View a markdown version of this page

响应事件的安全建议 - AWS 规范性指导
事件响应计划运行手册和行动手册事件驱动型自动化支持 进程安全事件提醒

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

响应事件的安全建议

当组织中发生安全事件时,您的用户必须做好应对问题的准备。所有用户都应基本了解组织的安全响应流程。规划、培训和经验对于成功的事件响应计划至关重要。理想情况下,应在潜在的安全事件发生之前为组织做好准备。Wel AWS l-Architected Framework 确定了在云端成功实施事件响应计划所需的三个基础准备运营和事后活动。有关更多信息,请参阅 Well-Archit ecte AWS d Framework 中的 AWS 事件响应方面

除了就事件通知您或自动响应事件的安全控制措施外,您可以为事件响应建立的控制措施非常有限。强大的事件响应态势主要通过您在组织中使用的计划、流程、运行手册、行动手册和培训计划来建立。您可以使用本节中的控制措施和建议为事件响应计划实施最佳实践。有关事件响应最佳实践和实施指南的更多信息,请参阅 Well-Architecte AWS d Framework 中的事件响应

定义事件响应计划

制定明确定义的事件响应计划(IRP)。事件响应计划旨在为您的事件响应计划奠定基础。此计划必须自定义以满足每个组织的需求。

有关更多信息,请参阅以下资源:

创建和维护事件响应运行手册和行动手册

准备事件响应流程的关键环节是制定行动手册。事件响应行动手册提供了一系列建议步骤,供用户在发生安全事件时遵循。清晰的结构和步骤可简化响应,减少发生人为错误的可能性。

有关更多信息,请参阅以下资源:

实施事件驱动型安全自动化

安全响应自动化是一种预定义且编程的操作,旨在自动响应或修复安全事件。这些自动化可作为检测性或响应性安全控制措施,帮助您实施 AWS 安全最佳实践。自动响应操作的示例包括修改 VPC 安全组、修补 Amazon EC2 实例或轮换凭证。

许多 AWS 服务 支持自动回复。例如,您可以为特定指标配置 Amazon CloudWatch 警报,警报可以在警报状态发生变化时启动操作。通过亚马逊 EventBridge,您还可以针对和 Amazon Inspector 中的发现配置自动响应 AWS Security Hub CSPM 和补救措施。

有关更多信息,请参阅下面的资源:

记录运营团队应如何参与 支持

您可以为自己 AWS 账户定义一个主要联系人和三个备用联系人。我们建议您为每位 AWS 账户 或您的组织提供一名安全联系人。

AWS 支持 提供了一系列计划,可提供工具和专业知识,以支持 AWS 解决方案的成功和运行健康。另外,请考虑使用 AWS Managed Services 代替 支持 计划是否会使您的组织受益。 AWS Managed Services (AMS) 通过提供对 AWS 基础设施的持续管理,包括监控、事件管理、安全指导、补丁支持和 AWS 工作负载备份,帮助您更高效、更安全地运营。AMS 支持模型可能更适合云运营团队资源有限的组织。我们建议您比较这些模型和计划,以选择最适合组织使用案例和云成熟程度的方案。

有关更多信息,请参阅以下资源:

配置安全事件提醒

检测异常与为控制该异常而实施的措施同样重要。警报是检测阶段的主要组成部分。它会根据感兴趣的 AWS 账户 活动生成通知,以启动事件响应流程。请确保提醒中包含团队采取行动所需的相关信息。

有关更多信息,请参阅以下资源: