SEC10-BP04 制定和测试安全事件响应行动手册 - AWS Well-Architected 框架

SEC10-BP04 制定和测试安全事件响应行动手册

准备事件响应流程的关键环节是制定行动手册。事件响应行动手册提供了规范性指南和步骤,供发生安全事件时遵循。清晰的结构和步骤可简化响应,减少发生人为错误的可能性。

在未建立这种最佳实践的情况下暴露的风险等级:

实施指导

应针对以下事件场景创建行动手册:

  • 预期事件:应针对预期的事件创建行动手册。这包括拒绝服务(DoS)、勒索软件和凭证泄露等威胁。

  • 已知的安全调查发现或警报:应该创建行动手册来应对已知的安全调查发现和警报,例如来自 Amazon GuardDuty 的调查发现和警报。当您收到 GuardDuty 调查发现时,行动手册应提供明确的步骤,以防止错误处理或忽略警报。有关修复措施的更多详细信息和指南,请参阅 Remediating security issues discovered by GuardDuty

行动手册应包含安全分析师需要完成的技术步骤,以便充分调查和应对潜在的安全事件。

实施步骤

行动手册中应包括的项目有:

  • 行动手册概述:本行动手册针对哪些风险或事件场景? 本行动手册的目标是什么?

  • 先决条件:此事件场景需要哪些日志、检测机制和自动化工具? 预期的通知是什么?

  • 沟通和上报信息:谁参与其中,他们的联系信息是什么? 每个利益相关方的责任是什么?

  • 响应步骤:在事件响应的各个阶段,应采取哪些战术性措施? 分析师应该进行哪些查询? 应该运行什么代码才能达到预期的结果?

    • 检测:如何检测事件?

    • 分析:如何确定影响范围?

    • 控制:如何隔离事件来限制其影响范围?

    • 消除:如何从环境中消除威胁?

    • 恢复:受影响的系统或资源将如何恢复生产?

  • 期望结果:运行查询和代码后,行动手册的期望结果是什么?

资源

相关的 Well-Architected 最佳实践:

相关文档: