# 概念和术语 掌握以下术语和概念对了解 AWS 安全事件响应服务及其工作原理来说很重要。 **范围**:AWS 安全事件响应符合美国国家标准与技术研究院(NIST)800-61《计算机安全事件处理指南》,提供了与行业最佳实践相关的统一安全事件管理方法。 **分析**:对安全事件进行详细调查和检查,了解安全事件的范围、影响和根本原因。 **AWS 安全事件响应服务门户**:自助服务门户,供您启动和管理安全事件案例。通过工单系统、自动通知以及与服务团队的直接接洽,实现持续的沟通和报告。 **沟通**:在事件响应过程中,AWS 安全事件响应团队与客户之间正在进行的对话和信息共享。 **遏制、根除和恢复**:防止其他未经授权的活动(遏制)、删除未经授权的资源和原始漏洞(消除)、恢复资源,从而恢复正常业务运营。 **持续改进**:AWS 安全事件响应会整合从先前接洽中吸取的反馈和经验教训,增强自身检测能力、调查流程和补救措施。AWS 安全事件响应还会随时了解最新的安全威胁和最佳实践,从而应对不断变化的安全挑战。 **网络安全事件**:利用信息系统或网络对系统、网络或其中包含的信息产生不利影响的行为。 **网络安全事故**:违反计算机安全政策、可接受使用政策或标准安全惯例的行为,或即将发生此类违规的威胁。 **安全事件响应工程师**:在活跃安全事件期间提供支持的一组人员。对于由 AWS 支持的案例,请联系安全事件响应工程师。 **事件响应工作流程**:遵循 NIST 800-61 标准,用于端到端管理安全事故所涉及的明确定义的步骤和活动序列。 **调查工具**:用于审查账户和资源运营状况的 AWS 安全事件响应工具和与服务相关角色。 **经验教训**:对安全事故响应的评审和记录,以识别改进领域并为未来的事故响应规划提供依据。 **监控和调查**:AWS 安全事件响应会快速审查来自 Amazon GuardDuty 的安全警报,将您团队需要分析的最重要的警报放在最前面。它会根据您环境的具体情况配置抑制规则,防止出现不必要的警报。 **准备工作**:为使组织做好有效响应和管理安全事件而开展的活动,例如制定事件响应计划和测试程序。 **报告和沟通**:用于在整个事件响应过程中让您随时了解情况的流程,包括自动通知、呼叫桥接和调查产物的交付。AWS 安全事件响应在 AWS 管理控制台中提供了一个集中的控制面板,用于管理您的所有 AWS 安全事件响应工作。 **响应者生成的情报**:妥协指标;战术、技术和程序;以及 AWS 调查观察到的相关模式。 **安全事件专业知识**:在 AWS 云环境中有效响应和管理安全事件所需的专业知识和技能。 **责任共担模式**:AWS 与客户之间的安全责任划分,其中 AWS 负责云的安全性,客户负责云中的安全性。 **威胁情报**:包含未经授权活动详细信息的内部和外部数据源,可帮助识别和响应不断变化的安全威胁。 **工单系统**:专门的案例管理平台,您可以在其中注册和管理安全事件案例、添加附件以及跟踪事件响应生命周期。 **分类**:对安全事件进行初步评估和优先排序,以确定适当的响应和后续步骤。 **工作流程**:用于端到端管理安全事件所涉及的已定义步骤和活动序列。