結論 - AWS 安全事件應變 使用者指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

結論

每個操作階段都有獨特的目標、技術、方法和策略。表 4 摘要說明這些階段,以及本節涵蓋的一些技術和方法。

表 4 – 操作階段:目標、技術和方法

階段 目標 技術和方法
偵測 識別潛在的安全事件。

  • 偵測的安全控制

  • 行為和規則型偵測

  • 以人員為基礎的偵測

分析 判斷安全事件是否為事件,並評估事件的範圍。

  • 驗證和範圍提醒

  • 查詢日誌

  • 威脅情報

  •  自動化

遏制 最小化並限制安全事件的影響。

  • 來源遏制

  • 技術和存取限制

  • 目的地遏制

根除 移除與安全事件相關的未經授權資源或成品。

  • 遭入侵或未經授權的登入資料輪換或刪除

  • 未經授權的資源刪除

  • 移除惡意軟體

  • 安全性掃描

復原 將系統還原至已知的良好狀態,並監控這些系統,以確保不會傳回威脅。

  • 從備份還原系統

  • 從頭開始重建的系統

  • 已遭入侵的檔案取代為乾淨版本