准备项目总结 - AWS 安全事件响应 用户指南

准备项目总结

要实现及时有效的事件响应,为响应安全事件做好充分准备至关重要。事件响应准备涉及人员、流程和技术。就响应准备而言,这三个领域都同等重要。因此,您应该针对这三个领域准备和完善事件响应计划。

表 2 总结了本节中详述的准备项目。

表 2 – 事件响应准备项目

准备项目 操作项
人员 定义角色和职责。
  • 确定相关的事件响应利益相关者。

  • 为事件制定责任、问责、咨询和知情(RACI)图表。

人员 对事件响应人员进行 AWS 培训。
  • 对事件响应利益相关者进行 AWS 基础培训。

  • 对事件响应利益相关者进行 AWS 安全和监控服务相关培训。

  • 对事件响应利益相关者进行 AWS 环境及其架构方式相关培训。

人员 了解 AWS 支持选项。
  • 了解 AWS 支持、客户事件响应团队(CIRT)、DDoS 响应团队(DRT)与 AMS 之间的差异。

  • 如果需要,还应了解在安全事件出现期间联系 CIRT 的分类和上报路径。

流程 制定事件响应计划。
  • 创建高级别文档,用于定义您的事件响应计划和策略。

  • 事件响应计划应当包含 RACI、沟通计划、事件定义和事件响应阶段。

流程 记录并集中管理架构图。
  • 记录有关 AWS 环境配置的详细信息,涵盖账户结构、服务使用情况、IAM 模式以及 AWS 配置的其他核心功能。

  • 绘制云架构的架构图。

流程 制定事件响应行动手册。
  • 创建用于行动手册结构的模板。

  • 编写用于预期安全事件的行动手册。

  • 编写用于 GuardDuty 调查发现等已知安全警报的行动手册。

流程 定期进行模拟。
  • 确定定期进行事件模拟的频率。

  • 利用输出和经验教训对事件响应计划进行迭代。

技术 规划 AWS 账户结构。
  • 规划账户结构,确定如何按 AWS 账户划分工作负载。

  • 创建安全组织单元,其中包含安全工具和日志存档账户。

  • 创建取证组织单元,其中包含您的每个运营所在区域的取证账户。

技术 制定和实施标记策略,帮助响应人员确定调查发现的所有权和背景情况。
  • 规划标记策略以及您希望与 AWS 资源关联的标记内容。

  • 实施并执行标记策略。

技术 更新 AWS 账户联系人信息。
  • 确认 AWS 账户是否列出了联系人信息。

  • 创建用于联系人信息的电子邮件通讯组列表,以消除单点故障。

  • 保护与 AWS 账户信息关联的电子邮件账户。

技术 准备 AWS 账户访问权限。
  • 定义事件响应人员响应事件所需的访问权限。

  • 实施、测试和监控访问权限。

技术 了解威胁形势。
  • 开发针对环境和应用程序的威胁模型。

  • 整合并利用网络威胁情报。

技术 选择并设置日志。
  • 识别并启用调查日志。

  • 选择日志存储。

  • 标识和实施日志保留。

  • 开发检索和查询日志及构件的机制。

  • 使用日志发出警报。

技术 开发取证能力。
  • 识别取证收集所需的构件。

  • 收集和保护关键系统备份。

  • 定义针对已识别日志及构件的分析机制。

  • 实现取证分析自动化。

建议采用迭代方法进行事件响应准备。所有这些准备项目皆无法一蹴而就;您应该制定计划,从小处着手,随着时间的推移不断提升事件响应能力。