結論 - AWS Security Incident Response ユーザーガイド

結論

各運用フェーズには、固有の目標、手法、方法論、戦略があります。表 4 は、これらのフェーズと、このセクションで説明する手法と方法論の一部をまとめたものです。

表 4 – 運用フェーズ: 目標、手法、方法論

[Phase] (フェーズ) 目標 手法と方法論
検出 潜在的なセキュリティイベントを特定します。

  • 検出のためのセキュリティコントロール

  • 動作とルールベースの検出

  • 人員ベースの検出

分析 セキュリティイベントがインシデントかどうかを判断し、インシデントの範囲を評価します。

  • アラートの検証と範囲設定

  • ログをクエリする

  • 脅威インテリジェンス

  • Automation

封じ込め セキュリティイベントの影響を最小限に抑え、制限します。

  • ソースの封じ込め

  • 手法とアクセス権の封じ込め

  • 送信先の封じ込め

根絶 セキュリティイベントに関連する不正なリソースやアーティファクトを削除します。

  • 侵害された、または不正な認証情報のローテーションまたは削除

  • 許可されていないリソースの削除

  • マルウェアの削除

  • セキュリティスキャン

復旧 システムを既知の安全な状態に復元し、これらのシステムを監視して脅威が再発しないことを確認します。

  • バックアップからのシステム復元

  • システムのゼロからの再構築

  • 侵害されたファイルをクリーンバージョンに置き換える