# SEC 10. Wie können Sie Vorfälle voraussagen, darauf reagieren und diese beheben?
<a name="sec-10"></a>

 Obwohl die präventiven und Erkennungskontrollen mittlerweile ausgereift sind, sollte Ihr Unternehmen Verfahren etablieren, um auf Sicherheitsvorfälle reagieren und mögliche Auswirkungen mindern zu können. Ihre Vorbereitung wirkt sich stark auf die Fähigkeit Ihrer Teams aus, während eines Vorfalls effektiv zu arbeiten, Probleme zu isolieren, einzudämmen und forensisch zu untersuchen sowie den Betrieb in einem bekannten guten Zustand wiederherzustellen. Durch die Bereitstellung von Tools und Zugriff vor einem Sicherheitsvorfall und die routinemäßige Reaktion auf Vorfälle im Alltag können Sie sicherstellen, dass Sie eine Wiederherstellung durchführen und die Betriebsunterbrechung minimieren können. 

**Topics**
+ [SEC10-BP01 Identifizieren wichtiger Mitarbeiter und externer Ressourcen](sec_incident_response_identify_personnel.md)
+ [SEC10-BP02 Entwickeln von Vorfallmanagementplänen](sec_incident_response_develop_management_plans.md)
+ [SEC10-BP03 Vorbereiten forensischer Funktionen](sec_incident_response_prepare_forensic.md)
+ [SEC10-BP04 Entwickeln und Testen von Playbooks für die Reaktion auf Sicherheitsvorfälle](sec_incident_response_playbooks.md)
+ [SEC10-BP05 Vorab bereitgestellter Zugriff](sec_incident_response_pre_provision_access.md)
+ [SEC10-BP06 Vorabbereitstellen von Tools](sec_incident_response_pre_deploy_tools.md)
+ [SEC10-BP07 Durchführen von Simulationen](sec_incident_response_run_game_days.md)
+ [SEC10-BP08 Entwickeln eines Frameworks, um aus Vorfällen zu lernen](sec_incident_response_establish_incident_framework.md)

# SEC10-BP01 Identifizieren wichtiger Mitarbeiter und externer Ressourcen
<a name="sec_incident_response_identify_personnel"></a>

 Ermitteln Sie interne und externe Mitarbeiter und Ressourcen, die bei Auftreten eines Vorfalls reagieren können. 

Wenn Sie Ihren Ansatz zur Vorfallreaktion in der Cloud definieren, müssen Sie in Zusammenarbeit mit anderen Teams (z. B. Rechtsberater, Geschäftsleitung, Business-Stakeholder, AWS-Support-Services usw.) wichtige Mitarbeiter, Interessengruppen und relevante Kontakte identifizieren. Um Abhängigkeiten zu reduzieren und die Reaktionszeit zu verkürzen, müssen Sie sicherstellen, dass Ihr Team, die spezialisierten Sicherheitsteams und die Kundendienstmitarbeiter über die Services informiert sind, die Sie nutzen, und die Gelegenheit erhalten, praktische Erfahrungen zu sammeln.

Wir empfehlen Ihnen, externe AWS-Sicherheitspartner zu identifizieren, die Ihnen externes Fachwissen und eine andere Perspektive bieten können, um Ihre Reaktionsfähigkeit zu verbessern. Ihre vertrauenswürdigen Sicherheitspartner können Ihnen dabei helfen, potenzielle Risiken oder Bedrohungen zu identifizieren, mit denen Sie möglicherweise nicht vertraut sind.

 **Risikostufe bei fehlender Befolgung dieser Best Practice:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  **Ermitteln von Personal in Schlüsselfunktionen im Unternehmen:** Pflegen Sie eine Kontaktliste mit Mitarbeitern Ihres Unternehmens, die bei Eintreten eines Vorfalls hinzugezogen werden müssen, um darauf zu reagieren und die Sicherheit wiederherzustellen. 
+  **Externe Partner ermitteln** Beauftragen Sie gegebenenfalls externe Partner, die bei der Reaktion auf einen Vorfall und bei der Wiederherstellung der Sicherheit behilflich sein können. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [AWS Security Incident Response Guide (AWS-Sicherheitsleitfaden für die Vorfallreaktion)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 

 **Zugehörige Videos:** 
+  [Prepare for and respond to security incidents in your AWS environment (Vorbereiten und Reagieren auf Sicherheitsvorfälle in Ihrer AWS-Umgebung) ](https://youtu.be/8uiO0Z5meCs)

 **Zugehörige Beispiele:** 

# SEC10-BP02 Entwickeln von Vorfallmanagementplänen
<a name="sec_incident_response_develop_management_plans"></a>

Das erste Dokument, das für die Vorfallreaktion entwickelt werden muss, ist der Vorfallreaktionsplan. Der Vorfallreaktionsplan ist als Grundlage für Ihr Vorfallreaktionsprogramm und Ihre Vorfallreaktionsstrategie konzipiert. 

 **Vorteile der Nutzung dieser bewährten Methode:** Die Entwicklung gründlicher und klar definierter Prozesse zur Vorfallreaktion ist der Schlüssel zu einem erfolgreichen und skalierbaren Vorfallreaktionsprogramm. Wenn ein Sicherheitsereignis eintritt, können Ihnen klare Schritte und Workflows dabei helfen, rechtzeitig zu reagieren. Möglicherweise verfügen Sie bereits über bestehende Prozesse zur Vorfallreaktion. Unabhängig von Ihrem aktuellen Status ist es wichtig, Ihre Prozesse zur Vorfallreaktion regelmäßig zu aktualisieren, zu wiederholen und zu testen. 

 **Risikostufe bei fehlender Befolgung dieser Best Practice:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

Ein Vorfallreaktionsplan ist von entscheidender Bedeutung, um auf Sicherheitsvorfälle zu reagieren, sie einzudämmen und ihre potenziellen Folgen zu beheben. Ein Vorfallmanagementplan ist ein strukturierter Prozess für die Identifizierung und Behebung von Sicherheitsvorfällen sowie die zeitgerechte Reaktion darauf.

 In der Cloud gibt es viele der betrieblichen Rollen und Anforderungen, die auch für eine On-Premises-Umgebung typisch sind. Bei der Erstellung eines Vorfallmanagementplans ist es wichtig, Reaktions- und Wiederherstellungsstrategien zu berücksichtigen, die optimal zu Ihren Anforderungen an geschäftliche Ergebnisse und Compliance passen. Wenn Sie beispielsweise Workloads in AWS bearbeiten, die mit FedRAMP in den USA kompatibel sind, sollten Sie den [NIST SP 800-61 Computer Security Handling Guide berücksichtigen](https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf). Ähnlich gilt beim Betrieb von Workloads mit persönlich identifizierbaren Informationen (PII) in Europa, dass Sie an Szenarien denken sollten, in denen Sie diese schützen und auf Probleme reagieren müssen, die im Zusammenhang mit den Bestimmungen zu Datenspeicherorten der [Regulierungen der Datenschutz-Grundverordnung (DSGVO) der EU stehen](https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en). 

 Wenn Sie einen Vorfallmanagementplan für Ihre Workloads in AWS erstellen, beginnen Sie mit dem [AWS-Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) zum Aufbau eines gründlichen Verteidigungskonzepts im Rahmen Ihrer Vorfallreaktionen. In diesem Modell kümmert sich AWS um die Sicherheit der Cloud und Sie sind für die Sicherheit in der Cloud verantwortlich. Dies bedeutet, dass Sie die Kontrolle behalten und für die Sicherheitskontrollen verantwortlich sind, für deren Implementierung Sie sich entscheiden. Der [Leitfaden für AWS Security Incident Response](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) enthält zentrale Konzepte und grundlegende Anleitungen für den Aufbau eines cloudbasierten Vorfallmanagementplans.

 Ein effektiver Vorfallmanagementplan muss kontinuierlich iteriert und stets an die Ziele Ihrer Cloud-Operationen angepasst werden. Erwägen Sie die Verwendung der nachfolgend erläuterten Implementierungspläne für die Erstellung und Weiterentwicklung Ihres Vorfallmanagementplans. 

## Implementierungsschritte
<a name="implementation-steps"></a>

 **Definieren von Rollen und Zuständigkeiten** 

 Der Umgang mit Sicherheitsereignissen erfordert organisationsübergreifende Disziplin und Handlungsbereitschaft. Innerhalb Ihrer Organisationsstruktur sollte es viele Personen geben, die für einen Vorfall verantwortlich, rechenschaftspflichtig, konsultiert oder auf dem Laufenden gehalten werden, z. B. Vertreter der Personalabteilung (HR), des Führungsteams und der Rechtsabteilung. Berücksichtigen Sie diese Rollen und Verantwortlichkeiten und ob Dritte beteiligt sein müssen. Beachten Sie, dass in vielen Regionen lokale Gesetze gelten, die regeln, was getan werden sollte und was nicht. Auch wenn es bürokratisch erscheinen mag, ein Diagramm für Verantwortung, Rechenschaftspflicht, Berater und zu Informierende (RACI) für Ihre Sicherheitspläne zu erstellen, erleichtert dies eine schnelle und direkte Kommunikation und gibt einen klaren Überblick über die Führungskräfte in den verschiedenen Phasen des Ereignisses. 

 Bei einem Vorfall ist es von entscheidender Bedeutung, die Eigentümer und Entwickler der betroffenen Anwendungen und Ressourcen einzubeziehen, da es sich um Fachexperten (SMEs) handelt, die Informationen und Zusammenhänge bereitstellen können, um die Auswirkungen zu messen. Üben Sie und bauen Sie Beziehungen zu den Entwicklern und Anwendungsbesitzern auf, bevor Sie sich bei der Vorfallreaktion auf deren Fachwissen verlassen. Anwendungsinhaber oder SMEs, wie Ihre Cloud-Administratoren oder Techniker, müssen möglicherweise in Situationen handeln, in denen die Umgebung nicht vertraut oder komplex ist oder in denen die Handelnden keinen Zugriff haben. 

 Schließlich könnten vertrauenswürdige Partner in die Untersuchung oder Reaktion einbezogen werden, da sie zusätzliches Fachwissen und wertvolle Einblicke bereitstellen können. Wenn Sie in Ihrem eigenen Team nicht über diese Fähigkeiten verfügen, sollten Sie eine externe Partei mit der Unterstützung beauftragen. 

 **Die AWS-Reaktionsteams und der Support** 
+  **AWS Support** 
  +  [Support](https://aws.amazon.com/premiumsupport/) bietet eine Reihe von Tarifen, die den Zugriff auf Tools und Fachwissen ermöglichen, um den Erfolg und die Betriebssicherheit Ihrer AWS-Lösungen zu unterstützen. Wenn Sie technischen Support und weitere Ressourcen benötigen, um Ihre AWS-Umgebung zu planen, bereitzustellen und zu optimieren, können Sie einen Supportplan auswählen, der am besten zu Ihrem AWS-Anwendungsfall passt. 
  +  Das [Support-Center](https://console.aws.amazon.com/support) in der AWS-Managementkonsole (Anmeldung erforderlich) ist Ihre zentrale Anlaufstelle, um Unterstützung bei Problemen zu erhalten, die sich auf Ihre AWS-Ressourcen auswirken. Der Zugriff auf den Support wird über AWS Identity and Access Management gesteuert. Weitere Informationen zum Zugriff auf Support-Funktionen finden Sie unter [Erste Schritte mit Support](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html#accessing-support). 
+  **AWS-Kundenvorfallreaktionsteam (CIRT)** 
  +  Das AWS-Kundenvorfallreaktionsteam (CIRT) ist ein spezialisiertes globales, rund um die Uhr verfügbares AWS-Team, das Kunden bei aktiven Sicherheitsereignissen auf Kundenseite des [AWS-Modells der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/). 
  +  Wenn das AWS-CIRT Sie unterstützt, bietet es Hilfe bei der Fehlererkennung und Wiederherstellung eines aktiven Sicherheitsereignisses auf AWS an. Sie können mithilfe von AWS-Serviceprotokollen bei der Ursachenanalyse helfen und Ihnen Empfehlungen für die Wiederherstellung geben. Sie können Ihnen auch Sicherheitsempfehlungen und bewährte Methoden an die Hand geben, mit denen Sie Sicherheitsereignisse in Zukunft vermeiden können. 
  +  AWS-Kunden können das AWS-CIRT über einen [Support-Fall](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html). 
+  **Unterstützung für DDoS-Response** 
  +  AWS bietet [AWS Shield](https://aws.amazon.com/shield/), das einen verwalteten Distributed Denial of Service (DDoS)-Schutzservice bereitstellt, der laufende Webanwendungen auf AWS schützt. Shield bietet eine ständig aktive Erkennung und automatische Inline-Schutzmaßnahmen, mit denen Ausfallzeiten und Latenz von Anwendungen minimiert werden können. Sie müssen also nicht Support kontaktieren, um vom DDoS-Schutz zu profitieren. Es gibt zwei Stufen von Shield: AWS Shield Standard und AWS Shield Advanced. Weitere Informationen zu den Unterschieden zwischen diesen beiden Stufen finden Sie unter [Shield-Funktionsdokumentation](https://aws.amazon.com/shield/features/). 
+  **AWS Managed Services (AMS)** 
  +  [AWS Managed Services (AMS)](https://aws.amazon.com/managed-services/) stellt eine fortlaufende Verwaltung Ihrer AWS-Infrastruktur bereit, damit Sie sich auf Ihre Anwendungen konzentrieren können. AMS trägt durch eine Implementierung bewährter Methoden zur Verwaltung Ihrer Infrastruktur dazu bei, den Betriebsaufwand zu reduzieren und das Risiko zu senken. Außerdem automatisiert AMS häufige Aktivitäten wie Änderungsanforderungen, Überwachung, Patch-Verwaltung, Sicherheit sowie Backup-Services und bietet während der gesamten Lebensdauer Services zum Bereitstellen, Ausführen und Unterstützen Ihrer Infrastruktur. 
  +  AMS übernimmt die Verantwortung für die Bereitstellung einer Reihe von Sicherheitskontrollen und bietet rund um die Uhr Erstreaktion auf Warnmeldungen an. Wenn eine Warnung ausgelöst wird, befolgt AMS eine Reihe automatisierter und manueller Standard-Playbooks, um sicherzustellen, dass eine konsistente Reaktion gewährleistet ist. Diese Playbooks werden den AMS-Kunden während des Onboardings zur Verfügung gestellt, damit sie eine Antwort entwickeln und mit AMS abstimmen können. 

 **Erstellen des Vorfallreaktionsplans** 

 Der Vorfallreaktionsplan ist als Grundlage für Ihr Vorfallreaktionsprogramm und Ihre Vorfallreaktionsstrategie konzipiert. Er sollte immer formell schriftlich festgehalten werden. Ein Vorfallreaktionsplan enthält in der Regel folgende Abschnitte: 
+  **Ein Überblick über das Vorfallreaktionsteam:** Er enthält die Ziele und Funktionen des Vorfallreaktionsteams. 
+  **Rollen und Zuständigkeiten:** Hier sind die für die Vorfallreaktion zuständigen Interessenvertreter aufgeführt und ihre Rollen im Falle eines Vorfalls werden beschrieben. 
+  **Ein Kommunikationsplan:** Dieser enthält Kontaktinformationen und gibt an, wie Sie während eines Vorfalls kommunizieren. 
+  **Alternative Kommunikationsmethoden:** Es hat sich bewährt, Out-of-Band-Kommunikation als Backup für die Kommunikation bei Vorfällen zu verwenden. Ein Beispiel für eine Anwendung, die einen sicheren Out-of-Band-Kommunikationskanal bereitstellt, ist AWS Wickr. 
+  **Phasen der Vorfallreaktion und zu ergreifende Maßnahmen:** Hier sind die Phasen der Vorfallreaktion aufgeführt (z. B. Erkennung, Analyse, Beseitigung, Eindämmung und Wiederherstellung), einschließlich der in diesen Phasen zu ergreifenden allgemeinen Maßnahmen. 
+  **Definitionen des Schweregrads und der Priorisierung des Vorfalls:** Hier wird erläutert, wie der Schweregrad eines Vorfalls klassifiziert wird, wie der Vorfall priorisiert wird und wie sich die Schweregraddefinitionen dann auf die Eskalationsverfahren auswirken. 

 Diese Abschnitte sind zwar in Unternehmen verschiedener Größen und Branchen üblich, der Vorfallreaktionsplan ist jedoch für jedes Unternehmen einzigartig. Sie müssen einen Vorfallreaktionsplan erstellen, der für Ihr Unternehmen am besten geeignet ist. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [SEC04 (Wie erkenne und untersuche ich Sicherheitsereignisse?)](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html) 

 **Zugehörige Dokumente:** 
+  [Leitfaden für AWS Security Incident Response](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 
+ [ NIST: Computer Security Incident Handling Guide ](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)

# SEC10-BP03 Vorbereiten forensischer Funktionen
<a name="sec_incident_response_prepare_forensic"></a>

Im Vorfeld eines Sicherheitsvorfalls sollten Sie erwägen, forensische Funktionen zur Unterstützung der Untersuchung von Sicherheitsereignissen zu entwickeln. 

 **Risikostufe bei fehlender Befolgung dieser Best Practice:** Mittel 

 Konzepte aus der traditionellen On-Premises-Forensik gelten für AWS. Wichtige Informationen für den Einstieg in den Aufbau forensischer Funktionen finden Sie AWS Cloud in den [Strategien für forensische Untersuchungsumgebungen in der AWS Cloud](https://aws.amazon.com/blogs/security/forensic-investigation-environment-strategies-in-the-aws-cloud/). 

 Sobald Sie Ihre Umgebung und AWS-Konto-Struktur für die Forensik eingerichtet haben, definieren Sie die Technologien, die für die effektive Durchführung forensisch fundierter Methoden in den vier Phasen erforderlich sind: 
+  **Sammlung:** Erfassen Sie relevante AWS-Protokolle wie AWS CloudTrail, AWS Config, VPC Flow Logs und Protokolle auf Host-Ebene. Erfassen Sie Snapshots, Backups und Speicherabbilder der betroffenen AWS-Ressourcen, sofern verfügbar. 
+  **Prüfung:** Prüfen Sie die erfassten Daten, indem Sie die relevanten Informationen extrahieren und bewerten. 
+  **Analyse:** Analysieren Sie die erfassten Daten, um den Vorfall zu verstehen und daraus Schlüsse zu ziehen. 
+  **Berichterstellung:** Präsentieren Sie die Informationen, die sich aus der Analysephase ergeben. 

## Implementierungsschritte
<a name="implementation-steps"></a>

 **Vorbereiten Ihrer forensischen Umgebung** 

 [AWS Organizations](https://aws.amazon.com/organizations/) hilft Ihnen bei der zentralen Verwaltung und Steuerung einer AWS-Umgebung, während Sie AWS-Ressourcen erweitern und skalieren. Eine AWS-Organisation konsolidiert Ihre AWS-Konten, sodass Sie sie als eine einzige Einheit verwalten können. Sie können Organisationseinheiten (OEs) verwenden, um Konten zu gruppieren und als eine einzige Einheit zu verwalten. 

 Für die Reaktion auf Vorfälle ist es hilfreich, eine AWS-Konto-Struktur zu haben, die die Funktionen der Vorfallsreaktion unterstützt. Dazu gehören eine *Sicherheits-OE* und eine *Forensik-OE*. Innerhalb der Sicherheits-OE sollten Sie Konten für Folgendes haben: 
+  **Archivierung des Protokolls:** Aggregieren Sie Protokolle in einem AWS-Konto für Protokollarchivierung mit eingeschränkten Berechtigungen. 
+  **Sicherheitstools:** Zentralisieren Sie Sicherheitsservices in einem AWS-Konto für Sicherheitstools. Dieses Konto fungiert als delegierter Administrator für Sicherheitsservices. 

 Innerhalb der Forensik-OE haben Sie die Möglichkeit, für jede Region, in der Sie tätig sind, ein oder mehrere forensische Konten zu implementieren, je nachdem, welche für Ihr Geschäfts- und Betriebsmodell am besten geeignet ist. Wenn Sie ein forensisches Konto pro Region erstellen, können Sie die Erstellung von AWS-Ressourcen außerhalb dieser Region blockieren und so das Risiko verringern, dass Ressourcen in eine unbeabsichtigte Region kopiert werden. Wenn Sie beispielsweise nur in US East (N. Virginia) Region (`us-east-1`) und US West (Oregon) (`us-west-2`) arbeiten, hätten Sie zwei Konten in der forensischen Organisationseinheit: eine für `us-east-1` und eine für `us-west-2`. 

 Sie können ein forensisches AWS-Konto für mehrere Regionen erstellen. Sie sollten beim Kopieren von AWS-Ressourcen auf dieses Konto Vorsicht walten lassen, um sicherzustellen, dass Sie Ihre Anforderungen an die Datensouveränität einhalten. Da die Bereitstellung neuer Konten einige Zeit in Anspruch nimmt, ist es unerlässlich, die forensischen Konten rechtzeitig vor einem Vorfall einzurichten und zu instrumentieren, damit die Notfallteams darauf vorbereitet sind, sie effektiv für die Reaktion zu nutzen. 

 Das folgende Diagramm zeigt eine Beispiel-Kontenstruktur mit einer Forensik-OE mit regionalen forensischen Konten: 

![\[Flussdiagramm, das eine regionale Kontenstruktur für die Vorfallsreaktion zeigt und in eine Sicherheits- und Forensik-OE aufgespaltet wird.\]](http://docs.aws.amazon.com/de_de/wellarchitected/2023-10-03/framework/images/region-account-structure.png)


 **Erfassen von Backups und Snapshots** 

 Die Einrichtung von Backups wichtiger Systeme und Datenbanken ist für die Wiederherstellung nach einem Sicherheitsvorfall und für forensische Zwecke von entscheidender Bedeutung. Mit vorhandenen Backups können Sie Ihre Systeme in ihren vorherigen sicheren Zustand zurückversetzen. In AWS können Sie Snapshots von verschiedenen Ressourcen erstellen. Snapshots bieten Ihnen zeitpunktbezogene Backups dieser Ressourcen. Es gibt viele AWS-Services, die Sie beim Backup und der Wiederherstellung unterstützen können. Einzelheiten zu diesen Services und Ansätzen für Backup und Wiederherstellung finden Sie unter [Präskriptive Leitlinien für Backup und Wiederherstellung](https://docs.aws.amazon.com/prescriptive-guidance/latest/backup-recovery/services.html) und [Verwendung von Backups zur Wiederherstellung nach Sicherheitsvorfällen](https://aws.amazon.com/blogs/security/use-backups-to-recover-from-security-incidents/). 

 Vor allem, wenn es um Situationen wie Ransomware geht, ist es wichtig, dass Ihre Backups gut geschützt sind. Hinweise zur Sicherung Ihrer Backups finden Sie in den [10 besten Sicherheitsmethoden für die Sicherung von Backups in AWS](https://aws.amazon.com/blogs/security/top-10-security-best-practices-for-securing-backups-in-aws/). Zusätzlich zur Sicherung Ihrer Backups sollten Sie Ihre Backup- und Wiederherstellungsprozesse regelmäßig testen, um sicherzustellen, dass die vorhandenen Technologien und Prozesse wie erwartet funktionieren. 

 **Automatisieren der Forensik** 

 Während eines Sicherheitsereignisses muss Ihr Vorfallsreaktionsteam in der Lage sein, schnell Nachweise zu sammeln und zu analysieren und gleichzeitig die Genauigkeit für den Zeitraum rund um das Ereignis aufrechtzuerhalten (z. B. das Erfassen von Protokollen zu einem bestimmten Ereignis oder einer bestimmten Ressource oder das Erfassen von Speicherabbildern einer Amazon EC2-Instance). Für das Vorfallsreaktionsteam ist es sowohl schwierig als auch zeitaufwändig, die relevanten Beweise manuell zu erfassen, insbesondere bei einer großen Anzahl von Instances und Konten. Darüber hinaus kann die manuelle Erfassung anfällig für menschliche Fehler sein. Aus diesen Gründen sollten Sie die Automatisierung für die Forensik so weit wie möglich entwickeln und implementieren. 

 AWS bietet eine Reihe von Automatisierungsressourcen für die Forensik, die im Abschnitt Ressourcen unten aufgeführt sind. Diese Ressourcen sind Beispiele für forensische Muster, die wir entwickelt und Kunden implementiert haben. Obwohl sie für den Anfang eine nützliche Referenzarchitektur sein können, sollten Sie erwägen, sie zu ändern oder neue forensische Automatisierungsmuster zu erstellen, die auf Ihrer Umgebung, Ihren Anforderungen, Tools und forensischen Prozessen basieren. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+ [AWS-Sicherheits- und Vorfallsreaktionsanleitung – Forensische Funktionen entwickeln ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/develop-forensics-capabilities.html)
+ [AWS-Sicherheits- und Vorfallsreaktionsanleitung – Forensische Ressourcen ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/appendix-b-incident-response-resources.html#forensic-resources)
+ [Strategien für forensische Untersuchungsumgebungen in der AWS Cloud](https://aws.amazon.com/blogs/security/forensic-investigation-environment-strategies-in-the-aws-cloud/)
+  [Automatisieren der forensischen Datenträgererfassung in AWS](https://aws.amazon.com/blogs/security/how-to-automate-forensic-disk-collection-in-aws/) 
+ [Präskriptive AWS-Anleitung – Automatisieren der Vorfallsreaktion und Forensik ](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automate-incident-response-and-forensics.html)

 **Zugehörige Videos:** 
+ [ Automating Incident Response and Forensics ](https://www.youtube.com/watch?v=f_EcwmmXkXk)

 **Zugehörige Beispiele:** 
+ [ Framework für automatisierte Vorfallsreaktion und Forensik ](https://github.com/awslabs/aws-automated-incident-response-and-forensics)
+ [ Automatisierter forensischer Orchestrator für Amazon EC2 ](https://docs.aws.amazon.com/solutions/latest/automated-forensics-orchestrator-for-amazon-ec2/welcome.html)

# SEC10-BP04 Entwickeln und Testen von Playbooks für die Reaktion auf Sicherheitsvorfälle
<a name="sec_incident_response_playbooks"></a>

 Ein wichtiger Teil der Vorbereitung Ihrer Prozesse zur Vorfallsreaktion ist die Entwicklung von Playbooks. Playbooks für die Vorfallsreaktion enthalten eine Reihe von präskriptiven Anleitungen und Schritten, die Sie befolgen müssen, wenn ein Sicherheitsereignis eintritt. Eine klare Struktur und klare Schritte vereinfachen die Reaktion und verringern die Wahrscheinlichkeit menschlicher Fehler. 

 **Risikostufe bei fehlender Befolgung dieser Best Practice:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Playbooks sollten für Vorfallsszenarien wie die folgenden erstellt werden: 
+  **Erwartete Vorfälle**: Sie sollten Playbooks für zu erwartende Vorfälle erstellen. Dazu gehören Bedrohungen wie Denial of Service (DoS), Ransomware und die Kompromittierung von Anmeldeinformationen. 
+  **Bekannte Sicherheitserkenntnisse oder Warnungen**: Sie sollten Playbooks für Ihre bekannten Sicherheitserkenntnisse und Warnmeldungen wie GuardDuty-Ergebnisse erstellen. Möglicherweise erhalten Sie eine GuardDuty-Erkenntnis und denken: „Wie geht es weiter?“ Um zu verhindern, dass eine GuardDuty-Erkenntnis unsachgemäß gehandhabt oder ignoriert wird, sollten Sie für jede potenzielle GuardDuty-Erkenntnis ein Playbook erstellen. Einige Einzelheiten und Anleitungen zur Mängelbeseitigung finden Sie in der [GuardDuty-Dokumentation](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_remediate.html). Es ist erwähnenswert, dass GuardDuty standardmäßig nicht aktiviert ist und dafür Kosten anfallen. Weitere Informationen finden GuardDuty Sie in [Anhang A: Definitionen der Cloud-Funktionen –Sichtbarkeit und Warnmeldungen](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/visibility-and-alerting.html). 

 Playbooks sollten technische Schritte enthalten, die ein Sicherheitsanalyst ausführen muss, um einen potenziellen Sicherheitsvorfall angemessen zu untersuchen und darauf zu reagieren. 

### Implementierungsschritte
<a name="implementation-steps"></a>

 Zu den Elementen, die in ein Playbook aufgenommen werden sollten, gehören: 
+  **Playbook-Übersicht**: Welches Risiko- oder Vorfallszenario behandelt dieses Playbook? Was ist das Ziel des Playbooks? 
+  **Voraussetzungen**: Welche Protokolle, Erkennungsmechanismen und automatisierten Tools sind für dieses Vorfallszenario erforderlich? Wie lautet die erwartete Benachrichtigung? 
+  **Kommunikations- und Eskalationsinformationen**: Wer ist beteiligt und wie lauten ihre Kontaktinformationen? Welche Verantwortlichkeiten haben die einzelnen Interessenvertreter? 
+  **Reaktionsschritte**: Welche taktischen Maßnahmen sollten in allen Phasen der Vorfallsreaktion ergriffen werden? Welche Abfragen sollte ein Analyst ausführen? Welcher Code sollte ausgeführt werden, um das gewünschte Ergebnis zu erzielen? 
  +  **Erkennen**: Wie wird der Vorfall erkannt? 
  +  **Analysieren**: Wie wird der Umfang der Auswirkungen bestimmt? 
  +  **Eindämmen**: Wie wird der Vorfall isoliert, um den Umfang zu begrenzen? 
  +  **Beseitigen**: Wie wird die Bedrohung aus der Umgebung entfernt? 
  +  **Wiederherstellen**: Wie wird das betroffene System oder die betroffene Ressource wieder in der Produktion bereitgestellt? 
+  **Erwartete Ergebnisse**: Was ist das erwartete Ergebnis des Playbooks, nachdem Abfragen und Code ausgeführt wurden? 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden für Well-Architected:** 
+  [SEC10-BP02 – Entwickeln von Vorfallmanagementplänen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_develop_management_plans.html) 

 **Zugehörige Dokumente:** 
+  [Framework für Playbooks für die Vorfallsreaktion](https://github.com/aws-samples/aws-customer-playbook-framework)  
+  [Entwickeln eigener Playbooks für die Vorfallsreaktion](https://github.com/aws-samples/aws-incident-response-playbooks-workshop)  
+  [Beispiele von Playbooks für die Vorfallsreaktion](https://github.com/aws-samples/aws-incident-response-playbooks)  
+  [Entwicklung eines Runbooks für die Vorfallsreaktion in AWS mit Jupyter Playbooks und CloudTrail Lake](https://catalog.workshops.aws/incident-response-jupyter/en-US)  

 

# SEC10-BP05 Vorab bereitgestellter Zugriff
<a name="sec_incident_response_pre_provision_access"></a>

Stellen Sie sicher, dass Notfallteams über den richtigen vorab bereitgestellten Zugriff in AWS verfügen, um die Zeit von der Untersuchung bis zur Wiederherstellung zu verkürzen.

 **Typische Anti-Muster:** 
+  Verwenden des Root-Kontos für die Reaktion auf Vorfälle 
+  Verändern bestehender Benutzerkonten 
+  Direkte Manipulation von IAM-Berechtigungen bei Bereitstellung von Just-in-time-Berechtigungserhöhungen 

 **Risikostufe, wenn diese bewährte Methode nicht genutzt wird:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

AWS empfiehlt die Reduzierung oder Ausschaltung der Abhängigkeit von langlebigen Anmeldeinformationen wenn möglich und ihren Ersatz durch *Just-in-Time-* Berechtigungseskalationsmechanismen. Langlebige Anmeldeinformationen sind anfällig für Sicherheitsrisiken und erhöhen den Verwaltungsaufwand. Für die meisten Managementaufgaben sowie für Vorfallreaktionsaufgaben empfehlen wir die Implementierung eines [Identitätsverbunds](https://docs.aws.amazon.com/identity/federation/) neben [der temporären Eskalierung für den administrativen Zugriff](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/). In diesem Modell beantragt ein Benutzer seine Erhöhung auf eine höhere Berechtigungsstufe (etwa zu einer Vorfallreaktionsrolle). Anschließend wird, sofern der Benutzer grundsätzlich dafür infrage kommt, eine Anfrage an einen Genehmiger gesendet. Wenn die Anfrage genehmigt wurde, erhält der Benutzer einen Satz temporärer [AWS-Anmeldeinformationen](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) für die Durchführung seiner Aufgaben. Wenn diese Anmeldeinformationen ablaufen, muss der Benutzer eine neue Erhöhungsanfrage stellen.

 Wir empfehlen für die meisten Vorfallreaktionsszenarien die Verwendung temporärer Berechtigungseskalierungen. Die korrekte Vorgehensweise ist die Verwendung von [AWS -Security-Token-Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) und [von Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) zur Festlegung der Zugriffsbereiche. 

 Es gibt Szenarien, in denen Verbundidentitäten nicht verfügbar sind, zum Beispiel: 
+  Ausfall durch Problem mit einem Identitätsanbieter (IdP) 
+  Fehlerhafte Konfiguration oder menschlicher Fehler, die/der das Managementsystem für den Verbundzugriff beschädigt 
+  Böswillige Aktivität, z. B. ein DDoS-Angriff (Distributed Denial of Service) oder anderweitig verursachte Nichtverfügbarkeit des Systems 

 Für diese Fälle sollte Notfall- *„Break Glass“-* Zugriff konfiguriert werden, um Untersuchungen und die schnelle Behebung des Vorfalls zu ermöglichen. Wir empfehlen die Verwendung eines [IAM-Benutzers mit ausreichenden Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials) für die Durchführung von Aufgaben und den Zugriff auf AWS-Ressourcen. Verwenden Sie die Root-Anmeldeinformationen nur für [Aufgaben, die Root-Benutzerzugriff erfordern](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html). Zur Prüfung, ob die Vorfallreaktionskräfte über die korrekte Zugriffsstufe auf AWS und andere relevante Systeme verfügen, empfehlen wir die Bereitstellung dedizierter Benutzerkonten. Die Benutzerkonten erfordern privilegierten Zugriff und müssen eng kontrolliert und überwacht werden. Die Konten müssen mit den geringstmöglichen Berechtigungen versehen sein, die für die erforderlichen Aufgaben benötigt werden, und die Zugriffsstufe muss auf den Playbooks basieren, die Teil des Vorfallmanagementplans sind. 

 Verwenden Sie als bewährte Methode zweckgerichtet erstellte und dedizierte Benutzer und Rollen. Die vorübergehende Eskalierung des Zugriffs eines Benutzers oder einer Rolle über IAM-Richtlinien macht es unklar, welche Zugriffsmöglichkeiten Benutzer während eines Vorfalls hatten, und birgt die Gefahr, dass die eskalierten Berechtigungen später nicht widerrufen werden. 

 Es ist wichtig, so viele Abhängigkeiten wie möglich zu entfernen, um sicherzustellen, dass Zugriff bei einer möglichst großen Anzahl von Ausfallszenarien möglich ist. Erstellen Sie deshalb ein Playbook, um sicherzustellen, dass Vorfallreaktionsbenutzer als AWS Identity and Access Management-Benutzer in einem dedizierten Sicherheitskonto erstellt und nicht durch einen vorhandenen Verbund oder eine Single Sign-On (SSO)-Lösung verwaltet werden. Alle einzelnen Reaktionskräfte müssen ein eigenes benanntes Konto haben. Die Kontokonfiguration muss [eine Richtlinie für sichere Passwörter](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) und Multi-Faktor-Authentifizierung (MFA) durchsetzen. Wenn die Playbooks zur Vorfallreaktion nur Zugriff auf die AWS-Managementkonsole benötigen, sollten für den Benutzer keine Zugriffsschlüssel konfiguriert werden und er sollte auch explizit keine Zugriffsschlüssel erstellen dürfen. Dies kann mit IAM-Richtlinien oder Service-Kontrollrichtlinien (SCPs) konfiguriert werden, wie in den bewährten AWS-Sicherheitsmethoden für [AWS Organizations SCPs erläutert](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html). Die Benutzer sollten keine Berechtigungen außer der Möglichkeit zur Übernahme von Vorfallreaktionsrollen in anderen Konten haben. 

 Während eines Vorfalls kann es erforderlich sein, anderen internen oder externen Personen Zugriff zu gewähren, um Untersuchungs-, Korrektur- oder Wiederherstellungsaktivitäten zu unterstützen. Verwenden Sie in diesem Fall den vorher erwähnten Playbook-Mechanismus. Darüber hinaus muss ein Prozess vorhanden sein, um sicherzustellen, dass jeglicher zusätzliche Zugriff sofort nach Abschluss des Vorfalls widerrufen wird. 

 Zur Sicherstellung, dass die Verwendung von Vorfallreaktionsrollen in korrekter Weise überwacht und geprüft werden kann, ist es entscheidend, dass die für diesen Zweck erstellten IAM-Benutzerkonten nicht zwischen Personen weitergegeben werden und dass der AWS-Konto-Root-Benutzer nicht verwendet wird, [sofern dies nicht für eine bestimmte Aufgabe erforderlich ist](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html). Wenn der Root-Benutzer erforderlich ist (zum Beispiel wenn der IAM-Zugriff auf ein bestimmtes Konto nicht verfügbar ist), verwenden Sie einen separaten Prozess mit einem Playbook, um die Verfügbarkeit des Root-Benutzer-Passworts und des MFA-Tokens zu prüfen. 

 Erwägen Sie zur Konfiguration der IAM-Richtlinien für die Vorfallreaktionsrollen die Verwendung von [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) zum Erstellen von Richtlinien auf der Grundlage von AWS CloudTrail-Protokollen. Gewähren Sie dazu der Vorfallreaktionsrolle in einem Nicht-Produktionskonto Administratorzugriff und durchlaufen Sie das Playbook. Sobald dies geschehen ist, kann eine Richtlinie erstellt werden, die nur die entsprechenden Aktionen zulässt. Diese Richtlinie kann dann auf alle Vorfallreaktionsrollen über alle Konten hinweg angewendet werden. Möglicherweise möchten Sie eine separate IAM-Richtlinie für jedes Playbook erstellen, um Management und Auditing zu vereinfachen. Beispiel-Playbooks können Reaktionspläne für Ransomware-Angriffe, Datenschutzverletzungen, Verlust von produktionsrelevantem Zugriff oder andere Szenarien enthalten. 

 Verwenden Sie die Vorfallreaktionsbenutzerkonten zur Annahme dedizierter Vorfallreaktions- [IAM-Rollen in anderen AWS-Konten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html). Diese Rollen müssen so konfiguriert sein, dass sie nur von Benutzern im Sicherheitskonto angenommen werden können, und das Vertrauensverhältnis muss erfordern, dass der aufrufende Prinzipal per MFA authentifiziert wurde. Die Rollen müssen eng gefasste IAM-Richtlinien verwenden, um den Zugriff zu kontrollieren. Stellen Sie sicher, dass alle `AssumeRole-` Anfragen für diese Rollen in CloudTrail protokolliert und gemeldet werden und dass alle mit diesen Rollen durchgeführten Aktivitäten protokolliert werden. 

 Es wird nachdrücklich empfohlen, die IAM-Benutzerkonten und die IAM-Rollen deutlich zu benennen, damit sie in CloudTrail-Protokollen leicht zu finden sind. Ein Beispiel ist die Benennung der IAM-Konten als `<USER_ID>-BREAK-GLASS` und der IAM-Rollen als `BREAK-GLASS-ROLE`. 

 [CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) wird verwendet, um API-Aktivitäten in Ihren AWS-Konten zu protokollieren, und sollte zur [Konfiguration von Alarmen zur Nutzung der Vorfallreaktionsrollen eingesetzt werden](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/). Weitere Informationen finden Sie im Blog-Beitrag zur Konfiguration von Alarmen bei Verwendung von Root-Schlüsseln. Die Anweisungen können können geändert werden, um die Metrik [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) so zu konfigurieren, dass sie nach `AssumeRole-` Ereignissen gefiltert wird, die mit der Vorfallreaktions-IAM-Rolle zusammenhängen. 

```
{ $.eventName = "AssumeRole" && $.requestParameters.roleArn = "<INCIDENT_RESPONSE_ROLE_ARN>" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }
```

 Da die Vorfallreaktionsrollen sehr wahrscheinlich eine hohe Zugriffsstufe haben, ist es wichtig, dass diese Alarme an eine breite Gruppe gehen und dass sofort darauf reagiert wird. 

 Während eines Vorfalls kann es geschehen, dass eine Reaktionskraft Zugriff auf Systeme benötigt, die nicht direkt von IAM gesichert sind. Dazu können Amazon Elastic Compute Cloud-Instances, Amazon Relational Database Service-Datenbanken oder SaaS-Plattformen gehören. Es wird nachdrücklich empfohlen, anstelle nativer Protokolle wie SSH oder RDP [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) für alle administrativen Zugriffe auf Amazon EC2-Instances zu verwenden. Dieser Zugriff kann mit IAM (sicher und geprüft) kontrolliert werden. Es kann auch möglich sein, Teile Ihrer Playbooks mit [AWS Systems Manager-Run-Command-Dokumenten](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)zu automatisieren, wodurch sich möglicherweise Benutzerfehler reduzieren und Wiederherstellungszeiten verkürzen lassen. Für den Zugriff auf Datenbanken und Tools von Drittanbietern empfehlen wir die Speicherung von Anmeldeinformationen in AWS Secrets Manager und die Gewährung des Zugriffs auf die Vorfallreaktionsrollen. 

 Schließlich sollte die Verwaltung der Vorfallreaktions-IAM-Benutzerkonten Ihren [Joiners-, Movers- und Leavers-Prozessen](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/permissions-management.html) hinzugefügt sowie regelmäßig geprüft und getestet werden, um sicherzustellen, dass nur die beabsichtigten Zugriffsrechte gewährt werden. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [Verwaltung des vorübergehend erhöhten Zugriffs auf Ihre AWS-Umgebung](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/) 
+  [Leitfaden für AWS Security Incident Response ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+  [AWS Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/) 
+  [AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html) 
+  [Einrichten einer Kontopasswortrichtlinie für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) 
+  [Verwenden der Multi-Faktor-Authentifizierung (MFA) in AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) 
+ [ Konfigurieren des kontoübergreifenden Zugriffs mit MFA ](https://aws.amazon.com/blogs/security/how-do-i-protect-cross-account-access-using-mfa-2/)
+ [ Verwenden von IAM Access Analyzer zum Erstellen von IAM-Richtlinien ](https://aws.amazon.com/blogs/security/use-iam-access-analyzer-to-generate-iam-policies-based-on-access-activity-found-in-your-organization-trail/)
+ [ Bewährte Methoden für AWS Organizations-Servicekontrollrichtlinien in einer Mehrkontenumgebung ](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [ Empfang von Benachrichtigungen, wenn die Root-Zugriffsschlüssel Ihres AWS-Kontos verwendet werden ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ [ Erstellen detaillierter Sitzungsberechtigungen mithilfe von IAM-verwalteten Richtlinien ](https://aws.amazon.com/blogs/security/create-fine-grained-session-permissions-using-iam-managed-policies/)

 **Zugehörige Videos:** 
+ [ Automating Incident Response and ForensicsAWS (Automatisieren der Vorfallreaktion und Forensik in AWS) ](https://www.youtube.com/watch?v=f_EcwmmXkXk)
+  [DIY guide to runbooks, incident reports, and incident response (DIY-Leitfaden für Runbooks, Vorfallberichte und Vorfallreaktion)](https://youtu.be/E1NaYN_fJUo) 
+ [ Prepare for and respond to security incidents in your AWS environment (Vorbereiten und Reagieren auf Sicherheitsvorfälle in Ihrer AWS-Umgebung) ](https://www.youtube.com/watch?v=8uiO0Z5meCs)

 **Zugehörige Beispiele:** 
+ [ Übung: AWS-Kontoeinrichtung und Root-Benutzer ](https://www.wellarchitectedlabs.com/security/300_labs/300_incident_response_playbook_with_jupyter-aws_iam/)
+ [ Übung: Vorfallreaktion mit AWS-Konsole und CLI ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)

# SEC10-BP06 Vorabbereitstellen von Tools
<a name="sec_incident_response_pre_deploy_tools"></a>

Stellen Sie sicher, dass Sicherheitspersonal über die richtigen Tools verfügt, um die Zeit von der Untersuchung bis zur Wiederherstellung zu verkürzen.

 **Risikostufe bei fehlender Befolgung dieser Best Practice:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Zur Automatisierung von Sicherheitsreaktionen und Betriebsfunktionen können Sie eine umfassende Palette von APIs und Tools von AWS verwenden. Sie können die Identitätsverwaltung, Netzwerksicherheit, Datenschutz und Überwachungsfunktionen vollständig automatisieren und diese mithilfe gängiger Softwareentwicklungsmethoden bereitstellen, die Sie bereits eingerichtet haben. Wenn Sie die Sicherheitsautomatisierung erstellen, kann Ihr System eine Reaktion überwachen, prüfen und initiieren, statt nur Ihre Sicherheitslage zu überwachen und manuell auf Ereignisse zu reagieren. 

 Wenn Ihre Vorfallreaktionsteams auf Warnungen weiterhin auf die gleiche Weise reagieren, riskieren sie eine Abstumpfung der Warnung. Im Laufe der Zeit kann das Team für Warnungen desensibilisiert werden und entweder Fehler bei der Verarbeitung normaler Situationen machen oder außergewöhnliche Warnungen übersehen. Automatisierung hilft, eine Abstumpfung von Warnungen zu vermeiden, indem Funktionen verwendet werden, die sich wiederholende und gewöhnliche Warnungen verarbeiten, sodass Mitarbeiter die nötigen freien Kapazitäten haben, um sich um sensible und einzigartige Vorfälle zu kümmern. Die Integration von Systemen zur Erkennung von Anomalien wie Amazon GuardDuty, AWS CloudTrail Insights und Amazon CloudWatch Anomaly Detection kann den durch schwellenwertbasierte Warnmeldungen verursachten Aufwand reduzieren. 

 Sie können manuelle Prozesse verbessern, indem Sie die Schritte im Prozess automatisieren. Nachdem Sie das Korrekturmuster für ein Ereignis definiert haben, können Sie dieses Muster in umsetzbare Logik zerlegen und den Code schreiben, um diese Logik auszuführen. Notfallteams können anschließend diesen Code ausführen, um das Problem zu beheben. Mit der Zeit können Sie immer mehr Schritte automatisieren und schließlich häufige Vorfälle automatisch verarbeiten. 

 Bei einer Sicherheitsuntersuchung müssen Sie relevante Protokolle konsultieren können, um alle Aspekte und den Zeitrahmen des Vorfalls zu verstehen. Protokolle werden auch für die Generierung von Alarmen benötigt, die darauf hinweisen, dass bestimmte Ereignisse vorgekommen sind. Es ist sehr wichtig, Abfrage- und Abrufmechanismen auszuwählen, zu aktivieren, zu speichern und einzurichten sowie die Alarmierung einzurichten. Darüber hinaus besteht eine effektive Möglichkeit zur Nutzung von Tools zum Durchsuchen von Protokolldaten in [Amazon Detective](https://aws.amazon.com/detective/). 

 AWS bietet über 200 Cloud-Services und Tausende von Funktionen. Wir empfehlen Ihnen, die Services zu konsultieren, die Ihre Strategie zur Vorfallsreaktion unterstützen und vereinfachen können. 

 Zusätzlich zur Protokollierung sollten Sie eine [Markierungsstrategie entwickeln und implementieren](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html). Die Markierung kann dabei helfen, einen Kontext zum Zweck einer AWS-Ressource bereitzustellen. Die Markierung kann auch für die Automatisierung verwendet werden. 

### Implementierungsschritte
<a name="implementation-steps"></a>

 **Auswählen und Einrichten von Protokollen für die Analyse und Alarmierung** 

 In der folgenden Dokumentation finden Sie Informationen zur Konfiguration der Protokollierung für die Vorfallsreaktion: 
+ [ Protokollierungsstrategien für die Reaktion auf Sicherheitsvorfälle ](https://aws.amazon.com/blogs/security/logging-strategies-for-security-incident-response/)
+  [SEC04-BP01 Konfigurieren der Service- und Anwendungsprotokollierung](sec_detect_investigate_events_app_service_logging.md) 

 **Aktivieren von Sicherheitsservices zur Unterstützung von Erkennung und Reaktion** 

 AWS bietet native Erkennungs-, Präventions- und Reaktionsfunktionen, und andere Services können für den Aufbau benutzerdefinierter Sicherheitslösungen verwendet werden. Eine Liste der wichtigsten Services für die Reaktion auf Sicherheitsvorfälle finden Sie unter [Definitionen der Cloud-Funktionen](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/appendix-a-cloud-capability-definitions.html). 

 **Entwickeln und Implementieren einer Markierungsstrategie** 

 Es kann schwierig sein, kontextbezogene Informationen zum geschäftlichen Anwendungsfall und zu relevanten internen Interessenvertretern rund um eine AWS-Ressource zu erhalten. Eine Möglichkeit, dies zu tun, sind Tags, die Ihren AWS-Ressourcen Metadaten zuweisen und aus einem benutzerdefinierten Schlüssel und Wert bestehen. Sie können Tags erstellen, um Ressourcen nach Zweck, Besitzer, Umgebung, Art der verarbeiteten Daten und anderen Kriterien Ihrer Wahl zu kategorisieren. 

 Eine konsistente Markierungsstrategie kann die Reaktionszeiten verkürzen und den Zeitaufwand für den organisatorischen Kontext minimieren, da Sie Kontextinformationen zu einer AWS-Ressource schnell identifizieren und erkennen können. Tags können auch als Mechanismus zur Initiierung von Reaktionsautomatisierungen dienen. Weitere Informationen über zu markierende Elemente finden Sie unter [Markieren Ihrer AWS-Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html). Sie sollten zunächst die Tags definieren, die Sie in Ihrer Organisation implementieren möchten. Danach implementieren Sie diese Markierungsstrategie und setzen sie durch. Weitere Einzelheiten zur Umsetzung und Durchsetzung finden Sie unter [Implementieren einer Markierungsstrategie für AWS-Ressourcen mithilfe von AWS-Markierungsrichtlinien und Service-Kontrollrichtlinien (SCPs)](https://aws.amazon.com/blogs/mt/implement-aws-resource-tagging-strategy-using-aws-tag-policies-and-service-control-policies-scps/). 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden für Well-Architected:** 
+  [SEC04-BP01 Konfigurieren der Service- und Anwendungsprotokollierung](sec_detect_investigate_events_app_service_logging.md) 
+  [SEC04-BP02 Zentrale Analyse von Protokollen, Ergebnissen und Metriken](sec_detect_investigate_events_analyze_all.md) 

 **Zugehörige Dokumente:** 
+ [ Protokollierungsstrategien für die Reaktion auf Sicherheitsvorfälle ](https://aws.amazon.com/blogs/security/logging-strategies-for-security-incident-response/)
+ [ Cloud-Capability-Definitionen für die Vorfallsreaktion ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/appendix-a-cloud-capability-definitions.html)

 **Zugehörige Beispiele:** 
+ [ Bedrohungserkennung und -reaktion mit Amazon GuardDuty und Amazon Detective ](https://catalog.workshops.aws/guardduty/en-US)
+ [ Security-Hub-Workshop ](https://catalog.workshops.aws/security-hub/en-US)
+ [ Management von Schwachstellen mit Amazon Inspector ](https://catalog.workshops.aws/inspector/en-US)

# SEC10-BP07 Durchführen von Simulationen
<a name="sec_incident_response_run_game_days"></a>

 Ebenso wie Unternehmen im Laufe der Zeit wachsen und sich weiterentwickeln, wächst auch die Bedrohungslandschaft. Daher ist es wichtig, Ihre Fähigkeiten zur Vorfallreaktion kontinuierlich zu überprüfen. Die Durchführung von Simulationen (auch bekannt als Gamedays) ist eine Methode, mit der diese Bewertung durchgeführt werden kann. Bei Simulationen werden reale Sicherheitsereignisse als Szenarien verwendet, die die Taktiken, Techniken und Verfahren (TTPs) eines Bedrohungsakteurs nachahmen und es einer Organisation ermöglichen, ihre Fähigkeiten zur Vorfallreaktion einzusetzen und zu bewerten, indem sie auf diese simulierten Cyberereignisse so reagieren, wie sie es im Ernstfall tun würden.

 **Vorteile der Nutzung dieser bewährten Methode:** Simulationen haben eine Vielzahl von Vorteilen: 
+  Validierung der Cybersicherheit und Stärkung des Vertrauens Ihres Vorfallreaktionsteams 
+  Testen der Genauigkeit und Effizienz von Tools und Workflows 
+  Optimierung der Kommunikations- und Eskalationsmethoden Ihres Vorfallreaktionsplans 
+  Die Möglichkeit, auf weniger verbreitete Vektoren zu reagieren 

**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** mittel

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Es gibt drei Hauptarten von Simulationen: 
+  **Tabletop-Übungen:** Der Tabletop-Ansatz für Simulationen besteht aus einer Diskussionsrunde, in der die verschiedenen Interessenvertreter des Bereichs Vorfallreaktion teilnehmen, um Rollen und Verantwortlichkeiten zu üben und etablierte Kommunikationstools und Playbooks zu verwenden. Die Übung kann in der Regel an einem ganzen Tag an einem virtuellen Ort, einem physischen Veranstaltungsort oder einer Kombination daraus durchgeführt werden. Da sie auf Diskussionen basiert, konzentriert sich die Tabletop-Übung auf Prozesse, Menschen und Zusammenarbeit. Technologie ist ein integraler Bestandteil der Diskussion, aber der tatsächliche Einsatz von Tools oder Skripten für die Vorfallreaktion ist in der Regel kein Teil der praktischen Übung. 
+  **Lila Teamübungen:** Lila Teamübungen verbessern die Zusammenarbeit zwischen dem Vorfallreaktionsteam (blaues Team) und den simulierten Bedrohungsakteuren (rotes Team). Das blaue Team besteht aus Mitgliedern des Security Operations Center (SOC), kann aber auch andere Interessenvertreter einbeziehen, die an einem tatsächlichen Cyberereignis beteiligt wären. Das rote Team besteht aus einem Penetrationstest-Team oder wichtigen Interessenvertretern, die in offensiver Sicherheit trainiert sind. Das rote Team arbeitet bei der Planung eines Szenarios mit den Übungsleitern zusammen, damit das Szenario korrekt und durchführbar ist. Bei den lila Teamübungen liegt das Hauptaugenmerk auf den Erkennungsmechanismen, den Tools und den Standard-Betriebsabläufen (SOPs), mit denen die Maßnahmen zur Vorfallreaktion unterstützt werden. 
+  **Übungen des roten Teams:** Bei einer Übung des roten Teams führt das Offensivteam (rotes Team) eine Simulation durch, um ein bestimmtes Ziel oder eine Reihe von Zielen aus einem vorher festgelegten Umfang zu erreichen. Die Verteidiger (blaues Team) kennen nicht unbedingt den Umfang und die Dauer der Übung, was eine realistischere Einschätzung darüber ermöglicht, wie sie auf einen tatsächlichen Vorfall reagieren würden. Da es sich bei den Übungen des roten Teams um invasive Tests handeln kann, sollten Sie vorsichtig sein und Kontrollen implementieren, um sicherzustellen, dass die Übung Ihrer Umgebung nicht tatsächlich schadet. 

 Erwägen Sie, in regelmäßigen Abständen Cybersimulationen durchzuführen. Jeder Übungstyp kann den Teilnehmern und der gesamten Organisation einzigartige Vorteile bieten. Sie können also mit weniger komplexen Simulationstypen beginnen (z. B. mit Tabletop-Übungen) und zu komplexeren Simulationstypen übergehen (Übungen des roten Teams). Wählen Sie einen Simulationstyp anhand Ihres Sicherheitsgrads, Ihrer Ressourcen und der gewünschten Ergebnisse aus. Einige Kunden entscheiden sich aufgrund der Komplexität und der Kosten möglicherweise gegen Übungen des roten Teams. 

## Implementierungsschritte
<a name="implementation-steps"></a>

 Unabhängig von der Art der gewählten Simulation folgen diese im Allgemeinen den folgenden Implementierungsschritten: 

1.  **Definieren Sie die wichtigsten Übungselemente:** Definieren Sie das Simulationsszenario und die Ziele der Simulation. Beide sollten von den Führungskräften akzeptiert werden. 

1.  **Identifizieren Sie die wichtigsten Interessenvertreter:** Für eine Übung sind mindestens Übungsleiter und Teilnehmer erforderlich. Je nach Szenario können weitere Interessengruppen wie Recht, Kommunikation oder Geschäftsleitung einbezogen werden. 

1.  **Erstellen und testen Sie das Szenario:** Das Szenario muss möglicherweise während der Erstellung neu definiert werden, falls bestimmte Elemente nicht realisierbar sind. Als Ergebnis dieser Phase wird ein fertiges Szenario erwartet. 

1.  **Führen Sie die Simulation durch:** Die Art der Simulation bestimmt die Durchführung (ein Szenario auf Papier im Vergleich zu einem hochtechnischen, simulierten Szenario). Die Übungsleiter sollten ihre Moderationstaktiken an den Übungsobjekten ausrichten und alle Übungsteilnehmer nach Möglichkeit einbeziehen, um den größtmöglichen Nutzen zu erzielen. 

1.  **Arbeiten Sie den After-Action Report (AAR, Abschlussbericht) aus:** Identifizieren Sie Bereiche, die gut gelaufen sind, diejenigen, die verbessert werden können, und potenzielle Lücken. Der AAR sollte die Effektivität der Simulation sowie die Reaktion des Teams auf das simulierte Ereignis messen, damit der Fortschritt mit zukünftigen Simulationen im Laufe der Zeit verfolgt werden kann. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+ [AWS Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 

 **Zugehörige Videos:** 
+ [AWS GameDay – Sicherheitsausgabe](https://www.youtube.com/watch?v=XnfDWID_OQs)

# SEC10-BP08 Entwickeln eines Frameworks, um aus Vorfällen zu lernen
<a name="sec_incident_response_establish_incident_framework"></a>

 Die Implementierung eines *Erkenntnis-Frameworks* für Erkenntnisse und der Fähigkeit zur Ursachenanalyse trägt nicht nur dazu bei, die Reaktionsfähigkeit auf Vorfälle zu verbessern, sondern auch zu verhindern, dass sich der Vorfall wiederholt. Indem Sie aus jedem Vorfall lernen, können Sie verhindern, dass dieselben Fehler, Risiken oder Fehlkonfigurationen wiederholt werden. Dies verbessert nicht nur Ihre Sicherheitslage, sondern minimiert auch den Zeitverlust durch vermeidbare Situationen. 

 **Risikostufe bei fehlender Befolgung dieser Best Practice:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Die Implementierung eines *Erkenntnis-Frameworks* ist wichtig, der die folgenden Punkte allgemein festlegt und erreicht: 
+  Wann finden Erkenntnisse statt? 
+  Was beinhaltet der Erkenntnisprozess? 
+  Wie werden Erkenntnisse durchgeführt? 
+  Wer ist am Prozess beteiligt und wie? 
+  Wie werden verbesserungswürdige Bereiche identifiziert? 
+  Wie stellen Sie sicher, dass Verbesserungen effektiv verfolgt und implementiert werden? 

 Das Framework sollte sich nicht auf Einzelpersonen konzentrieren oder ihnen die Schuld geben, sondern stattdessen den Fokus auf die Verbesserung der Tools und Prozesse legen. 

### Implementierungsschritte
<a name="implementation-steps"></a>

 Abgesehen von den zuvor aufgeführten Ergebnissen auf hoher Ebene ist es wichtig, sicherzustellen, dass Sie die richtigen Fragen stellen, um den größtmöglichen Nutzen (Informationen, die zu umsetzbaren Verbesserungen führen) aus dem Prozess zu ziehen. Beachten Sie die folgenden Fragen, um Ihre Diskussionen über Erkenntnisse zu fördern: 
+  Was ist vorgefallen? 
+  Wann wurde der Vorfall zum ersten Mal identifiziert? 
+  Wie wurde er identifiziert? 
+  Welche Systeme haben über die Aktivität alarmiert? 
+  Welche Systeme, Services und Daten waren beteiligt? 
+  Was ist konkret passiert? 
+  Was hat gut funktioniert? 
+  Was hat nicht gut funktioniert? 
+  Welcher Prozess oder welche Verfahren haben versagt oder konnten nicht skaliert werden, um auf den Vorfall zu reagieren? 
+  Was kann in den folgenden Bereichen verbessert werden: 
  +  **Mitarbeiter** 
    +  Waren die Mitarbeiter, die kontaktiert werden mussten, tatsächlich verfügbar und war die Kontaktliste auf dem neuesten Stand? 
    +  Fehlten den Mitarbeitern Trainings oder Fähigkeiten, die erforderlich waren, um effektiv auf den Vorfall reagieren und ihn untersuchen zu können? 
    +  Waren die erforderlichen Ressourcen bereit und verfügbar? 
  +  **Prozess** 
    +  Wurden Prozesse und Verfahren eingehalten? 
    +  Wurden Prozesse und Verfahren für diese(n) (Art von) Vorfall dokumentiert und waren sie dafür verfügbar? 
    +  Fehlten die erforderlichen Prozesse und Verfahren? 
    +  Konnten die Notfallteams rechtzeitig auf die erforderlichen Informationen zugreifen, um auf das Problem zu reagieren? 
  +  **Technologie** 
    +  Haben die bestehenden Warnsysteme die Aktivität effektiv identifiziert und gemeldet? 
    +  Wie hätten wir die Zeit bis zur Erkennung um 50 % reduzieren können? 
    +  Müssen bestehende Warnungen verbessert werden oder müssen neue Warnungen für diese(n) (Art von) Vorfall erstellt werden? 
    +  Ermöglichten die vorhandenen Tools eine effektive Untersuchung (Suche/Analyse) des Vorfalls? 
    +  Was kann getan werden, um diese(n) (Art von) Vorfall früher zu erkennen? 
    +  Was kann getan werden, um zu verhindern, dass sich diese(r) (Art von) Vorfall wiederholt? 
    +  Wem gehört der Verbesserungsplan und wie testen Sie, ob er umgesetzt wurde? 
    +  Wie sieht der Zeitplan für die Implementierung und das Testen zusätzlicher Überwachungs- oder präventiver Kontrollen und Prozesse aus? 

 Diese Liste ist nicht vollständig, soll aber als Ausgangspunkt dienen, um zu ermitteln, was die Organisations- und Geschäftsanforderungen sind und wie Sie diese analysieren können, um am effektivsten aus Vorfällen zu lernen und Ihre Sicherheitslage kontinuierlich zu verbessern. Am wichtigsten ist es, zunächst die Erkenntnisse als Standardbestandteil Ihres Prozesses zur Vorfallsreaktion, der Dokumentation und der Erwartungen der Interessenvertreter zu berücksichtigen. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [AWS-Sicherheits- und Vorfallreaktionsanleitung – Entwickeln eines Frameworks, um aus Vorfällen zu lernen](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/establish-framework-for-learning.html) 
+  [NCSC-CAF-Leitfaden – Erkenntnisse](https://www.ncsc.gov.uk/collection/caf/caf-principles-and-guidance/d-2-lessons-learned)