準備項目の概要
タイムリーで効果的なインシデント対応には、セキュリティイベントに対応するための入念な準備が不可欠です。インシデント対応の準備には、人員、プロセス、テクノロジーが関わります。準備を進める上で、これら 3 つのドメインはすべて等しく重要です。3 つのドメインすべてに関して、インシデント対応プログラムを準備し、進化させる必要があります。
表 2 は、このセクションで詳述する準備項目をまとめたものです。
表 2 – インシデント対応準備項目
ドメイン | 準備項目 | アクション項目 |
---|---|---|
人員 | 役割と責任を定義します。 |
|
人員 | AWS に関してインシデント対応スタッフをトレーニングします。 |
|
人員 | AWS サポートオプションを理解します。 |
|
プロセス | インシデント対応計画を作成します。 |
|
プロセス | アーキテクチャ図を文書化し、一元化します。 |
|
プロセス | 独自のインシデント対応プレイブックを作成します。 |
|
プロセス | 定期的なシミュレーションを実行します。 |
|
テクノロジー | AWS アカウント構造を作成します。 |
|
テクノロジー | 対応者が検出結果の所有者とコンテキストを特定するのに役立つタグ付け戦略を開発し、実装します。 |
|
テクノロジー | AWS アカウントの連絡先情報を更新します。 |
|
テクノロジー | AWS アカウントへのアクセス権を準備します。 |
|
テクノロジー | 脅威の状況を理解します。 |
|
テクノロジー | ログを選択し、設定します。 |
|
テクノロジー | フォレンジック機能を開発します。 |
|
インシデント対応の準備には、反復的なアプローチが推奨されます。これらの準備項目をすべて一晩で行うことはできません。小さく始めて、時間の経過に伴ってインシデント対応能力を継続的に改善するように計画を立てる必要があります。