本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
回應事件的安全建議
當您的組織發生安全事件時,您的使用者必須準備好回應問題。所有使用者都應對組織的安全回應程序有基本的了解。規劃、訓練和經驗對於成功的事件回應計畫至關重要。理想情況下,您會在潛在安全事件發生之前準備您的組織。 AWS Well-Architected Framework 識別雲端中成功事件回應計劃所需的三個基礎:準備、操作和事件後活動。如需詳細資訊,請參閱 AWS Well-Architected Framework 中的AWS 事件回應層面。
除了通知您事件或自動回應事件的安全控制之外,您可以為事件回應建立有限的控制。強大的事件回應狀態主要是透過您在組織中使用的計劃、程序、執行手冊、手冊和訓練計劃來建立。您可以使用本節中的控制項和建議,為您的事件回應計劃實作最佳實務。如需事件回應和實作指引之最佳實務的詳細資訊,請參閱 AWS Well-Architected Framework 中的事件回應。
定義事件回應計劃
建立明確定義的事件回應計畫 (IRP)。事件回應計畫旨在成為事件回應計畫的基礎。必須自訂此計畫,以滿足每個組織的需求。
如需詳細資訊,請參閱下列資源:
-
AWS 《安全事件回應指南》中的開發和測試事件回應計劃
-
在 AWS Well-Architected Framework 中制定事件管理計劃
建立和維護事件回應 Runbook 和程序手冊
準備事件回應程序的關鍵部分是開發程序手冊。事件回應程序手冊提供使用者在發生安全事件時遵循的一系列建議步驟。擁有清晰的結構和步驟可簡化回應,並降低發生人為錯誤的可能性。
如需詳細資訊,請參閱下列資源:
-
AWS 安全事件回應指南中的建立 手冊的內容
-
上的AWS 事件回應程序手冊範例
GitHub -
在 AWS Well-Architected Framework 中開發和測試安全事件回應手冊
實作事件驅動型安全自動化
安全回應自動化是一種預先定義和程式設計的動作,旨在自動回應或修復安全事件。這些自動化可做為偵測或回應式安全控制,協助您實作 AWS 安全最佳實務。自動化回應動作的範例包括修改 VPC 安全群組、修補 Amazon EC2 執行個體或輪換登入資料。
許多 AWS 服務 支援自動回應。例如,您可以為特定指標設定 Amazon CloudWatch 警示,而警示可以在警示變更狀態時啟動動作。透過 Amazon EventBridge,您也可以為 和 Amazon Inspector 中的調查結果設定自動回應 AWS Security Hub 和修復。
如需詳細資訊,請參閱下列資源:
-
安全部落格中的 AWS 自動修復 Amazon Inspector 安全性問題
清單 -
安全部落格中的在 上開始使用安全回應自動化 AWS
AWS -
AWS 解決方案程式庫中的 上的自動化安全回應 AWS
-
CloudWatch 文件中的使用 Amazon CloudWatch 警示 CloudWatch
-
Security Hub 文件中的自動化回應和修復
-
Amazon Inspector 文件中的使用 Amazon EventBridge 建立對 Amazon Inspector 調查結果的自訂回應 Amazon Inspector
記錄營運團隊應如何與 互動 支援
對於您的 AWS 帳戶,您可以定義主要聯絡人和三個替代聯絡人。我們建議您為每個 AWS 帳戶 或組織提供安全聯絡人。
AWS 支援 提供各種計劃,可讓您存取工具和專業知識,以支援 AWS 解決方案的成功和營運運作狀態。此外,請考慮您的組織是否會受益於使用 AWS Managed Services 而非 支援 計劃。 AWS Managed Services (AMS) 提供持續的 AWS 基礎設施管理,包括監控、事件管理、安全指導、修補程式支援和 AWS 工作負載備份,協助您更有效率且安全地操作。AMS 支援模型可能更適合雲端營運團隊資源有限的組織。我們建議您比較這些模型和計劃,以選擇最適合您組織的使用案例和雲端成熟度層級。
如需詳細資訊,請參閱下列資源:
-
了解 安全事件AWS 回應指南中的回應團隊和支援 AWS
-
在AWS 帳戶管理指南中更新 的替代聯絡人 AWS 帳戶
-
比較 支援 網站上的 Plans
AWS -
AWS 規範指引中AWS Managed Services 用於實現目標業務成果的策略
設定安全事件的提醒
偵測異常與實作來控制該異常的措施一樣重要。提醒是偵測階段的主要元件。它會產生通知,根據感興趣的 AWS 帳戶 活動啟動事件回應程序。確保提醒包含團隊採取動作的相關資訊。
如需詳細資訊,請參閱下列資源:
