本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 响应事件的安全建议
<a name="incident-response-recommendations"></a>

当组织中发生安全事件时，您的用户必须做好应对问题的准备。所有用户都应基本了解组织的安全响应流程。规划、培训和经验对于成功的事件响应计划至关重要。理想情况下，应在潜在的安全事件发生之前为组织做好准备。*Wel AWS l-Architected Framework 确定了在云端成功实施事件响应计划所需的三个基础*：*准备*、*运营和事后活动。*有关更多信息，请参阅 Well-Archit [ecte AWS d Framework 中的 AWS 事件响应方面](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/aspects-of-aws-incident-response.html)。

除了就事件通知您或自动响应事件的安全控制措施外，您可以为事件响应建立的控制措施非常有限。强大的事件响应态势主要通过您在组织中使用的计划、流程、运行手册、行动手册和培训计划来建立。您可以使用本节中的控制措施和建议为事件响应计划实施最佳实践。有关事件响应最佳实践和实施指南的更多信息，请参阅 Well-Architecte AWS d Framework 中的[事件响应](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html)。

**Topics**
+ [定义事件响应计划](#incident-response-plan)
+ [创建和维护事件响应运行手册和行动手册](#runbooks-playbooks)
+ [实施事件驱动型安全自动化](#automation)
+ [记录运营团队应如何参与 支持](#engage-support)
+ [配置安全事件提醒](#alert-events)

## 定义事件响应计划
<a name="incident-response-plan"></a>

制定明确定义的事件响应计划（IRP）。事件响应计划旨在为您的事件响应计划奠定基础。此计划必须自定义以满足每个组织的需求。

有关更多信息，请参阅以下资源：
+ 《AWS 安全事件响应指南》**中的[制定并测试事件响应计划](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/develop-and-test-incident-response-plan.html)
+ 在 Well-Architecte AWS d [Framework 中制定事件管理计划](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_develop_management_plans.html)
+  AWS Well-Architected Framework 中的[确定关键人员和外部资源](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_identify_personnel.html)

## 创建和维护事件响应运行手册和行动手册
<a name="runbooks-playbooks"></a>

准备事件响应流程的关键环节是制定行动手册。事件响应行动手册提供了一系列建议步骤，供用户在发生安全事件时遵循。清晰的结构和步骤可简化响应，减少发生人为错误的可能性。

有关更多信息，请参阅以下资源：
+ 《AWS 安全事件响应指南》**中的[应针对哪些事件场景创建行动手册](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/what-to-create-playbooks-for.html)
+ [AWS 事件响应手册样本](https://github.com/aws-samples/aws-incident-response-playbooks)已启用 GitHub
+  AWS Well-Architected Framework 中的[制定和测试安全事件响应行动手册](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_playbooks.html)

## 实施事件驱动型安全自动化
<a name="automation"></a>

*安全响应自动化*是一种预定义且编程的操作，旨在自动响应或修复安全事件。这些自动化可作为检测性或响应性安全控制措施，帮助您实施 AWS 安全最佳实践。自动响应操作的示例包括修改 VPC 安全组、修补 Amazon EC2 实例或轮换凭证。

许多 AWS 服务 支持自动回复。例如，您可以为特定指标配置 Amazon CloudWatch 警报，警报可以在警报状态发生变化时启动操作。通过亚马逊 EventBridge，您还可以针对和 Amazon Inspector 中的发现配置自动响应 AWS Security Hub CSPM 和补救措施。

有关更多信息，请参阅下面的资源：
+  AWS 安全博客中的 [Remediate Amazon Inspector security findings automatically](https://aws.amazon.com/blogs/security/how-to-remediate-amazon-inspector-security-findings-automatically/)
+ 在@@ [安全博客 AWS中开始使用 AWS 安全响应自动化](https://aws.amazon.com/blogs/security/how-get-started-security-response-automation-aws/)
+ 在 AWS 解决方案库 AWS中@@ [开启自动安全响应](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/)
+ 在 CloudWatch 文档中@@ [使用 Amazon CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
+ Security Hub CSPM 文档中的@@ [自动响应和补救](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cloudwatch-events.html)
+ 在 [Amazon Inspector 文档 EventBridge中与亚马逊一起创建对亚马逊 Inspector 发现的自定义回复](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-automating-responses.html)

## 记录运营团队应如何参与 支持
<a name="engage-support"></a>

您可以为自己 AWS 账户定义一个主要联系人和三个备用联系人。我们建议您为每位 AWS 账户 或您的组织提供一名安全联系人。

AWS 支持 提供了一系列计划，可提供工具和专业知识，以支持 AWS 解决方案的成功和运行健康。另外，请考虑使用 AWS Managed Services 代替 支持 计划是否会使您的组织受益。 [AWS Managed Services (AMS)](https://docs.aws.amazon.com/managedservices/?id=docs_gateway) 通过提供对 AWS 基础设施的持续管理，包括监控、事件管理、安全指导、补丁支持和 AWS 工作负载备份，帮助您更高效、更安全地运营。AMS 支持模型可能更适合云运营团队资源有限的组织。我们建议您比较这些模型和计划，以选择最适合组织使用案例和云成熟程度的方案。

有关更多信息，请参阅以下资源：
+ 在《*AWS 安全事件 AWS 响应指南》中了解响应*[团队和支持](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/understand-aws-response-teams-and-support.html)
+ 《AWS Account Management Guide》**中的 [Update the alternate contacts for your AWS 账户](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html)
+ 在 AWS 网站上@@ [比较 支持 套餐](https://aws.amazon.com/premiumsupport/plans/)
+  AWS 规范性指导中@@ [AWS Managed Services 用于实现目标业务成果的策略](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-aws-managed-services-outcomes/introduction.html)

## 配置安全事件提醒
<a name="alert-events"></a>

检测异常与为控制该异常而实施的措施同样重要。警报是检测阶段的主要组成部分。它会根据感兴趣的 AWS 账户 活动生成通知，以启动事件响应流程。请确保提醒中包含团队采取行动所需的相关信息。

有关更多信息，请参阅以下资源：
+ 《AWS 安全事件响应指南》**中的[检测](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html)
+ 在 Well-Architecte AWS d Framework 中@@ [准备取证能力](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_prepare_forensic.html)
+ 在 Well-Ar AWS chitec@@ [ted Framework 中实施可操作的安全事件](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_actionable_events.html)