SEC10-BP06 预部署工具
确保安全人员预部署了适当的工具,来缩短从调查到恢复的时间。
未建立这种最佳实践的情况下暴露的风险等级: 中
实施指导
要自动执行安全响应和操作功能,您可以使用 AWS 提供的一整套 API 和工具。您可以完全自动执行身份管理、网络安全、数据保护和监控功能,并使用您已采用的常见软件开发方法交付这些功能。当构建安全自动化时,您的系统可以监控、审核和启动响应,您不必安排人员监控您的安全位置并对事件做出人为响应。
如果您的事件响应团队继续以同样的方式响应警报,警报可能会让他们应接不暇。久而久之,团队对警报的敏感性可能会下降,并可能在处理正常情况时犯错或者错过异常警报。利用一些功能自动处理重复和正常的警报,并将敏感、特殊的事件交由人员来处理,这样有助于避免疲于应对警报。集成异常检测系统(例如 Amazon GuardDuty、AWS CloudTrail Insights 和 Amazon CloudWatch Anomaly Detection)可以减轻常见阈值警报的负担。
您可以通过编程方式自动执行此流程中的步骤,从而改进手动流程。为事件定义修复模式之后,您可以将此模式分解为可执行的逻辑,并编写代码以执行此逻辑。然后,响应人员可以运行该代码来修复问题。久而久之,您就可以自动化越来越多的步骤,并最终自动处理各类常见事件。
在安全调查期间,您需要能够查看相关日志,以便记录并了解事件的来龙去脉和时间线。生成警报时也需要日志,因为日志可以指示某些相关操作已经发生。选择、启用、存储、设置查询和检索机制以及设置警报至关重要。此外,提供工具来搜索日志数据的有效方法是 Amazon Detective
AWS 提供 200 多种云服务和数千种功能。我们建议您检查可支持和简化事件响应策略的服务。
除日志记录外,还应当制定并实施 标记策略。标记有助于提供有关 AWS 资源用途的背景信息。标记也可用于实现自动化。
实施步骤
选择并设置用于分析和报警的日志
请参阅以下关于配置事件响应日志记录的文档:
启用安全服务来支持检测和响应
AWS 提供了本机检测、预防和响应功能,而其他服务可用于构建自定义安全解决方案。有关与安全事件响应最相关的服务列表,请参阅 云功能定义。
制定和实施标记策略
要获取围绕 AWS 资源的业务场景和相关内部利益相关者的背景信息,可能很困难。要做到这一点,可以采用标签的形式,标签为 AWS 资源分配元数据,并由用户定义的键和值组成。您可以创建标签,按照用途、所有者、环境、处理的数据类型以及您选择的其他标准对资源进行分类。
采用一致的标记策略可以加快响应速度,并通过快速识别和辨别 AWS 资源的背景信息,最大限度地减少在组织背景方面所花费的时间。标签还可以充当启动自动响应的机制。有关要标记的内容的详细信息,请参阅 标记 AWS 资源。首先,您需要定义要在组织内实施的标签。之后,实施并强制执行这一标记策略。有关实施和强制执行的详细信息,请参阅 使用 AWS 标签策略和服务控制策略(SCP)实施 AWS 资源标记策略
资源
相关的 Well-Architected 最佳实践:
相关文档:
相关示例:
