Risposta basata sugli eventi

Tramite un sistema di risposta basata sugli eventi, un meccanismo di rilevazione attiva un meccanismo di risposta per correggere automaticamente l'evento. Puoi utilizzare le funzionalità di risposta basata sugli eventi per ridurre il time-to-value tra meccanismi di rilevazione e di risposta. Per creare questa architettura basata sugli eventi, puoi utilizzare AWS Lambda, un servizio di calcolo serverless che esegue il codice in risposta a eventi e gestisce automaticamente le risorse di calcolo sottostanti per tuo conto.

Ad esempio, supponiamo che tu disponga di un account AWS con il servizio AWS CloudTrail abilitato. Se AWS CloudTrail viene disabilitato (tramite l'API cloudtrail:StopLogging), la procedura di risposta consiste nell'abilitare nuovamente il servizio e indagare sull'utente che ha disabilitato la registrazione di AWS CloudTrail. Invece di eseguire questi passaggi manualmente in AWS Management Console, è possibile abilitare nuovamente la registrazione a livello di codice (tramite l'API cloudtrail:StartLogging). Se lo implementi con il codice, il tuo obiettivo di risposta è eseguire questa attività il più rapidamente possibile e notificare ai team di risposta che la risposta è stata eseguita.

Per eseguire queste attività, è possibile scomporre la logica in un semplice codice da eseguire in una funzione AWS Lambda. È quindi possibile utilizzare Amazon CloudWatch Events per monitorare l'evento cloudtrail:StopLogging specifico e richiamare la funzione se l'evento si verifica. Quando questa funzione del risponditore AWS Lambda viene richiamata da Amazon CloudWatch Events, è possibile trasmetterle i dettagli dell'evento specifico con le informazioni del principale che ha disabilitato AWS CloudTrail, quando è stato disabilitato, della risorsa specifica interessata e altre informazioni pertinenti. È possibile utilizzare queste informazioni per ampliare il risultato dei registri e quindi generare una notifica o un avviso con solo i valori specifici richiesti da un analista della risposta.

Idealmente, l'obiettivo della risposta guidata dagli eventi è che la funzione del risponditore Lambda esegua le attività di risposta e quindi notifichi al risponditore che l'anomalia è stata risolta con successo con qualsiasi informazione contestuale pertinente. Spetta quindi all'addetto alle risposte decidere come determinare perché si è verificato e come prevenire le ricorrenze future. Questo circuito di feedback favorisce un ulteriore miglioramento della sicurezza negli ambienti cloud. Per raggiungere questo obiettivo, è necessario disporre di una cultura che consenta al team di sicurezza di lavorare più a stretto contatto con i team di sviluppo e operativi.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Confronti dei costi nei metodi di scansione

Esempi di risposte agli incidenti