本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
准备
随着威胁形势的演变,AMS 继续扩大检测和响应能力。随着新检测的增加,AMS 会将这些新检测产生的警报整合到检测和响应平台中。AMS 安全响应人员经过培训,可以在整个安全事件响应生命周期中进行调查并与您合作。
由于这种合作方式,您的安全和应用团队必须做好与 AMS 合作的准备,以便在这些事件发生时处理这些事件,这一点非常重要。本文档解释了安全事件期间的预期,并帮助您为安全事件发生时的快速响应做好准备。
本文档使用 NIST 800-61 的定义,将事件定义为系统或网络中任何可观察到的事件,将事件定义为违反政策、可接受使用策略或标准安全实践的违规行为或迫在眉睫的威胁。
准备清单
与您的 AMS 云解决方案交付经理 (CSDM) 和 AMS 云架构师 (CA) 一起完成以下清单:
了解哪些工作负载在哪些账户中运行。
了解哪些内部团队负责各种工作负载,并在工作负载中对其进行适当标记。
在内部保留在安全事件调查和控制决策期间可能需要的其他团队的联系方式。
确认安全联系人是最新的,并已添加到所有托管 AWS 账户。联系人按账户进行管理。
知道如何向 AMS 举报安全事件,并熟悉严重程度和预期的响应时间。
确保在收到安全通知时,将它们发送给相应的人员和系统,例如寻呼机或您的安全运营中心。
了解哪些日志源可供您使用,这些日志源存储在您的账户中的位置以及谁有权访问它们。
了解如何在调查期间使用 CloudWatch Insights 查询日志。
了解按资源(EC2、IAM、S3 等)可供您使用的控制选项,以及处于控制状态时对工作负载可用性的影响。
