事件驅動回應

使用事件驅動的回應系統，偵測機制會觸發回應機制，以自動修復事件。您可以使用事件驅動的回應功能，減少偵測機制與回應機制之間體現價值的時間。若要建立此事件驅動架構，您可以使用 AWS Lambda；這是一種無伺服器運算服務，可執行程式碼以回應事件，並自動為您管理基礎運算資源。

例如，假設您有一個已啟用 AWS CloudTrail 服務的 AWS 帳戶。如果已停用 AWS CloudTrail (透過 cloudtrail:StopLogging API)，回應程序是再次啟用服務並調查停用 AWS CloudTrail 日誌記錄的使用者。您可以透過程式設計方式再次啟用日誌記錄 (透過 cloudtrail:StartLogging API)，而不是在AWS Management Console中手動執行這些步驟。如果您使用程式碼實作此功能，則回應目標是盡快執行此任務，並通知回應人員已執行回應。

您可以將邏輯分解為在 AWS Lambda 函數中執行的簡單程式碼，以便執行這些任務。然後，您可以使用 Amazon CloudWatch Events 監控特定 cloudtrail:StopLogging 事件，並在發生事件時呼叫函數。當 Amazon CloudWatch Event 叫用此 AWS Lambda 回應函數時，您可以將特定事件的詳細資訊傳遞給它，包括停用 AWS CloudTrail 的主體資訊、停用時間、受影響的特定資源以及其他相關資訊。您可以使用此資訊來豐富日誌中的問題清單，然後產生僅包含回應分析師所需特定值的通知或警示。

理想情況下，事件驅動回應的目標是讓 Lambda 回應函數執行回應任務，然後通知回應人員已使用任何相關資訊成功解決異常。然後由人類回應人員決定如何判斷其發生的原因，以及如何防止今後再次發生。此回饋迴圈可進一步改善雲端環境的安全。若想實現此目標，您必須培養一種文化，讓安全團隊能夠與開發和營運團隊更緊密地合作。