翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
インシデント後レポート
イベント後、AMS はすべてのセキュリティインシデントの調査レビュープロセスを実行します。また、AMS はエラー修正 (COE) プロセスを開始し、システムや、改善の余地があると思われる手続きミスによって引き起こされたセキュリティインシデントに対処します。AMS はお客様と連携して、セキュリティ調査エクスペリエンスを継続的に改善します。COE プロセスは、AMS が顧客に影響を与えるイベントの寄与要因を特定し、それらの原因を、同様のイベントが再発するのを防ぐことができる次のアクション項目に接続したり、影響の期間やレベルを軽減したりするのに役立ちます。
セキュリティインシデントの調査レビュープロセスでは、改善の機会を特定するために、以下の項目に対処します。
インシデントの開始からインシデント検出、初期影響評価、インシデント処理プロセスの各段階 (封じ込め、復旧など) までの経過時間はどれくらいですか?
インシデントの最初のレポートにインシデント対応チームが応答するまでにどのくらい時間がかかりましたか?
初期影響分析にはどのくらいの時間がかかりましたか?
これは予防可能でしたか? これを防ぐ可能性のあるツールやプロセスはありますか?
これをより早く、どのように検出できたでしょうか。
調査を高速化できたことは何ですか?
文書化されたインシデント対応手順に従ったか? それらは適切ですか?
他の利害関係者との情報共有はタイムリーに行われましたか? どのように改善できますか?
他のチーム (AWS セキュリティ、アカウントチーム、 AWS 開発チーム、カスタマーセキュリティチームの) とのコラボレーションは効果的ですか? そうでない場合、改善できる点は何ですか?
どのような準備手順が不足していて、エスカレーションマトリックス、RACI の 、責任共有モデルなどが役に立ちましたか? ランブックを更新する必要がありますか?
初期影響評価と最終影響評価の違いは何ですか? インシデント対応の早い段階で評価の精度を向上させるために何ができますか?
学習した教訓から得られるアクション項目は何ですか?
