SEC10-BP04 制定和测试安全事件响应行动手册
准备事件响应流程的关键环节是制定行动手册。事件响应行动手册提供了一系列规范性指导和步骤,供发生安全事件时遵循。清晰的结构和步骤可简化响应,减少发生人为错误的可能性。
未建立这种最佳实践的情况下暴露的风险等级: 中
实施指导
应针对以下事件场景创建行动手册:
-
预期事件:应针对预期的事件创建行动手册。这包括拒绝服务(DoS)、勒索软件和凭证泄露等威胁。
-
已知的安全调查发现或警报:应针对已知的安全调查发现和警报(如 GuardDuty 调查发现)创建行动手册。您可能会收到一个 GuardDuty 调查发现,然后想:“现在怎么办?” 为防止错误处理或忽略 GuardDuty 调查发现,应针对每个可能的 GuardDuty 调查发现创建行动手册。有关补救细节和指导的信息可在 GuardDuty 文档中找到。需要注意的是,默认情况下并不会启用 GuardDuty,而且需要付费。有关 GuardDuty 的详细信息,请参阅 附录 A:云功能定义 – 可见性和警报。
行动手册应包含安全分析师需要完成的技术步骤,以便充分调查和应对潜在的安全事件。
实施步骤
行动手册中应包括的项目有:
-
行动手册概述:本行动手册针对哪些风险或事件场景? 本行动手册的目标是什么?
-
先决条件:此事件场景需要哪些日志、检测机制和自动化工具? 预期的通知是什么?
-
沟通和上报信息:谁参与其中,他们的联系信息是什么? 每个利益相关者的责任是什么?
-
响应步骤:在事件响应的各个阶段,应采取哪些战术性措施? 分析师应该进行哪些查询? 应该运行什么代码才能达到预期的结果?
-
检测:如何检测事件?
-
分析:如何确定影响范围?
-
控制:如何隔离事件来限制其影响范围?
-
消除:如何从环境中消除威胁?
-
恢复:受影响的系统或资源将如何恢复生产?
-
-
预期结果:运行查询和代码后,行动手册的预期结果是什么?
资源
相关的 Well-Architected 最佳实践:
相关文档:
