自动执行事件响应
要自动执行安全工程和运营功能,您可以使用 AWS 提供的一整套 API 和工具。您可以完全自动执行身份管理、网络安全、数据保护和监控功能。构建安全自动化时,您让自己的系统监控、审核和启动响应,而不必安排人员监控您的安全状况并对事件作出人为响应。
如果您的事件响应团队继续以同样的方式响应警报,警报可能会让他们应接不暇。随着时间的推移,团队对警报的敏感性可能会下降,并可能在处理正常情况时犯错或者错过异常警报。利用一些功能自动处理重复和正常的警报,并将敏感、特殊的事件交由人员来处理,这样有助于避免疲于应对警报。
您可以通过编程方式自动执行此流程中的步骤,从而改进手动流程。为事件定义修复模式之后,您可以将此模式分解为可执行的逻辑,并编写代码以执行此逻辑。随后,响应者即可执行此代码以修复问题。随着时间的推移,您可以自动化越来越多的步骤,并最终自动处理各类常见事件。
但是,您的目标应该是进一步缩短检测性机制和响应性机制之间的时间差。从历史上看,此时间差可能会持续几个小时、几天或甚至几个月。SANS 在 2016 年进行的一项事件响应调查
