行动手册应包含的内容 - AWS 安全事件响应 用户指南

行动手册应包含的内容

行动手册应包含安全分析师需要完成的技术步骤,以便充分调查和应对潜在的安全事件。

行动手册中应包括的项目有:

  • 行动手册概述:本行动手册针对哪些风险或事件场景? 本行动手册的目标是什么?

  • 先决条件:此事件场景需要哪些日志和检测机制? 预期的通知是什么?

  • 利益相关者信息:涉及哪些人员?其联系人信息是什么? 每个利益相关方的责任是什么?

  • 响应步骤:在事件响应的各个阶段,应采取哪些战术性措施? 分析师应该进行哪些查询? 应该运行什么代码才能达到预期的结果?

    • 检测:如何检测事件?

    • 分析:如何确定影响范围?

    • 遏制:如何隔离事件来限制其影响范围?

    • 根除:如何从环境中消除威胁?

    • 恢复:受影响的系统或资源将如何恢复生产?

  • 期望结果:运行查询和代码后,行动手册的期望结果是什么?

为确保每个行动手册中的信息一致,创建一个行动手册模板供其他安全行动手册参考会很有帮助。先前列出的某些项目,例如利益相关者信息,可以在多个行动手册中共享。在这种情况下,您可以为这些信息创建集中管理的文档,并在行动手册中引用,然后在行动手册中明确列举出差异。如此一来,您无需在所有单独的行动手册中更新相同的信息。通过创建模板并识别行动手册中的通用或共享信息,您可以简化并加速行动手册的制定过程。最后,行动手册可能会随着时间推移而演变;您确认步骤一致后,这便构成了自动化的需求基础。