調査ワークフロー - AWS Security Incident Response ユーザーガイド

調査ワークフロー

AWS セキュリティインシデント対応エンジニアは、NIST 800-61r2 フレームワークに沿った構造化されたインシデント対応プロセスに従います。調査中、次のフェーズが期待できます:

  1. 初期トリアージ - セキュリティインシデント対応エンジニアは、ケースの詳細を確認し、インシデントのスコープを確認します

  2. 調査 - セキュリティインシデント対応エンジニアが、ログを分析し、侵害のインジケーターを特定し、根本原因を確認します

  3. 封じ込め - セキュリティインシデント対応エンジニアが、インシデントの影響を制限するためのアクションを推奨します

  4. 根絶と復旧 - セキュリティインシデント対応エンジニアが、脅威の排除と通常の運用の復元を支援します

  5. インシデント後のレビュー - セキュリティインシデント対応エンジニアが、今後のインシデントを防ぐための検出結果と推奨事項を提供します

これらのフェーズを通じて、セキュリティインシデント対応エンジニアがケースの更新を通じてユーザーに情報を提供し、追加情報やアクションをリクエストする場合があります。