SEC10-BP04 制定和测试安全事件响应手册

准备事件响应流程的关键环节是制定行动手册。事件响应行动手册提供了一系列规范性指南和步骤，供发生安全事件时遵循。清晰的结构和步骤可简化响应，减少发生人为错误的可能性。

在未建立这种最佳实践的情况下暴露的风险等级：中

实施指导

应针对以下事件场景创建行动手册：

• 预期事件：应针对预期的事件创建行动手册。这包括拒绝服务（DoS）、勒索软件和凭证泄露等威胁。

• 已知的安全发现或警报：应针对已知的安全发现和警报（例如 GuardDuty 发现）创建行动手册。你可能会收到一个 GuardDuty 发现然后想：“现在怎么办？” 为防止错误处理或忽略 GuardDuty 调查结果，请为每个潜在 GuardDuty 发现创建一本攻略手册。一些补救细节和指导可以在GuardDuty文档中找到。值得注意 GuardDuty 的是，默认情况下该功能未启用，并且确实会产生费用。有关更多详细信息 GuardDuty，请参阅附录 A：云功能定义-可见性和警报。

行动手册应包含安全分析师需要完成的技术步骤，以便充分调查和应对潜在的安全事件。

实施步骤

行动手册中应包括的项目有：

• 行动手册概述：本行动手册针对哪些风险或事件场景？ 本行动手册的目标是什么？

• 先决条件：此事件场景需要哪些日志、检测机制和自动化工具？ 预期的通知是什么？

• 沟通和上报信息：谁参与其中，他们的联系信息是什么？ 每个利益相关方的责任是什么？

• 响应步骤：在事件响应的各个阶段，应采取哪些战术性措施？ 分析师应该进行哪些查询？ 应该运行什么代码才能达到预期的结果？

  • 检测：如何检测事件？

  • 分析：如何确定影响范围？

  • 控制：如何隔离事件来限制其影响范围？

  • 消除：如何从环境中消除威胁？

  • 恢复：受影响的系统或资源将如何恢复生产？

• 期望结果：运行查询和代码后，行动手册的期望结果是什么？

资源

相关的 Well-Architected 最佳实践：

• SEC10-BP02-制定事件管理计划

相关文档：

• 事件响应行动手册框架 

• 制定自己的事件响应行动手册 

• 事件响应行动手册样本 

• 使用 Jupyter 剧本和 Lake 构建 AWS 事件响应操作手册 CloudTrail