Zusammenfassung der Vorbereitungselemente - AWS Security Incident Response Benutzerleitfaden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zusammenfassung der Vorbereitungselemente

Eine gründliche Vorbereitung der Reaktion auf Sicherheitsereignisse ist entscheidend für eine zeitnahe und effektive Reaktion im Ernstfall. Bei der Vorbereitung der Reaktion auf Vorfälle sind Mitarbeiter, Prozesse und Technologien beteiligt. Alle drei Bereiche sind für die Vorbereitung gleichermaßen wichtig. Sie sollten Ihr Incident-Response-Programm für alle drei Bereiche vorbereiten und weiterentwickeln.

In Tabelle 2 sind die in diesem Abschnitt aufgeführten Vorbereitungspunkte zusammengefasst.

Tabelle 2 — Punkte zur Vorbereitung der Reaktion auf Vorfälle

Domain Vorbereitungsartikel Aktionselemente
Leute Definieren von Rollen und Zuständigkeiten.

  • Identifizieren Sie die für die Reaktion auf Vorfälle relevanten Beteiligten.

  • Entwickeln Sie ein Diagramm für einen Vorfall, der verantwortungsbewusst, rechenschaftspflichtig, informiert und konsultiert wurde (RACI).

Menschen Schulen Sie Mitarbeiter für die Reaktion auf Vorfälle darin AWS.

  • Schulen Sie die Beteiligten bei der Reaktion auf Vorfälle auf AWS Fundamenten.

  • Schulen Sie die Akteure bei der Reaktion auf Vorfälle in AWS Bezug auf Sicherheits- und Überwachungsdienste.

  • Informieren Sie die Beteiligten bei der Reaktion auf Vorfälle über Ihre AWS Umgebung und deren Architektur.

Menschen Verstehen Sie AWS die Support-Optionen.

  • Machen Sie sich mit den Unterschieden zwischen AWS Support, Customer Incident Response Team (CIRT), DDo S Response Team (DRT) und AMS vertraut.

  • Machen Sie sich mit dem Weg zur Triage und Eskalation vertraut, um das CIRT bei Bedarf während eines aktiven Sicherheitsereignisses zu erreichen.

Prozess Entwickeln eines Vorfallreaktionsplans.

  • Erstellen Sie ein Dokument auf hoher Ebene, in dem Ihr Vorfallreaktionsprogramm und Ihre Vorfallreaktionsstrategie definiert sind.

  • Nehmen Sie einen RACI, einen Kommunikationsplan, Definitionen von Vorfällen und Phasen der Reaktion auf Vorfälle in den Plan zur Reaktion auf Vorfälle auf.

Prozess Dokumentieren und zentralisieren Sie Architekturdiagramme.

  • Dokumentieren Sie Einzelheiten zur Konfiguration Ihrer AWS Umgebung in Bezug auf Kontostruktur, Servicenutzung, IAM-Muster und andere Kernfunktionen Ihrer Konfiguration. AWS

  • Entwickeln Sie Architekturdiagramme Ihrer Cloud-Architekturen.

Prozess Entwickeln Sie Playbooks zur Reaktion auf Vorfälle.

  • Erstellen Sie eine Vorlage für die Struktur Ihrer Playbooks.

  • Erstellen Sie Playbooks für erwartete Sicherheitsereignisse.

  • Erstellen Sie Playbooks für bekannte Sicherheitswarnungen, wie z. B. GuardDuty Ergebnisse.

Prozess Führen Sie regelmäßige Simulationen durch.

  • Entwickeln Sie einen regelmäßigen Rhythmus, um Vorfallsimulationen durchzuführen.

  • Nutzen Sie die Ergebnisse und gewonnenen Erkenntnisse, um Ihr Programm zur Reaktion auf Vorfälle weiterzuentwickeln.

Technologie Entwickeln Sie eine AWS Kontostruktur.

  • Planen Sie eine Kontostruktur, in der festgelegt ist, wie Workloads nach AWS Konten getrennt werden.

  • Erstellen Sie eine Sicherheits-OU mit einem Sicherheitstool und einem Konto für die Protokollarchivierung.

  • Erstellen Sie eine Forensik-OU mit Forensik-Konten für jede -Region, in der Sie tätig sind.

Technologie Entwickeln und implementieren Sie eine Tagging-Strategie, die es den Einsatzkräften ermöglicht, die Verantwortung und den Kontext der Ergebnisse zu identifizieren.

  • Planen Sie eine Strategie für das Tagging und legen Sie fest, welche Tags Sie mit Ihren Ressourcen verknüpfen möchten. AWS

  • Implementieren Sie die Tagging-Strategie und setzen Sie sie durch.

Technologie Aktualisieren Sie die Kontaktinformationen Ihres AWS Kontos.

  • Vergewissern Sie sich, dass AWS für die Konten Kontaktinformationen aufgeführt sind.

  • Erstellen Sie E-Mail-Verteilerlisten für die Kontaktinformationen, um einzelne Fehlerquellen zu vermeiden.

  • Schützen Sie die E-Mail-Konten, die mit den AWS Kontoinformationen verknüpft sind.

Technologie Bereiten Sie den Zugriff auf AWS Konten vor.

  • Definieren Sie, welchen Zugriff Incident-Responder benötigen, um auf einen Vorfall zu reagieren.

  • Implementieren, testen und überwachen Sie den Zugriff.

Technologie Verstehen Sie die Bedrohungslandschaft.

  • Entwickeln Sie Bedrohungsmodelle für Ihre Umgebung und Anwendungen.

  • Integrieren und nutzen Sie Informationen zu Cyberbedrohungen.

Technologie Auswählen und Einrichten von Protokollen.

  • Identifizieren und aktivieren Sie Protokolle für Untersuchungen.

  • Wählen Sie Protokollspeicher.

  • Identifizieren und implementieren Sie die Protokollaufbewahrung.

  • Entwickeln Sie einen Mechanismus zum Abrufen und Abfragen von Protokollen und Artefakten.

  • Verwenden Sie Protokolle für Warnmeldungen.

Technologie Entwickeln Sie forensische Fähigkeiten.

  • Identifizieren Sie Artefakte, die für die forensische Erfassung erforderlich sind.

  • Erfassen und sichern Sie Backups wichtiger Systeme.

  • Definieren Sie Mechanismen für die Analyse identifizierter Logs und Artefakte.

  • Implementieren Sie Automatisierung für forensische Analysen.

Für die Vorbereitung der Reaktion auf Vorfälle wird ein iterativer Ansatz empfohlen. All diese Vorbereitungsschritte können nicht über Nacht erledigt werden. Sie sollten einen Plan erstellen, um klein anzufangen und Ihre Fähigkeiten zur Reaktion auf Vorfälle im Laufe der Zeit kontinuierlich zu verbessern.