SEC10-BP04 制定和测试安全事件响应行动手册
准备事件响应流程的关键环节是制定行动手册。事件响应行动手册提供了规范性指南和步骤,供发生安全事件时遵循。清晰的结构和步骤可简化响应,减少发生人为错误的可能性。
在未建立这种最佳实践的情况下暴露的风险等级:中
实施指导
应针对以下事件场景创建行动手册:
-
预期事件:应针对预期的事件创建行动手册。这包括拒绝服务(DoS)、勒索软件和凭证泄露等威胁。
-
已知的安全调查发现或警报:应该创建行动手册来应对已知的安全调查发现和警报,例如来自 Amazon GuardDuty 的调查发现和警报。当您收到 GuardDuty 调查发现时,行动手册应提供明确的步骤,以防止错误处理或忽略警报。有关修复措施的更多详细信息和指南,请参阅 Remediating security issues discovered by GuardDuty。
行动手册应包含安全分析师需要完成的技术步骤,以便充分调查和应对潜在的安全事件。
实施步骤
行动手册中应包括的项目有:
-
行动手册概述:本行动手册针对哪些风险或事件场景? 本行动手册的目标是什么?
-
先决条件:此事件场景需要哪些日志、检测机制和自动化工具? 预期的通知是什么?
-
沟通和上报信息:谁参与其中,他们的联系信息是什么? 每个利益相关方的责任是什么?
-
响应步骤:在事件响应的各个阶段,应采取哪些战术性措施? 分析师应该进行哪些查询? 应该运行什么代码才能达到预期的结果?
-
检测:如何检测事件?
-
分析:如何确定影响范围?
-
控制:如何隔离事件来限制其影响范围?
-
消除:如何从环境中消除威胁?
-
恢复:受影响的系统或资源将如何恢复生产?
-
-
期望结果:运行查询和代码后,行动手册的期望结果是什么?
资源
相关的 Well-Architected 最佳实践:
相关文档: