# SEC10-BP02 制定事件管理计划
<a name="sec_incident_response_develop_management_plans"></a>

为事件响应制定的第一个文档是事件响应计划。事件响应计划旨在为您的事件响应计划和战略奠定基础。

 **建立此最佳实践的好处：**要想成功实现可扩展的事件响应计划，制定全面且明确定义的事件响应流程是关键。在发生安全事件时，明确的步骤和工作流有助于您及时做出响应。您可能已经有事故响应流程。无论您当前的状态如何，定期更新、迭代和测试事件响应流程都很重要。

 **在未建立这种最佳实践的情况下暴露的风险等级：**高 

## 实施指导
<a name="implementation-guidance"></a>

 对于响应、缓解安全事件的潜在影响并从中恢复来说，事件管理计划是至关重要的。事件管理计划是一个结构化的过程，用于及时地确定、补救和响应安全事件。

 云的许多操作角色和要求都与本地环境中的相同。在创建事件管理计划时，应考虑最符合业务成果和合规性要求的响应和恢复策略，这一点非常重要。例如，如果您在 AWS 中运行符合美国 FedRAMP 标准的工作负载，请遵守 [NIST SP 800-61 Computer Security Handling Guide](https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf) 中的建议。同样，在运行存储个人身份信息（PII）的工作负载时，请考虑如何防止和应对与数据驻留和使用相关的问题。

 在为 AWS 中的工作负载制定事件管理计划时，请首先使用 [AWS 责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)，以便构建针对事件响应的深度防御方法。在此模式中，AWS 负责管理云本身的安全，云内部的安全则由您负责。这意味着您将保留控制权，并对选择实施的安全控制机制负责。《[AWS Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)》详细介绍了构建以云为中心的事件管理计划的关键概念和基本指南。

 必须不断地迭代有效的事件管理计划，使其与您的云运营目标保持一致。在创建和改进事件管理计划时，请考虑使用下面详述的实施计划。

### 实施步骤
<a name="implementation-steps"></a>

1.  定义组织内部用于处理安全事件的角色和职责。这应涉及不同部门的代表，包括：
   +  人力资源（HR） 
   +  执行团队 
   +  法务部门 
   +  应用程序所有者和开发人员（主题专家或 SME） 

1.  明确概述在事件发生期间谁负责、对谁问责、咨询谁以及通知谁（RACI）。创建 RACI 图表来促进快速和直接的沟通，并清楚地概述事件不同阶段的领导关系。

1.  在事件发生期间，让应用程序所有者和开发人员（SME）参与进来，因为他们可以提供有价值的信息和背景信息来帮助衡量影响。与这些 SME 建立关系，并在实际事件发生之前与他们练习事件响应场景。

1.  让值得信赖的合作伙伴或外部专家参与调查或响应过程，因为他们可以提供额外的专业知识和视角。

1.  使您的事件管理计划和角色与管理您组织的任何当地法规或合规要求保持一致。

1.  定期练习和测试您的事件响应计划，并涉及所有已定义的角色和职责。这有助于简化流程，并验证您对安全事件的响应井井有条且高效。

1.  定期审核和更新角色、职责和 RACI 图表，或者在组织结构或要求发生变化时进行审核和更新。

 **了解 AWS 响应团队和支持** 
+  **AWS 支持** 
  +  [支持](https://aws.amazon.com/premiumsupport/) 包含一系列计划，这些计划旨在让您能够运用各种工具和专业知识来为成功部署和正常实施 AWS 解决方案提供支持。如果您需要技术支持及更多资源来规划、部署和优化 AWS 环境，则可以选择最符合 AWS 使用案例的支持计划。
  +  考虑将[支持中心](https://console.aws.amazon.com/support)（在 AWS 管理控制台 中，需要登录）作为中心联系点，为影响您 AWS 资源的问题获取支持。对 支持 的访问由 AWS Identity and Access Management 控制。有关获取对 支持 功能的访问权限的更多信息，请参阅《[Getting started with 支持](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html#accessing-support)》。
+  **AWS 客户事件响应团队（CIRT）** 
  +  AWS 客户事件响应团队（CIRT）是一支专业的 AWS 全球团队，全天候向客户提供支持，协助客户解决根据 [AWS 责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)应由客户一方负责的安全事件。
  +  当 AWS CIRT 为您提供支持时，他们会为 AWS 上出现的安全事件提供分类和恢复方面的协助。他们可以使用 AWS 服务日志来协助分析根本原因，并为您提供恢复建议。他们还可以提供安全建议和最佳实践，从而让您以后能够避免出现安全事件。
  +  AWS 客户要与 AWS CIRT 交流，可以开立 [支持 案例](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html)。
+ [https://aws.amazon.com/security-incident-response/](https://aws.amazon.com/security-incident-response/)
  +  在 re:Invent 2024 上发布的 AWS 安全事件响应是一项托管式安全事件响应服务，它既使用现代分诊技术，又使用人工干预。该服务接收所有 GuardDuty 调查发现和发送给 AWS Security Hub CSPM 进行分诊的任何第三方调查发现，以仅针对需要调查的调查发现时向客户发出提醒。该服务还提供了一个门户，用于针对客户注意到的安全事件提交被动案例，并获得 AWS 的高级事件响应团队的支持。
+  **DDoS 响应支持** 
  +  AWS 提供 [AWS Shield](https://aws.amazon.com/shield/)，它提供了托管的分布式拒绝服务（DDoS）攻击保护服务，可保护在 AWS 上运行的 Web 应用程序。Shield 提供不间断检测和自动化内嵌缓解措施，可以最大限度地减少应用程序停机时间和延迟，因此无需与 支持 交流即可从 DDoS 保护中受益。Shield 分为两个级别：AWS Shield Standard 和 AWS Shield Advanced。要了解这两个级别之间的区别，请参阅《[Shield 功能文档](https://aws.amazon.com/shield/features/)》。
+  **AWS Managed Services（AMS）** 
  +  [AWS Managed Services（AMS）](https://aws.amazon.com/managed-services/)可持续管理您的 AWS 基础设施，让您可以专注于应用程序。AMS 实施最佳实践来维护您的基础设施，让您能够降低运营开销和风险。AMS 可以自动执行常见活动 (例如更改请求、监控、补丁管理、安全性和备份服务)，并可以提供全生命周期服务来预置、运行和支持您的基础设施。
  +  AMS 负责部署一套安全检测控制措施，并全天候提供对警报的第一线响应。启动警报后，AMS 遵循一组标准的自动和手动行动手册，验证是否有一致的响应。这些行动手册在功能部署期间与 AMS 客户共享，这样客户就能够开发并与 AMS 协调响应措施。

 **制定事件响应计划** 

 事件响应计划旨在为您的事件响应计划和战略奠定基础。事件响应计划应包含在正式文档中。事件响应计划通常包括以下部分：
+  **事件响应团队概述：**概述事件响应团队的目标和职能。
+  **角色和职责：**列出事件响应利益相关者，并详细说明他们在发生事件时的角色。
+  **沟通计划：**详细介绍联系信息，以及在事件发生期间如何进行沟通。
+  **后备沟通方法：**此时的最佳实践是采用带外通信，作为事件沟通的后备。AWS Wickr 就是一个提供安全的带外通信渠道的应用程序示例。
+  **事件响应阶段和应采取的行动：**列举事件响应的各个阶段（例如，检测、分析、消除、遏制和恢复），包括在这些阶段中要采取的高级别操作。
+  **事件严重性和优先级定义：**详细说明如何对事件的严重性进行分类，如何确定事件的优先级，然后详细说明严重性定义对上报程序有何影响。

 尽管这些内容部分在各种规模和行业的公司中很常见，但每个组织的事件响应计划都是独一无二的。您需要制定最适合贵组织的事件响应计划。

## 资源
<a name="resources"></a>

 **相关最佳实践：**
+  [SEC04 检测](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html) 

 **相关文档：**
+  《[AWS Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)》 
+ [ NIST：计算机安全事件处理指南 ](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)