翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
封じ込め
AMS の封じ込めアプローチは、お客様とのパートナーシップです。ネットワーク分離、IAM ユーザーまたはロールのプロビジョニング解除、インスタンスの再構築など、封じ込めアクティビティによって発生する可能性のあるビジネスとワークロードへの影響を理解している。
封じ込めの重要な部分は意思決定です。たとえば、システムをシャットダウンしたり、ネットワークからリソースを分離したり、アクセスをオフにしたり、セッションを終了したりできます。これらの決定は、インシデントを封じ込めるための事前定義された戦略と手順がある場合に簡単に行うことができます。AMS は、封じ込め戦略を提供し、封じ込めアクションの実装に伴うリスクを考慮した後にソリューションを実装します。
分析対象のリソースに応じて、さまざまな封じ込めオプションがあります。AMS では、インシデント調査中に複数のタイプの封じ込めが同時にデプロイされることを想定しています。これらの例には、次のようなものがあります。
保護ルールを適用して不正なトラフィックをブロックする (セキュリティグループ、NACL、WAF ルール、SCP ルール、拒否リスト、署名アクションを隔離またはブロックに設定する)
リソースの分離
ネットワークの隔離
IAM ユーザー、ロール、ポリシーの無効化
IAM ユーザー、ロール権限の変更/拒否
コンピューティングリソースの終了/停止/削除
影響を受けるリソースからのパブリックアクセスの制限
アクセスキー、API キー、パスワードの更新
-
公開された認証情報と機密情報をスクラブする
AMS では、リスク選好度の範囲内にある主要なインシデントタイプごとに、封じ込め戦略のタイプを検討することをお勧めします。インシデント発生時の意思決定に役立つ基準が明確に文書化されています。適切な戦略を決定するための基準は次のとおりです。
リソースへの潜在的な損害
証拠の保存
サービスの利用不能状態 (ネットワーク接続、外部関係者に提供されるサービスなど)
戦略の実装に必要な時間とリソース
戦略の有効性 (部分的封じ込め、完全封じ込めなど)
ソリューションの永続性 (一方向ドアと双方向ドアの決定など)
ソリューションの期間 (例えば、緊急回避策を 4 時間で削除する、一時的な回避策を 2 週間で削除する、永続的なソリューション)。
有効にできるセキュリティコントロールを適用してリスクを軽減し、より効果的な封じ込めを定義して実装する時間を確保します。
封じ込めの速度は重要です。AMS は、短期的および長期的なアプローチを戦略化することで、効率的かつ効果的な封じ込めを実現するための段階的なアプローチを推奨します。
このガイドでは、リソースタイプに基づいてさまざまな手法を含む封じ込め戦略を検討します。
封じ込め戦略
AMS はセキュリティインシデントの範囲を特定できますか?
できる場合は、すべてのリソース (ユーザー、システム、リソース) を特定します。
できない場合は、特定されたリソースに対する次のステップの実行と並行して調査します。
リソースは分離できますか?
できる場合は、影響を受けるリソースの分離に進みます。
できない場合は、システム所有者とマネージャーと協力して、問題を封じ込めるために必要な追加のアクションを決定します。
影響を受けるすべてのリソースは、影響を受けないリソースから分離されていますか?
されている場合は、次のステップに進みます。
いいえの場合、インシデントがさらにエスカレートしないように、短期的な封じ込めが達成されるまで、影響を受けるリソースを分離し続けます。
システムバックアップ
影響を受けたシステムのバックアップコピーは、さらなる分析のために作成されましたか?
フォレンジックコピーは暗号化され、安全な場所に保存されていますか?
されている場合は、次のステップに進みます。
されていない場合は、フォレンジックイメージを暗号化し、誤って使用、損傷、改ざんされないように安全な場所に保存します。
