Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Reaktion auf Sicherheitsvorfälle in AMS
<a name="security-incident-response"></a>

Sicherheit hat bei AWS Managed Services (AMS) oberste Priorität. AMS stellt Ressourcen und Kontrollen in Ihren Konten bereit, um diese zu verwalten. AWS hat ein Modell der geteilten Verantwortung: AWS verwaltet die Sicherheit der Cloud, und Sie sind für die Sicherheit in der Cloud verantwortlich. AMS schützt Ihre Daten und Vermögenswerte und trägt dazu bei, Ihre AWS Infrastruktur zu schützen, indem es Sicherheitskontrollen einsetzt und Sicherheitsprobleme aktiv überwacht. Diese Funktionen helfen Ihnen dabei, eine Sicherheitsgrundlage für Anwendungen zu schaffen, die in der AWS Cloud ausgeführt werden. AMS arbeitet im Rahmen von Security Incident Response mit Ihnen zusammen, um die Auswirkungen zu bewerten und dann auf der Grundlage von Best-Practice-Empfehlungen Eindämmungs- und Abhilfemaßnahmen durchzuführen.

Wenn eine Abweichung vom Ausgangswert auftritt, z. B. durch eine Fehlkonfiguration oder eine Änderung externer Faktoren, müssen Sie reagieren und Nachforschungen anstellen. Um dies erfolgreich zu tun, müssen Sie die grundlegenden Konzepte der Reaktion auf Sicherheitsvorfälle in Ihrer AMS-Umgebung verstehen. Sie müssen auch die Anforderungen für die Vorbereitung, Schulung und Schulung von Cloud-Teams verstehen, bevor Sicherheitsprobleme auftreten. Es ist wichtig, die Kontrollen und Funktionen zu kennen, die Sie verwenden können, Reaktionspläne für häufig auftretende Sicherheitsprobleme wie die Kompromittierung von Benutzerkonten oder den Missbrauch privilegierter Konten zu erstellen und Abhilfemaßnahmen zu identifizieren, die mithilfe von Automatisierung die Reaktionsgeschwindigkeit und Konsistenz verbessern. Darüber hinaus müssen Sie Ihre Compliance- und regulatorischen Anforderungen im Zusammenhang mit dem Aufbau eines Programms zur Reaktion auf Sicherheitsvorfälle zur Erfüllung dieser Anforderungen verstehen.

Die Reaktion auf Sicherheitsvorfälle kann komplex sein, aber durch die Implementierung eines iterativen Ansatzes können Sie den Prozess vereinfachen und es dem Incident-Response-Team ermöglichen, durch frühzeitige und kontinuierliche Erkennung und Reaktion alle Beteiligten zufrieden zu stellen. In diesem Leitfaden stellen wir Ihnen die Methodik vor, die AMS für die Reaktion auf Vorfälle verwendet, die AMS Responsibility Matrix (RACI), wie Sie sich auf ein Sicherheitsereignis vorbereiten können, wie Sie AMS bei Sicherheitsvorfällen einbeziehen können, und einige der von AMS verwendeten Runbooks zur Reaktion auf Vorfälle.

# So funktioniert AMS Security Incident Response
<a name="sir-how-works"></a>

AWS Managed Services entspricht dem NIST 800-61 [Leitfaden zur Behandlung von Sicherheitsvorfällen für die Reaktion auf](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final) Sicherheitsvorfälle. Durch die Ausrichtung an diesem Industriestandard bieten wir einen konsistenten Ansatz für das Management von Sicherheitsereignissen und halten uns an bewährte Verfahren bei der Sicherung und Reaktion auf Sicherheitsvorfälle in Ihrer Cloud.

![\[Lebenszyklus der Reaktion auf Vorfälle\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/sec-inc-response-1.png)


**Lebenszyklus der Reaktion auf Vorfälle**

Wenn die Erkennung eine Sicherheitswarnung identifiziert und generiert oder Sie Sicherheitsunterstützung anfordern, stellt das AWS Managed Services Operations Team sicher, dass eine zeitnahe Untersuchung stattfindet, führt Automatisierungen zur Datenerfassung, Triage und Analyse durch, informiert Sie über die Analyse, führt Untersuchungen und alle Eindämmungsaktivitäten durch und veröffentlicht dann die Ereignisanalyse.

Die während der Reaktion auf den Vorfall durchgeführten Aktivitäten zur Erfassung, Auswertung, Analyse und Eindämmung von Daten variieren je nach Art des untersuchten Sicherheitsereignisses. Beispiele für Workflows zur Reaktion auf Sicherheitsvorfälle für ausgewählte Szenarien finden Sie am Ende dieses Dokuments.

Bei Vorfällen bestimmt AMS dynamisch die richtige Vorgehensweise, was dazu führen kann, dass dokumentierte Schritte gegebenenfalls neu angeordnet oder umgangen werden, um sicherzustellen, dass das richtige Ergebnis eintritt.

# Vorbereitung
<a name="preparation-phase"></a>

Im Zuge der Weiterentwicklung der Bedrohungslandschaft erweitert AMS kontinuierlich die Erkennungs- und Reaktionsmöglichkeiten. Wenn neue Erkennungen hinzukommen, integriert AMS die Warnmeldungen dieser neuen Erkennungen in die Erkennungs- und Reaktionsplattform. Die Sicherheitsmitarbeiter von AMS sind darauf geschult, Ihnen während des gesamten Sicherheitsvorfall-Reaktionszyklus Nachforschungen anzustellen und mit Ihnen zusammenzuarbeiten.

Aufgrund dieses partnerschaftlichen Ansatzes ist es wichtig, dass Ihre Sicherheits- und Anwendungsteams bereit sind, mit AMS zusammenzuarbeiten, um Sicherheitsvorfälle zu behandeln, sobald diese Ereignisse eintreten. Diese Dokumentation erklärt, was Sie bei einem Sicherheitsereignis erwartet, und hilft Ihnen, sich auf eine schnelle Reaktion vorzubereiten, wenn ein Sicherheitsvorfall eintritt.

Diese Dokumentation verwendet die NIST 800-61-Definition eines **Ereignisses** als jedes beobachtbare Ereignis in einem System oder Netzwerk und als **Vorfall** als Verstoß oder unmittelbar drohende Verletzung von Richtlinien, Richtlinien zur akzeptablen Nutzung oder Standardsicherheitspraktiken.

## Checkliste für die Vorbereitung
<a name="sir-cklist"></a>

 Arbeiten Sie die folgende Checkliste mit Ihrem AMS Cloud Solution Delivery Manager (CSDM) und AMS Cloud Architect (CA) durch:
+ Verstehen Sie, welche Workloads in welchen Konten ausgeführt werden.
+ Verstehen Sie, welche internen Teams für die verschiedenen Workloads verantwortlich sind, und kennzeichnen Sie sie entsprechend in den Workloads.
+ Pflegen Sie intern die Kontaktdaten anderer Teams, die möglicherweise bei der Untersuchung eines Sicherheitsvorfalls und bei Entscheidungen zur Eindämmung benötigt werden.
+ Vergewissern Sie sich, dass die Sicherheitskontakte auf dem neuesten Stand sind und allen verwalteten AWS Konten hinzugefügt wurden. Die Kontakte werden pro Konto verwaltet.
+ Informieren Sie sich darüber, wie Sie AMS über einen Sicherheitsvorfall informieren können, und machen Sie sich mit dem Schweregrad und den zu erwartenden Reaktionszeiten vertraut.
+ Stellen Sie sicher, dass eingehende Sicherheitsbenachrichtigungen an die entsprechenden Personen und Systeme wie Pager oder Ihr Security Operations Center weitergeleitet werden.
+ Erfahren Sie, welche Protokollquellen Ihnen zur Verfügung stehen, wo diese in Ihren Konten gespeichert sind und wer Zugriff darauf hat.
+ Erfahren Sie, wie Sie CloudWatch Insights verwenden können, um Logs bei Untersuchungen abzufragen.
+ Machen Sie sich mit den Containment-Optionen vertraut, die Ihnen je nach Ressource (EC2, IAM, S3 usw.) zur Verfügung stehen, und welche Auswirkungen dies auf Ihre Workload-Verfügbarkeit hat, wenn Sie sich im Containment befinden.

# Detect
<a name="sir-detect"></a>

Während der Verwaltung Ihrer AWS Konten überwacht AMS anhand von Daten, die aus Erkennungsquellen und Kontrollen gesammelt wurden, einschließlich, aber nicht beschränkt auf Amazon, Amazon, VPC Flow Logs, Amazon Macie und interne Threat Intelligence-Feeds von Amazon CloudWatch, Amazon, Amazon, Amazon, Amazon, Amazon, Amazon, Amazon GuardDuty, Amazon, auf Anomalien im Hinblick auf Benutzerverhalten, Kontoaktivitäten AWS Config und potenzielle Sicherheitsereignisse.

AMS verwendet sowohl native AWS Dienste als auch andere Erkennungstechnologien, um auf Sicherheitsereignisse zu reagieren, die verursacht werden durch:
+ Typen zur Suche nach Konformität bei der Config
+ GuardDuty Typen finden
+ Macie Findet Typen
+ DNS-Firewall-Ereignisse für Amazon Route 53 Resolver
+ AMS-Sicherheitsereignisse (Cloud-Watch-Alarme)

Im Zuge der Weiterentwicklung von Diensten, Produkten und Bedrohungsökosystemen kommen weitere Erkenntnisse hinzu. 

## Melden Sie Sicherheitsereignisse an AMS
<a name="sir-report"></a>

Melden Sie einen Vorfall über das AMS Support Portal oder Support Center, um AMS über einen Sicherheitsvorfall zu informieren oder um Untersuchungen anzufordern.

# Analysieren
<a name="sir-analyze"></a>

Nachdem ein Sicherheitsereignis identifiziert und gemeldet wurde, besteht der nächste Schritt darin, zu analysieren, ob es sich bei dem gemeldeten Ereignis um einen falsch positiven oder einen echten Vorfall handelt. AMS verwendet Automatisierungs- und manuelle Ermittlungstechniken, um mit Sicherheitsereignissen umzugehen. Die Analyse umfasst die Untersuchung von Protokollen aus verschiedenen Erkennungsquellen wie Netzwerkdatenverkehrsprotokollen, Hostprotokollen, CloudTrail Ereignissen, AWS Serviceprotokollen usw. Bei der Analyse wird auch nach Mustern gesucht, die durch Korrelation ein anomales Verhalten zeigen.

Ihre Partnerschaft ist erforderlich, um den spezifischen Kontext der Kontoumgebung zu verstehen und herauszufinden, was für Ihr Konto und Ihre Workloads normal ist. Auf diese Weise kann AMS eine Anomalie schneller erkennen und schneller auf Vorfälle reagieren.

## Bearbeitung von Mitteilungen von AMS über Sicherheitsereignisse
<a name="sir-comms-from-ams"></a>

AMS hält Sie während der Untersuchung auf dem Laufenden, indem es Ihre Sicherheitskontakte über ein Incident-Ticket kontaktiert. Ihr AMS Cloud Service Delivery Manager (CSDM) und Ihr AMS Cloud Architect (CA) sind die Ansprechpartner, an die Sie sich während einer aktiven Sicherheitsuntersuchung für jegliche Kommunikation wenden können.

Die Kommunikation umfasst die automatische Benachrichtigung, wenn eine Sicherheitswarnung generiert wird, die Kommunikation nach der Ereignisanalyse, die Einrichtung von Call Bridges und die fortlaufende Übermittlung von Artefakten wie Protokolldateien, Snapshots infizierter Ressourcen sowie die Übermittlung der Untersuchungsergebnisse an Sie während des Sicherheitsereignisses.

Die Standardfelder, die in AMS-Sicherheitswarnmeldungen enthalten sind, sind unten aufgeführt. Diese Felder bieten Ihnen Informationen, sodass Sie Ereignisse zur Behebung an die entsprechenden Teams in Ihrer Organisation weiterleiten können.
+ Typ wird gesucht
+ Identifier finden (sofern relevant)
+ Schweregrad ermitteln
+ Beschreibung finden
+ Datum und Uhrzeit der Suche wurden erstellt
+ AWS Konto-ID
+ Region (wo relevant)
+ AWS Ressourcen (IAMuser/role/policy, S3 EC2, EKS)

Je nach Finding-Typ werden zusätzliche Felder bereitgestellt. EKS-Ergebnisse enthalten beispielsweise Pod-, Container- und Cluster-Details.

# Enthalten
<a name="sir-contain"></a>

Der Eindämmungsansatz von AMS basiert auf einer Partnerschaft mit Ihnen. Sie kennen Ihr Unternehmen und wissen, welche Auswirkungen Containment-Aktivitäten wie Netzwerkisolierung, Deprovisionierung von IAM-Benutzern oder -Rollen, Neuaufbau von Instanzen usw. haben können.

Ein wesentlicher Bestandteil der Eindämmung ist die Entscheidungsfindung. Fahren Sie beispielsweise ein System herunter, isolieren Sie eine Ressource vom Netzwerk, schalten Sie den Zugriff aus oder beenden Sie Sitzungen. Diese Entscheidungen sind leichter zu treffen, wenn es vorher festgelegte Strategien und Verfahren gibt, um den Vorfall einzudämmen. AMS stellt die Eindämmungsstrategie bereit und implementiert dann die Lösung, nachdem Sie das mit der Implementierung der Eindämmungsmaßnahmen verbundene Risiko berücksichtigt haben.

Je nach den zu analysierenden Ressourcen gibt es unterschiedliche Eindämmungsoptionen. AMS geht davon aus, dass bei der Untersuchung eines Vorfalls mehrere Eindämmungsarten gleichzeitig eingesetzt werden. Zu diesen Beispielen gehören unter anderem:
+ Wenden Sie Schutzregeln an, um unbefugten Datenverkehr zu blockieren (Sicherheitsgruppe, NACL, WAF-Regeln, SCP-Regeln, Liste verweigern, Signaturaktion auf Quarantäne oder Sperren festlegen)
+ Isolierung von Ressourcen
+ Netzwerkisolierung
+ Deaktivierung von IAM-Benutzern, -Rollen und -Richtlinien
+ Ändern/Reduzieren der IAM-Benutzer- und Rollenrechte
+ Rechenressourcen beenden, aussetzen oder löschen
+ Einschränkung des öffentlichen Zugriffs auf die betroffene Ressource
+ Rotierende Zugriffsschlüssel, API-Schlüssel und Passwörter
+ Löschen offengelegter Anmeldeinformationen und vertraulicher Informationen

AMS empfiehlt Ihnen, die Art der Eindämmungsstrategien für jede Art von schwerwiegenden Vorfällen, die ihrem Risikoappetit entsprechen, zu prüfen. Die Kriterien sind klar dokumentiert, um im Falle eines Vorfalls die Entscheidungsfindung zu erleichtern. Zu den Kriterien für die Festlegung der geeigneten Strategie gehören:
+ Mögliche Schäden an Ressourcen
+ Bewahrung von Beweismitteln
+ Nichtverfügbarkeit von Diensten (z. B. Netzwerkkonnektivität, Dienste, die für externe Parteien bereitgestellt werden)
+ Zeit und Ressourcen, die für die Umsetzung der Strategie benötigt wurden
+ Wirksamkeit der Strategie (z. B. teilweise Eindämmung, vollständige Eindämmung)
+ Dauerhaftigkeit der Lösung (z. B. Entscheidungen zwischen Einwegtüren und Einwegtüren)
+ Dauer der Lösung (z. B. Notfalllösung, die innerhalb von vier Stunden entfernt wird, vorübergehende Behelfslösung, die innerhalb von zwei Wochen entfernt wird, dauerhafte Lösung).
+ Wenden Sie Sicherheitskontrollen an, die Sie aktivieren können, um das Risiko zu verringern und Zeit für die Definition und Implementierung einer effektiveren Eindämmung zu gewinnen. 

Die Geschwindigkeit der Eindämmung ist entscheidend. AMS empfiehlt einen schrittweisen Ansatz, um eine effiziente und effektive Eindämmung durch strategische Strategien für kurz- und langfristige Konzepte zu erreichen.

Verwenden Sie diesen Leitfaden, um Ihre Eindämmungsstrategie zu überdenken, die je nach Ressourcentyp unterschiedliche Techniken beinhaltet.
+ Eindämmungsstrategie
  + Kann AMS den Umfang des Sicherheitsvorfalls ermitteln?
    + Falls ja, identifizieren Sie alle Ressourcen (Benutzer, Systeme, Ressourcen).
    + Falls nein, untersuchen Sie dies parallel zur Ausführung des nächsten Schritts für identifizierte Ressourcen.
  + Kann die Ressource isoliert werden?
    + Falls ja, fahren Sie mit der Isolierung der betroffenen Ressourcen fort.
    + Falls nein, arbeiten Sie mit den Systembesitzern und Managern zusammen, um weitere Maßnahmen zur Eindämmung des Problems zu ergreifen.
  + Sind alle betroffenen Ressourcen von den nicht betroffenen Ressourcen isoliert?
    + Falls ja, fahren Sie mit dem nächsten Schritt fort.
    + Falls nein, isolieren Sie die betroffenen Ressourcen weiter, bis eine kurzfristige Eindämmung erreicht ist, um zu verhindern, dass der Vorfall weiter eskaliert.
+ Systemsicherung
  + Wurden für weitere Analysen Sicherungskopien der betroffenen Systeme erstellt?
  + Werden die forensischen Kopien verschlüsselt und an einem sicheren Ort gespeichert?
    + Falls ja, fahren Sie mit dem nächsten Schritt fort.
    + Falls nein, verschlüsseln Sie die forensischen Bilder und speichern Sie sie an einem sicheren Ort, um eine versehentliche Verwendung, Beschädigung und Manipulation zu verhindern.

# Ausrotten
<a name="sir-eradicate"></a>

Nach der Eindämmung eines Vorfalls kann eine Beseitigung erforderlich sein, um die Bedrohungsquellen vollständig zu eliminieren und das System zu schützen, bevor Sie mit der nächsten Wiederherstellungsphase fortfahren. Zu den Maßnahmen zur Beseitigung können das Löschen von Malware und das Entfernen gefährdeter Benutzerkonten sowie die Identifizierung und Behebung aller ausgenutzten Sicherheitslücken gehören. Bei der Beseitigung ist es wichtig, alle betroffenen Konten, Ressourcen und Instanzen in der Umgebung zu identifizieren, damit sie behoben werden können. 

Es hat sich bewährt, dass die Beseitigung und Wiederherstellung schrittweise erfolgt, sodass die Maßnahmen zur Behebung priorisiert werden. Bei größeren Vorfällen kann die Wiederherstellung Monate dauern. In den ersten Phasen muss die Absicht bestehen, die allgemeine Sicherheit durch relativ schnelle (Tage bis Wochen) wichtige Änderungen zu erhöhen, um future Vorfälle zu verhindern. Die späteren Phasen müssen sich auf längerfristige Änderungen (z. B. Änderungen der Infrastruktur) und laufende Arbeiten konzentrieren, um das Unternehmen so sicher wie möglich zu halten.

Bei einigen Vorfällen ist die Beseitigung entweder nicht erforderlich oder sie erfolgt während der Wiederherstellung. 

Berücksichtigen Sie dabei Folgendes:
+ Kann das System erneut erstellt und anschließend mit Patches oder anderen Gegenmaßnahmen abgesichert werden, um das Risiko von Angriffen zu verhindern oder zu verringern?
+ Werden alle von den Angreifern hinterlassenen Schadsoftware und anderen Artefakte entfernt und die betroffenen Systeme gegen weitere Angriffe abgesichert?

# Wiederherstellung
<a name="sir-recover"></a>

AMS arbeitet mit Ihnen zusammen, um den normalen Betrieb der Systeme wiederherzustellen, sicherzustellen, dass die Systeme normal funktionieren, und (falls zutreffend) Sicherheitslücken zu beheben, um ähnliche Vorfälle zu verhindern.

 Berücksichtigen Sie dabei Folgendes:
+ Wurden die betroffenen Systeme gepatcht und sind sie gegen den jüngsten Angriff und mögliche zukünftige Angriffe abgesichert?
+ An welchem Tag und zu welcher Uhrzeit können die betroffenen Systeme wieder in Betrieb genommen werden?
+ Welche Tools werden Sie verwenden, um zu testen, zu überwachen und sicherzustellen, dass die Systeme, die Sie in Betrieb nehmen, nicht anfällig für die ersten Angriffstechniken sind?

# Bericht nach dem Vorfall
<a name="sir-post-report"></a>

Nach dem Ereignis führt AMS einen Ermittlungsprozess zur Überprüfung aller Sicherheitsvorfälle durch. Und AMS leitet einen Prozess zur Fehlerkorrektur (COE) ein, um Sicherheitsvorfälle zu beheben, die durch ein System oder einen verfahrenstechnischen Fehler verursacht wurden, der plausibel verbesserungswürdig ist. AMS arbeitet mit Ihnen zusammen, um die Erfahrung mit Sicherheitsuntersuchungen kontinuierlich zu verbessern. Der COE-Prozess hilft AMS dabei, die Faktoren zu identifizieren, die sich auf die Kunden auswirken, und verknüpft diese Ursachen mit den nächsten Maßnahmen, die verhindern können, dass sich ähnliche Ereignisse wiederholen, oder trägt dazu bei, die Dauer oder das Ausmaß der Auswirkungen zu verringern.

 Das Verfahren zur Überprüfung von Sicherheitsvorfällen befasst sich mit den folgenden Punkten, um Verbesserungsmöglichkeiten zu ermitteln:
+ Wie lange verging zwischen dem Beginn des Vorfalls, der Entdeckung des Vorfalls, der ersten Folgenabschätzung und den einzelnen Phasen der Bearbeitung des Vorfalls (z. B. Eindämmung, Behebung)?
+ Wie lange hat es gedauert, bis das Incident-Response-Team auf den ersten Bericht über den Vorfall reagiert hat?
+ Wie lange hat es gedauert, eine erste Folgenabschätzung durchzuführen?
+ War das vermeidbar und wie? Gibt es ein Tool oder einen Prozess, der dies hätte verhindern können?
+ Hätten wir das früher erkennen können und wie?
+ Was hätte die Untersuchung beschleunigen können?
+ Wurden die dokumentierten Verfahren zur Reaktion auf Vorfälle eingehalten? Waren sie ausreichend?
+ Wurde der Informationsaustausch mit anderen Interessenträgern rechtzeitig durchgeführt? Wie könnte er verbessert werden?
+ War die Zusammenarbeit mit anderen Teams (AWS Sicherheit, Kundenteams, AWS Entwicklungsteam und Kundensicherheitsteam) effektiv? Wenn nicht, was könnte verbessert werden?
+ Welche Vorbereitungsschritte fehlten, die hätten helfen können: Eskalationsmatrizen, RACIs, Modelle der geteilten Verantwortung und so weiter? Müssen Runbooks aktualisiert werden?
+ Was war der Unterschied zwischen der ursprünglichen Folgenabschätzung und der endgültigen Folgenabschätzung? Was können wir tun, um die Genauigkeit der Bewertungen zu einem früheren Zeitpunkt der Reaktion auf Vorfälle zu verbessern?
+ Welche Maßnahmen ergeben sich aus den gewonnenen Erkenntnissen?

# Runbooks zur Reaktion auf Sicherheitsvorfälle in AMS
<a name="sir-runbooks"></a>

Dieser Abschnitt enthält zwei Runbooks:
+ [Reaktion auf Root-Benutzeraktivitäten](sir-root-user.md)
+ [Reaktion auf Malware-Ereignisse](sir-malware.md)

# Reaktion auf Root-Benutzeraktivitäten
<a name="sir-root-user"></a>

Der [Root-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) ist der Superuser in Ihrem AWS Konto. Beachten Sie, dass AMS die Root-Nutzung überwacht. Es hat sich bewährt, den Root-Benutzer nur für die wenigen Aufgaben zu verwenden, für die er erforderlich ist, z. B. um Ihre Kontoeinstellungen zu ändern, den AWS Identity and Access Management (IAM-) Zugriff auf die Abrechnung und das Kostenmanagement zu aktivieren, Ihr Root-Passwort zu ändern und die Multi-Faktor-Authentifizierung (MFA) zu aktivieren. Weitere Informationen finden Sie unter [Aufgaben, für die Root-Benutzeranmeldedaten erforderlich sind](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html#aws_tasks-that-require-root).

Weitere Informationen darüber, wie AMS über die geplante Root-Nutzung informiert werden kann, finden Sie unter [Wann und wie wird das Root-Konto in AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/how-when-to-use-root.html) verwendet?

Wenn Root-Benutzeraktivitäten erkannt werden, entweder fehlgeschlagene Anmeldeversuche, die auf einen Brute-Force-Angriff hinweisen könnten, oder Aktivitäten im Konto nach einer erfolgreichen Anmeldung, wird ein Ereignis generiert und ein Vorfall an Ihre definierten Sicherheitskontakte gesendet.

AWS Managed Services Operations untersucht ungeplante Root-Benutzeraktivitäten, führt Datenerfassung, Triage und Analyse durch und führt Eindämmungsaktivitäten auf Ihre Anweisung hin durch, gefolgt von einer Analyse nach dem Ereignis.

Wenn Sie das AMS Advanced-Betriebsmodell nutzen, erhalten Sie zusätzliche Mitteilungen von den Technikern von AMS CSDM und AMS Ops, die ungeplante Root-Benutzeraktivitäten bestätigen, da AMS für die Sicherung der Root-Benutzeranmeldedaten verantwortlich ist. AMS untersucht die Root-Benutzeraktivitäten, bis Sie einen weiteren Weg bestätigt haben.

## Vorbereitung
<a name="sir-prepare-root"></a>

Informieren Sie AMS über jede geplante Nutzung des Root-Benutzers, indem Sie eine AMS-Serviceanfrage mit den Daten und Zeiten des geplanten Ereignisses einreichen, um unnötige Maßnahmen zur Reaktion auf Vorfälle zu vermeiden.

Nehmen Sie regelmäßig Kontakt GameDays mit AMS auf, um die Prozesse von AMS zur Reaktion auf Kundenvorfälle zu überprüfen, Mitarbeiter und Systeme auf dem neuesten Stand zu halten, und bauen Sie gemeinsam mit verantwortlichen Personen ein gutes Gedächtnis auf, um eine schnellere Reaktion auf Vorfälle zu erreichen.

## Phase A: Erkennen
<a name="sir-detect-root"></a>

AMS überwacht die Konten anhand von Erkennungsquellen, einschließlich GuardDuty AMS-Überwachung, auf Root-Aktivitäten.

Wenn Sie AMS Accelerate verwenden, reagiert das Betriebsmodell auf den Vorfall und fordert eine Untersuchung auf unerwartete Root-Benutzeraktivitäten an. In diesem Fall initiiert AMS Operations das Runbook für kompromittierte Konten.

Wenn Sie AMS Advanced verwenden, reagiert das Betriebsmodell auf den Vorfall oder informiert das CSDM über geplante Root-Benutzeraktivitäten, um eine aktive Untersuchung zur Kontengefährdung zu beenden.

## Phase B: Analysieren
<a name="sir-analyze-root"></a>

AMS führt eine gründliche Untersuchung der Root-Benutzerereignisse durch, wenn festgestellt wird, dass die Aktivität nicht autorisiert ist. Sowohl mithilfe von Automatisierungen als auch mithilfe des AMS Security Response Teams werden Protokolle und Ereignisse auf Anomalien und unerwartetes Verhalten von Root-Benutzern analysiert. Mithilfe von Protokollen können Sie feststellen, ob die Aktivität unbekannt ist, ob es sich um ein autorisiertes Root-Benutzer-Ereignis handelt oder ob weitere Untersuchungen erforderlich sind.

Zu den Informationen, die während der Untersuchung zur Unterstützung interner Kontrollen zur Verfügung gestellt wurden, gehören unter anderem:
+ Kontoinformationen: Für welches Konto wurde das Root-Konto verwendet?
+ E-Mail-Adresse für den Root-Benutzer: Jeder Root-Benutzer ist mit einer E-Mail-Adresse aus Ihrer Organisation verknüpft
+ Authentifizierungsdetails: Wo und wann hat der Root-Benutzer auf Ihre Umgebung zugegriffen?
+ Aktivitätsaufzeichnungen: Was hat der Benutzer getan, als er als Root angemeldet war? Diese Aufzeichnungen liegen in Form von CloudWatch Ereignissen vor. Zu verstehen, wie man diese Protokolle liest, hilft bei der Untersuchung.

Es hat sich bewährt, dass Sie bereit sind, die Analyseinformationen zu erhalten, und einen Plan haben, wie Sie autorisierte Ansprechpartner für Konten in Ihrem Unternehmen erreichen können. Da Stammbenutzer nicht als Einzelpersonen benannt werden, können Fragen schnell intern weitergeleitet werden, wenn Sie feststellen, wer Zugriff auf die für das Konto verwendete Stamm-E-Mail-Adresse innerhalb Ihrer Organisation hat. 

## Phase C: Eindämmen und Ausrotten
<a name="sir-eradicate-root"></a>

AMS arbeitet mit Ihren Sicherheitsteams zusammen, um die Eindämmung auf Anweisung Ihrer autorisierten Ansprechpartner für Kundensicherheit durchzuführen. Zu den Eindämmungsoptionen gehören: 
+ Rotation der entsprechenden Anmeldeinformationen und Schlüssel.
+ Beenden aktiver Sitzungen mit Konten und Ressourcen.
+ Beseitigung der erstellten Ressourcen.

Während der Eindämmungsmaßnahmen arbeitet AMS eng mit Ihrem Sicherheitsteam zusammen, um sicherzustellen, dass Störungen Ihrer Workloads so gering wie möglich gehalten werden und die Root-Zugangsdaten angemessen gesichert sind.

Nach Abschluss des Eindämmungsplans arbeiten Sie mit dem AMS Operations Team zusammen, um alle erforderlichen Wiederherstellungsmaßnahmen durchzuführen.

## Bericht nach dem Vorfall
<a name="sir-post-root"></a>

Bei Bedarf leitet AMS den Überprüfungsprozess der Untersuchung ein, um alle gewonnenen Erkenntnisse zu ermitteln. Im Rahmen der Durchführung eines COE teilt AMS den betroffenen Kunden alle relevanten Ergebnisse mit, um ihnen zu helfen, ihren Prozess zur Reaktion auf Vorfälle zu verbessern.

AMS dokumentiert alle endgültigen Einzelheiten der Untersuchung, erfasst die entsprechenden Kennzahlen und meldet den Vorfall dann allen internen Teams von AMS, die Informationen benötigen, einschließlich der von Ihnen zugewiesenen CSDM und CA.

# Reaktion auf Malware-Ereignisse
<a name="sir-malware"></a>

 EC2 Amazon-Instances werden verwendet, um eine Vielzahl von Workloads zu hosten, darunter Software von Drittanbietern und individuell entwickelte Software, die von Anwendungsteams innerhalb von Organisationen bereitgestellt wird. AMS stellt Images bereit und ermutigt Sie dazu, Ihre Workloads auf Images bereitzustellen, die von AMS fortlaufend gepatcht und gewartet werden.

Während des Betriebs von Instances überwacht AMS mithilfe einer Vielzahl von Sicherheitserkennungskontrollen, darunter Amazon GuardDuty, Endpoint Protection, Network Traffic und interne Threat Intelligence-Feeds von Amazon, auf Verhaltens- oder Aktivitätsanomalien.

AMS-Kunden mit dem AMS Advanced-Betriebsmodell haben den Endpoint Security (EPS) -Monitoring-Client automatisch auf den bereitgestellten Ressourcen installiert. Dadurch wird sichergestellt, dass die Ressourcen rund um die Uhr überwacht und unterstützt werden, einschließlich der Entstehung eines Sicherheitsvorfalls, wenn ein Ereignis erkannt wird.

AMS überwacht auch GuardDuty Malware-Ergebnisse. Diese sind sowohl für AMS Advanced als auch für AMS Accelerate verfügbar, sofern sie aktiviert sind. Weitere Informationen finden Sie unter [Malware-Schutz bei Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html).

**Anmerkung**  
Wenn Sie sich für [Bring Your Own EPS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html) entschieden haben, unterscheidet sich das Verfahren zur Reaktion auf Vorfälle von dem, was auf dieser Seite beschrieben wird. Weitere Informationen finden Sie in der Dokumentation, auf die verwiesen wird.

Wenn Malware erkannt wird, wird ein Vorfall erstellt und Sie werden darüber informiert. Auf diese Benachrichtigung folgen alle aufgetretenen Behebungsmaßnahmen. AMS Operations untersucht, führt Datenerfassung, Sortierung und Analyse durch und führt dann auf Ihre Anweisung hin Eindämmungsmaßnahmen durch, gefolgt von Analysen nach dem Ereignis.

## Phase A: Erkennen
<a name="sir-malware-detect"></a>

AMS überwacht Instances auf Ereignissen mit einer GuardDuty Sicherheitslösung für Endpunkte. AMS bestimmt die geeigneten Anreicherungs- und Triage-Aktivitäten, damit Sie je nach Befund- oder Warnungstyp Entscheidungen zur Eindämmung oder Risikoakzeptanz treffen können.

Die Datenerfassung erfolgt auf der Grundlage des Ergebnistyps. Bei der Datenerhebung werden mehrere Datenquellen innerhalb und außerhalb des betroffenen Kontos abgefragt, um sich ein Bild von der beobachteten Aktivität oder den besorgniserregenden Konfigurationen zu machen.

AMS korreliert die Ergebnisse mit allen anderen Alarmen und Warnmeldungen oder Telemetriedaten von allen betroffenen Konten oder AMS-Bedrohungsinformationsplattformen.

## Phase B: Analysieren
<a name="sir-malware-analyze"></a>

Nachdem die Daten gesammelt wurden, werden sie analysiert, um mögliche Aktivitäten oder besorgniserregende Indikatoren zu identifizieren. In dieser Phase der Untersuchung arbeitet AMS mit Ihnen zusammen, um Geschäfts- und Domänenwissen über die Instanzen und Workloads zu integrieren, damit Sie besser verstehen, was erwartet wird und was ungewöhnlich ist.

Zu den Informationen, die während der Untersuchung zur Unterstützung interner Kontrollen zur Verfügung gestellt wurden, gehören unter anderem:
+ Kontoinformationen: Auf welchem Konto wurde die Malware-Aktivität beobachtet?
+ Instanzdetails: Welche Instanz (en) sind von den Malware-Ereignissen betroffen?
+ Zeitstempel des Ereignisses: Wann wurde die Warnung ausgelöst?
+ Informationen zur Arbeitslast: Was läuft auf der Instance? 
+ Malware-Details, falls relevant: Malware-Familien und Open-Source-Informationen zu der Malware.
+ Benutzer- oder Rollendetails: Welche Benutzer oder Rollen sind von der Aktivität betroffen und an der Aktivität beteiligt?
+ Aktivitätsaufzeichnungen: Welche Aktivitäten werden auf der Instance aufgezeichnet? Diese liegen in Form von CloudWatch Ereignissen und Systemereignissen aus der Instanz vor. Wenn Sie wissen, wie diese Protokolle gelesen werden, können Sie sie leichter untersuchen
+ Netzwerkaktivität: Welche Endpunkte stellen eine Verbindung zu der Instance her, mit wem stellt die Instance eine Verbindung her und was ist die Traffic-Analyse?

Es hat sich bewährt, darauf vorbereitet zu sein, Ermittlungsinformationen zu erhalten, und einen Plan zu haben, wie Sie die entsprechenden Kontaktstellen für Accounts, Instances und Workloads innerhalb Ihres Unternehmens kontaktieren können. Wenn Sie Ihre Netzwerktopologie und die erwartete Verbindung kennen, können Sie die Folgenabschätzung beschleunigen. Kenntnisse über geplante Penetrationstests in der Umgebung und aktuelle Implementierungen, die von Anwendungsbesitzern durchgeführt wurden, können die Untersuchung ebenfalls beschleunigen.

Wenn Sie feststellen, dass die Aktivität geplant und autorisiert ist, wird der Vorfall aktualisiert und die Untersuchung abgeschlossen. Wenn der Kompromiss bestätigt wird, legen Sie und AMS den geeigneten Eindämmungsplan fest.

## Phase C: Eindämmen und Ausrotten
<a name="sir-malware-eradicate"></a>

AMS arbeitet mit Ihnen zusammen, um auf der Grundlage der gesammelten Daten und der bekannten Informationen geeignete Maßnahmen zur Eindämmung zu ermitteln. Zu den Eindämmungsoptionen gehören unter anderem:
+ Aufbewahrung von Daten durch Schnappschüsse
+ Änderung der Netzwerkregeln zur Begrenzung des Datenverkehrs innerhalb oder außerhalb von Instanzen
+ Änderung der SCP-, IAM-Benutzer- und Rollenrichtlinien zur Beschränkung des Zugriffs
+ Instanzen beenden, aussetzen oder ausschalten
+ Beenden aller dauerhaften Verbindungen
+ Rotieren der entsprechenden Anmeldeinformationen/Schlüssel

Wenn Sie sich dafür entscheiden, eine Eradikationsaktivität gegen die Instance durchzuführen, unterstützt Sie AMS dabei, dies zu erreichen. Zu den Optionen gehören, sind aber nicht beschränkt auf:
+ Unerwünschte Software entfernen
+ Neuaufbau der Instanz aus einem sauberen, vollständig gepatchten Image und erneutes Bereitstellen von Anwendungen und Konfiguration
+ Wiederherstellung der Instanz aus einem früheren Backup
+ Bereitstellen von Anwendungen und Diensten auf einer anderen Instanz innerhalb Ihres Kontos, die möglicherweise zum Hosten der Workloads geeignet ist.

Es ist wichtig, vor der Wiederherstellung des Dienstes festzustellen, wie die Malware übertragen und auf der Instanz ausgeführt wurde, um sicherzustellen, dass alle zusätzlichen Kontrollen angewendet werden, um ein erneutes Auftreten der Malware auf der Instanz zu verhindern. AMS stellt Ihren forensischen Partnern oder Teams bei Bedarf zusätzliche Erkenntnisse oder Informationen zur Verfügung, um die Forensik zu unterstützen.

Derzeit arbeiten Sie für die Wiederherstellungsaktivitäten mit AMS Operations zusammen. AMS arbeitet eng mit Ihnen zusammen, um Unterbrechungen der Workloads zu minimieren und die Instanzen zu sichern.

## Bericht nach dem Vorfall
<a name="sir-malware-post-event"></a>

Bei Bedarf leitet AMS die Überprüfung der Untersuchung ein, um die gewonnenen Erkenntnisse zu ermitteln. Im Rahmen der Durchführung eines COE teilt AMS Ihnen die relevanten Ergebnisse mit, damit Sie Ihren Prozess zur Reaktion auf Vorfälle verbessern können.

AMS dokumentiert die letzten Einzelheiten der Untersuchung, sammelt geeignete Kennzahlen und meldet den Vorfall den internen Teams von AMS, die Informationen benötigen, einschließlich der von Ihnen zugewiesenen CSDM und CA.