事件驱动型响应

使用事件驱动型响应系统，检测性机制会触发一个响应机制，以自动修复事件。您可以使用由事件驱动的响应能力，以缩短检测机制与响应机制之间的价值实现时间。要创建这个由事件驱动的架构，您可以使用 AWS Lambda，这是一项无服务器计算服务，可运行您的代码以响应事件并为您自动管理底层计算资源。

例如，假设您有一个 AWS 账户并为其启用了 AWS CloudTrail 服务。如果 AWS CloudTrail 曾经禁用过（通过 cloudtrail:StopLogging API），则响应程序是再次启用该服务，并调查禁用 AWS CloudTrail 日志记录的用户。您可以通过编程方式（通过 cloudtrail:StartLogging API）再次启用日志记录，而不是在 AWS 管理控制台 中手动执行这些步骤。如果您使用代码实现此功能，则您的响应目标是尽快执行此任务，并通知响应者已执行响应。

您可以将逻辑分解为简单的代码，以便在 AWS Lambda 函数中运行来执行这些任务。然后，您可以使用 Amazon CloudWatch Events 监控特定 cloudtrail:StopLogging 事件，并在事件发生时调用该函数。当 Amazon CloudWatch Events 调用此 AWS Lambda 响应程序函数时，您可以向其传递特定事件的详细信息，包括禁用 AWS CloudTrail 的主体的信息、禁用时间、受影响的特定资源以及其他相关信息。您可以使用此信息来丰富日志中的发现结果，然后生成仅包含响应分析师所需的特定值的通知或警报。

理想情况下，事件驱动型响应的目标是让 Lambda 响应程序函数执行响应任务，然后使用任何相关的上下文信息通知响应者已成功处理异常。然后，由人工响应者决定如何确定其发生原因以及如何防止将来再次发生。此反馈循环可进一步提高云环境的安全性。要实现这一目标，您必须营造一种文化，使您的安全团队能够与开发和运营团队更紧密地合作。