piattaforma dedicata alla gestione dei casi che consente di inserire e gestire casi di eventi di sicurezza, aggiungere allegati e monitorare il ciclo di vita della risposta agli incidenti.

Triage: la valutazione iniziale e l'assegnazione delle priorità di un evento di sicurezza per determinare la risposta appropriata e le fasi successive.

Flusso di lavoro: la sequenza definita di passaggi e attività coinvolti nella end-to-end gestione di un evento di sicurezza.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Riepilogo delle funzionalità

Nozioni di base