기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
사후 인시던트 보고서
이벤트 후 AMS는 모든 보안 인시던트에 대한 조사 검토 프로세스를 실행합니다. 또한 AMS는 시스템 또는 개선의 여지가 있을 수 있는 절차적 누락으로 인한 보안 인시던트를 해결하기 위해 오류 수정(COE) 프로세스를 시작합니다. AMS는 고객과 협력하여 보안 조사 경험을 지속적으로 개선합니다. COE 프로세스는 AMS가 고객에게 영향을 미치는 이벤트의 기여 요인을 식별하고 이러한 원인을 유사한 이벤트의 재발을 방지하거나 영향 기간 또는 수준을 완화할 수 있는 다음 작업 항목에 연결하는 데 도움이 됩니다.
보안 인시던트에 대한 조사 검토 프로세스는 개선 기회를 식별하기 위해 다음 항목을 다룹니다.
인시던트 시작부터 인시던트 검색, 초기 영향 평가, 인시던트 처리 프로세스의 각 단계(예: 억제, 복구)까지의 경과 시간은 얼마였나요?
인시던트 대응 팀이 인시던트의 초기 보고서에 응답하는 데 얼마나 걸렸나요?
초기 영향 분석을 수행하는 데 얼마나 걸렸나요?
이 문제를 예방할 수 있었고 어떻게 예방할 수 있었나요? 이를 방지할 수 있는 도구나 프로세스가 있나요?
이를 더 빨리, 그리고 어떻게 감지할 수 있었을까요?
조사 속도를 높일 수 있었던 이유는 무엇입니까?
문서화된 인시던트 대응 절차를 따랐습니까? 적절했나요?
다른 이해관계자와의 정보 공유가 적시에 이루어졌습니까? 어떻게 개선할 수 있습니까?
다른 팀(AWS 보안, 계정 팀, AWS 개발 팀 및 고객 보안 팀)과의 협업이 유효했나요? 그렇지 않다면 개선해야 할 점은 무엇입니까?
어떤 준비 단계가 누락되어 있어 도움이 되었을 수 있습니다. 에스컬레이션 매트릭스, RACI, 공동 책임 모델 등이 이에 해당하나요? 런북을 업데이트해야 하나요?
초기 영향 평가와 최종 영향 평가의 차이점은 무엇입니까? 인시던트 대응 초기에 평가의 정확도를 높이기 위해 무엇을 할 수 있습니까?
학습한 교훈의 작업 항목은 무엇입니까?
