本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
对恶意软件事件的响应
Amazon EC2 实例用于托管各种工作负载,包括由组织内部应用程序团队部署的第三方软件和定制开发的软件。AMS 提供并鼓励您在由 AMS 持续修补和维护的映像上部署工作负载。
在实例运行期间,AMS 通过各种安全检测控件(包括 Amazon、Endpoint Protection、网络流量和亚马逊 GuardDuty内部威胁情报源)来监控行为或活动中的异常情况。
采用 AMS Advanced 操作模式的 AMS 客户会自动在已配置的资源上安装端点安全 (EPS) 监控客户端。这样可以确保资源得到全天候监控和支持,包括在检测到事件时制造安全事件。
AMS 还会监控 GuardDuty 恶意软件发现。如果启用,它们在 AMS Advanced 和 AMS Accelerate 上都可用。有关更多信息,请参阅 Amazon GuardDuty 中的恶意软件防护。
注意
如果您选择了 Brin g Your Own EPS,则事件响应的流程与本页上概述的流程不同。有关更多信息,请参阅参考文档。
当检测到恶意软件时,就会创建事件并向您通知该事件。在此通知之后,将显示已发生的任何补救活动。AMS Operations 负责调查、执行数据收集、分类和分析,然后按照您的指示执行遏制活动,然后进行事后分析。
阶段 A:检测
AMS 通过端点安全解决方案监控 GuardDuty 和端点安全解决方案监控实例上的事件。AMS 确定适当的浓缩和分类活动,以帮助您根据发现或警报类型做出遏制或风险接受决策。
数据收集是根据发现类型进行的。数据收集涉及查询受影响账户内部和外部的多个数据源,以了解观察到的活动或关注的配置。
AMS 将发现结果与来自任何受影响账户或 AMS 威胁情报平台的任何其他警报和警报或遥测数据进行关联。
B 阶段:分析
收集数据后,对其进行分析以确定任何活动或令人担忧的指标。在调查的这一阶段,AMS 将与您合作,整合实例和工作负载的业务和领域知识,以帮助了解预期情况和异常情况。
调查期间为支持内部检查而提供的信息的一些示例包括:
账户信息:在哪个账户上观察到恶意软件活动?
实例详情:哪些实例与恶意软件事件有关?
事件时间戳:警报是什么时候触发的?
工作负载信息:实例上正在运行什么?
恶意软件详细信息(如果相关):恶意软件系列和有关恶意软件的开源信息。
用户或角色详情:哪些用户或角色受活动影响并参与其中?
活动记录:实例上记录了哪些活动? 它们以 CloudWatch 事件和来自实例的系统事件的形式出现。了解如何阅读这些日志将有助于您进行调查
网络活动:哪些终端节点正在连接到实例,实例正在连接什么,以及流量分析是什么?
最佳做法是做好接收调查信息的准备,并就如何联系组织内的客户、实例和工作负载的相应联系人制定计划。了解您的网络拓扑和预期的连接有助于加快影响分析。了解环境中计划的渗透测试以及应用程序所有者最近执行的部署也可以加快调查速度。
如果您确定该活动已计划并已获得授权,则会更新事件并结束调查。如果确认妥协,则您和 AMS 将确定适当的控制计划。
C 阶段:遏制和消灭
AMS 与您合作,根据收集的数据和已知信息确定适当的遏制活动。封闭选项包括但不限于:
通过快照保留数据
修改网络规则以限制进出实例的流量
修改 SCP、IAM 用户和角色策略以限制访问权限
终止、暂停或关闭实例
终止所有持久连接
轮换适当的凭据/密钥
如果您选择对实例执行清除活动,那么 AMS 将支持您实现这一目标。选项包括但不限于:
正在删除所有不需要的软件
从干净的完全修补的映像重建实例,然后重新部署应用程序和配置
从之前的备份中恢复实例
将应用程序和服务部署到您账户中可能适合托管工作负载的另一个实例。
在恢复服务之前,必须确定恶意软件是如何传递和在实例上运行的,以确保应用任何其他控制措施来防止恶意软件在实例上再次出现。AMS 根据需要向您的取证合作伙伴或团队提供其他见解或信息,以支持取证。
此时,您将与 AMS 运营部门合作开展恢复活动。AMS 与您密切合作,以最大限度地减少对工作负载的干扰并保护实例。
事故后报告
根据要求,AMS启动调查审查流程,以总结经验教训。作为完成 COE 的一部分,AMS 会向您传达相关调查结果,以帮助您改进事件响应流程。
AMS 记录调查的最终细节,收集适当的指标,并将事件报告给 AMS 内部团队,这些团队需要信息,包括您分配的 CSDM 和 CA。
