应对事件的安全建议 - AWS 规范性指导
事件响应计划运行手册和攻略手册事件驱动的自动化支持 进程安全事件警报

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

应对事件的安全建议

当您的组织中发生安全事件时,您的用户必须做好应对问题的准备。所有用户都应该对贵组织的安全响应流程有基本的了解。规划、培训和经验对于成功实施事件响应计划至关重要。理想情况下,应在潜在的安全事件发生之前为组织做好准备。Wel AWS l-Architected Framework 确定了在云端成功实施事件响应计划所需的三个基础准备运营和事后活动。有关更多信息,请参阅 Well-Archit ecte AWS d Framework 中的 AWS 事件响应方面

除了通知您事件或自动响应事件的安全控制措施外,您可以为事件响应建立有限的控制措施。强有力的事件响应态势主要通过您在组织中使用的计划、流程、运行手册、行动手册和培训计划来建立。您可以使用本节中的控制和建议为您的事件响应计划实施最佳实践。有关事件响应最佳实践和实施指南的更多信息,请参阅 Well-Architecte AWS d Framework 中的事件响应

定义事件响应计划

制定明确的事件响应计划 (IRP)。事件响应计划旨在成为您的事件响应计划的基础。此计划必须进行定制,以满足每个组织的需求。

有关更多信息,请参阅以下资源:

创建和维护事件响应操作手册和行动手册

为事件响应流程做准备的一个关键部分是制定行动手册。事件响应手册提供了一系列建议步骤,用户在发生安全事件时应遵循这些步骤。清晰的结构和步骤可以简化响应并降低人为错误的可能性。

有关更多信息,请参阅以下资源:

实施事件驱动的安全自动化

安全响应自动化是一种预定义和编程的操作,旨在自动响应或修复安全事件。这些自动化可作为侦探或响应式安全控制措施,帮助您实施 AWS 安全最佳实践。自动响应操作的示例包括修改 VPC 安全组、修补 Amazon EC2 实例或轮换证书。

许多 AWS 服务 支持自动回复。例如,您可以为特定指标配置 Amazon CloudWatch 警报,警报可以在警报状态发生变化时启动操作。通过亚马逊 EventBridge,您还可以针对和 Amazon Inspector 中的发现配置自动响应 AWS Security Hub 和补救措施。

欲了解更多信息,请参阅以下资源:

记录运营团队应如何参与 支持

对于您的 AWS 账户,您可以定义一个主要联系人和三个备用联系人。我们建议您为每位 AWS 账户 或您的组织提供一名安全联系人。

AWS 支持 提供了一系列计划,可提供工具和专业知识,以支持 AWS 解决方案的成功和运行健康。另外,请考虑使用 AWS Managed Services 代替 支持 计划是否会使您的组织受益。 AWS Managed Services (AMS) 通过提供对 AWS 基础设施的持续管理,包括监控、事件管理、安全指导、补丁支持和 AWS 工作负载备份,帮助您更高效、更安全地运营。AMS 支持模式可能更适合云运营团队资源有限的组织。我们建议您比较这些模型和计划,以选择最适合您的组织用例和云成熟度级别的模型。

有关更多信息,请参阅以下资源:

为安全事件配置警报

检测异常与为控制该异常而采取的措施同样重要。警报是检测阶段的主要组成部分。它会根据感兴趣的 AWS 账户 活动生成通知,以启动事件响应流程。确保警报中包含相关信息,以便团队采取行动。

有关更多信息,请参阅以下资源: