SEC10-BP06 預先部署工具
確認安全人員具有預先部署的適當工具,以縮短調查直至復原的時間。
未建立此最佳實務時的曝險等級: 中
實作指引
若要自動化安全回應和操作功能,您可以使用 AWS 提供的完整 API 和工具集。您可以將身份管理、網路安全、資料保護和監控功能完全自動化,並使用現有的熱門軟體開發方法遞送這些功能。建置安全自動化時,您的系統可以監控、檢閱和啟動回應,而不是讓人員監控您的安全地位並手動回應事件。
若您的事件回應團隊持續以相同方式回應警示,可能會形成警示疲勞的風險。隨著時間的推移,團隊可能會變得對收到提醒不敏感,而且在處理一般情況時可能會犯錯,或是錯過不尋常的警示。自動化使用能夠處理重複和一般提醒的功能,讓人員處理敏感和獨特的事件,有助於避免發生提醒疲倦的情形。整合異常偵測系統 (例如 Amazon GuardDuty、AWS CloudTrail Insights 和 Amazon CloudWatch 異常檢測) 可以減輕常見閾值型提醒的負擔。
您可以透過程式設計方式將程序中的步驟自動化,以改善手動程序。定義事件的補救模式之後,您可以將該模式分解為可行的邏輯,並撰寫程式碼來執行該邏輯。回應人員接著可以執行該程式碼來修復問題。隨著時間的推移,您可以將越來越多的步驟自動化,最終自動處理整個類別的常見事件。
在安全調查期間,您需要能夠檢閱相關日誌以記錄和了解該事故的完整範圍和時間表。產生提醒也需要日誌,以指出特定關注的動作已發生。選擇、啟用、儲存和設定查詢與擷取機制和設定警示至關重要。此外,提供搜尋日誌資料之工具的有效方法是 Amazon Detective
AWS 擁有 200 多種雲端服務和數千種特徵。我們建議您檢閱可支援並簡化事故應變策略的服務。
除了記錄之外,您還應該開發和實作 中繼資料,。標記可以幫助提供與 AWS 資源用途有關的上下文。標記也可用於自動化。
實作步驟
選取並設定日誌以進行分析和提醒
請參閱下列有關設定事故應變記錄的文件:
啟用安全服務以支援偵測和回應
AWS 提供原生偵測、預防性和回應式功能,而其他服務可用於建立自訂安全性解決方案的架構。如需安全事故應變最相關的服務清單,請參閱 雲端功能定義。
制定和實作標記策略
取得有關業務使用案例和圍繞 AWS 資源的相關內部利害關係人的上下文資訊可能很困難。執行此操作的一種方法是使用標籤的形式,此形式會將中繼資料指派給 AWS 資源,並包含使用者定義的鍵值組。您可以建立標籤,依目的、擁有者、環境、處理的資料類型以及您選擇的其他條件來分類資源。
擁有一致的標記策略可讓您快速找出和辨別與 AWS 資源有關的情境資訊,從而加快回應時間並盡可能減少用在組織情境的時間。標籤也可以作為啟動回應自動化的機制。如需要標記哪些內容的詳細資訊,請參閱 標記您的 AWS 資源。您需要先定義要在整個組織中實作的標籤。之後,您將實作並強制執行此標記策略。如需實作和強制執行的詳細資訊,請參閱 使用 AWS 標籤政策和服務控制政策 (SCP) 實作 AWS 資源標記策略。
資源
相關 Well-Architected 的最佳實務:
相關文件:
相關範例:
