包含

AWS 安全事件應變 會與您合作以包含事件。您可以設定 AWS 安全事件應變 的服務角色，在帳戶中採取自動和手動動作，做為提醒的回應。您也可以使用 SSM 文件，自行執行遏制，或與您的第三方關係合作。

抑制的重要部分是決策；例如是否關閉系統、將資源與網路隔離、關閉存取或結束工作階段。當有預先決定的策略和程序來包含事件時，這些決策會更輕鬆。 AWS 安全事件應變 提供遏制策略、通知您潛在影響，並引導您在考慮並同意涉及的風險之後實作解決方案。

AWS 安全事件應變 代表您執行支援的遏制動作，以加快回應速度，並減少威脅行為者在環境中造成潛在損害的時間。此功能可更快速地緩解已識別的威脅、將潛在影響降至最低，並增強您的整體安全狀態。根據分析的資源，有不同的遏制選項。支援的遏制動作如下：

• EC2 遏制： AWSSupport-ContainEC2Instance 遏制自動化會執行 EC2 執行個體的可逆網路遏制，讓執行個體保持完整並執行，但會將其與任何新的網路活動隔離，並防止其與 VPC 內外的資源通訊。

  重要

  請務必注意，現有的追蹤連線不會因為變更安全群組而關閉，只有新的安全群組和此 SSM 文件會有效地封鎖未來的流量。如需詳細資訊，請參閱 服務技術指南的來源遏制一節。

• IAM 遏制：AWSSupport-ContainIAMPrincipal遏制自動化會執行 IAM 使用者或角色的可逆網路遏制，將使用者或角色留在 IAM 中，但將其與帳戶中的資源通訊隔離。

• S3 遏制：AWSSupport-ContainS3Resource遏制自動化會執行 S3 儲存貯體的可逆遏制，將物件保留在儲存貯體中，並透過修改其存取政策來隔離 Amazon S3 儲存貯體或物件。

重要

AWS 安全事件應變 根據預設， 不會啟用遏制功能，若要執行這些遏制動作，您必須先使用 角色將必要的許可授予服務。您可以個別建立每個帳戶或整個組織的這些角色，方法是使用 AWS CloudFormation 堆疊集來建立所需的角色。

AWS 安全事件應變 鼓勵您針對符合您風險偏好的每個主要事件類型考慮遏制策略。記錄明確的條件，以協助在事件期間做出決策。要考慮的條件包括：

• 資源的潛在損壞

• 保留證據和法規要求

• 服務無法使用 （例如，網路連線、提供給外部各方的服務）

• 實作策略所需的時間和資源

• 策略的有效性 （例如，部分遏制與完全遏制）

• 解決方案的持久性 （例如，可逆與不可逆）

• 解決方案的持續時間 （例如，緊急解決方法、暫時解決方法、永久解決方案） 套用可降低風險的安全控制，並允許時間來定義和實作更有效的遏制策略。

AWS 安全事件應變 建議分階段方法，以實現高效和有效的遏制，並根據資源類型涉及短期和長期策略。

• 遏制策略

  • 可以 AWS 安全事件應變 識別安全事件的範圍嗎？

    • 如果是，請識別所有資源 （使用者、系統、資源）。

    • 如果否，請平行調查並對已識別的資源執行下一個步驟。

  • 資源可以隔離嗎？

    • 如果是，請繼續隔離受影響的資源。

    • 如果否，則與系統擁有者和管理員合作，以確定包含問題所需的進一步動作。

  • 是否將所有受影響的資源與未受影響的資源隔離？

    • 如果是，請繼續下一個步驟。

    • 如果否，則繼續隔離受影響的資源以完成短期遏制，並防止事件進一步升級。

• 系統備份

  • 是否為進一步分析而建立受影響系統的備份副本？

  • 鑑識複本是否加密並存放在安全的位置？

    • 如果是，請繼續下一個步驟。

    • 如果否，請加密鑑識影像，然後將其存放在安全的位置，以防止意外使用、損壞和竄改。