概念和术语

掌握以下术语和概念对了解 AWS 安全事件响应服务及其工作原理来说很重要。

范围：AWS 安全事件响应符合美国国家标准与技术研究院（NIST）800-61《计算机安全事件处理指南》，提供了与行业最佳实践相关的统一安全事件管理方法。

分析：对安全事件进行详细调查和检查，了解安全事件的范围、影响和根本原因。

AWS 安全事件响应服务门户：自助服务门户，供您启动和管理安全事件案例。通过工单系统、自动通知以及与服务团队的直接接洽，实现持续的沟通和报告。

沟通：在事件响应过程中，AWS 安全事件响应团队与客户之间正在进行的对话和信息共享。

遏制、根除和恢复：防止其他未经授权的活动（遏制）、删除未经授权的资源和原始漏洞（消除）、恢复资源，从而恢复正常业务运营。

持续改进：AWS 安全事件响应会整合从先前接洽中吸取的反馈和经验教训，增强自身检测能力、调查流程和补救措施。AWS 安全事件响应还会随时了解最新的安全威胁和最佳实践，从而应对不断变化的安全挑战。

网络安全事件：利用信息系统或网络对系统、网络或其中包含的信息产生不利影响的行为。

网络安全事故：违反计算机安全政策、可接受使用政策或标准安全惯例的行为，或即将发生此类违规的威胁。

安全事件响应工程师：在活跃安全事件期间提供支持的一组人员。对于由 AWS 支持的案例，请联系安全事件响应工程师。

事件响应工作流程：遵循 NIST 800-61 标准，用于端到端管理安全事故所涉及的明确定义的步骤和活动序列。

调查工具：用于审查账户和资源运营状况的 AWS 安全事件响应工具和与服务相关角色。

经验教训：对安全事故响应的评审和记录，以识别改进领域并为未来的事故响应规划提供依据。

监控和调查：AWS 安全事件响应会快速审查来自 Amazon GuardDuty 的安全警报，将您团队需要分析的最重要的警报放在最前面。它会根据您环境的具体情况配置抑制规则，防止出现不必要的警报。

准备工作：为使组织做好有效响应和管理安全事件而开展的活动，例如制定事件响应计划和测试程序。

报告和沟通：用于在整个事件响应过程中让您随时了解情况的流程，包括自动通知、呼叫桥接和调查产物的交付。AWS 安全事件响应在 AWS 管理控制台中提供了一个集中的控制面板，用于管理您的所有 AWS 安全事件响应工作。

响应者生成的情报：妥协指标；战术、技术和程序；以及 AWS 调查观察到的相关模式。

安全事件专业知识：在 AWS 云环境中有效响应和管理安全事件所需的专业知识和技能。

责任共担模式：AWS 与客户之间的安全责任划分，其中 AWS 负责云的安全性，客户负责云中的安全性。

威胁情报：包含未经授权活动详细信息的内部和外部数据源，可帮助识别和响应不断变化的安全威胁。

工单系统：专门的案例管理平台，您可以在其中注册和管理安全事件案例、添加附件以及跟踪事件响应生命周期。

分类：对安全事件进行初步评估和优先排序，以确定适当的响应和后续步骤。

工作流程：用于端到端管理安全事件所涉及的已定义步骤和活动序列。