アラートの影響の検証、範囲の特定、評価を行う - AWS Security Incident Response ユーザーガイド

アラートの影響の検証、範囲の特定、評価を行う

分析フェーズでは、アラートの検証、範囲の定義、考えられる侵害の影響評価を目的として、包括的なログ分析が実行されます。

  • アラートの検証は、分析フェーズのエントリポイントです。インシデント対応者は、さまざまな情報源のログエントリを調べ、影響を受けるワークロードの所有者と直接やり取りします。

  • 次のステップは範囲の特定です。関係者が誤検出の可能性が低いと判断した後に、関連するすべてのリソースのインベントリが作成され、アラートの重要度が調整されます。

  • 最後に、インパクト分析で、実際のビジネスの中断について詳しく調べます。

影響を受けるワークロードのコンポーネントが特定されると、範囲の特定結果を関連するワークロードの目標復旧時点 (RPO) と目標復旧時間 (RTO) と相関させ、アラートの重要度を調整して、リソースの割り当てと次に発生するすべてのアクティビティが開始されます。すべてのインシデントが、ビジネスプロセスをサポートするワークロードの運用を直接的に中断するわけではありません。機密データの開示、知的財産の盗難、またはリソースのハイジャック (暗号通貨マイニングなど) といったインシデントは、ビジネスプロセスをすぐに停止または弱体化させることはできませんが、後で被害が生じる可能性があります。