翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
準備
脅威の状況が進化するにつれて、AMS は引き続き検出および対応機能を拡張します。新しい検出が追加されると、AMS はこれらの新しい検出からのアラートを検出および応答プラットフォームに組み込みます。AMS セキュリティレスポンダーは、セキュリティインシデント対応のライフサイクルを通じて調査し、パートナーとなるようにトレーニングされます。
このパートナーシップアプローチにより、セキュリティチームとアプリケーションチームが AMS と連携して、これらのイベントが発生したときにセキュリティイベントを処理する準備を整えることが重要です。このドキュメントでは、セキュリティイベント中に予想されることについて説明し、セキュリティインシデントが発生したときの迅速な対応に備えるのに役立ちます。
このドキュメントでは、NIST 800-61 定義のイベントをシステムまたはネットワークでの観測可能な出現として使用し、インシデントをポリシー、許容可能な使用ポリシー、または標準セキュリティプラクティスの違反または差し迫った脅威として使用します。
準備チェックリスト
AMS クラウドソリューションデリバリーマネージャー (CSDM) および AMS クラウドアーキテクト (CA) と以下のチェックリストを確認してください。
どの アカウントでどのワークロードが実行されているかを理解します。
さまざまなワークロードを担当する内部チームを理解し、ワークロードで適切にタグ付けします。
セキュリティイベントの調査中や封じ込めの決定時に必要となる可能性がある他のチームの連絡先の詳細を内部で維持します。
セキュリティ連絡先が最新であり、すべてのマネージド AWS アカウントに追加されていることを確認します。問い合わせはアカウントごとに管理されます。
AMS にセキュリティインシデントを発生させる方法を理解し、重大度と予想される応答時間を理解します。
セキュリティ通知を受信すると、ページャーやセキュリティオペレーションセンターなどの適切なユーザーとシステムにルーティングされます。
使用可能なログソース、アカウントに保存されているログソース、およびログソースにアクセスできるユーザーについて説明します。
CloudWatch Insights を使用して調査中にログをクエリする方法を理解します。
リソース (EC2、IAM、S3、および の son on) で利用できる封じ込めオプションと、封じ込め時のワークロードの可用性への影響を理解します。
