运行手册
当检测到安全异常时,响应计划最重要的就是要将事件控制下来,然后将情况扭转回到之前已知的良好状态。例如,如果是由于安全配置错误而发生异常,那么可能只需使用适当的配置重新部署资源以消除差异即可完成修复。为此,您需要提前计划并定义自己的安全响应程序,这些程序通常称为运行手册。
运行手册以文档形式记录组织执行一项任务或一系列任务的程序。此文档通常存储在内部数字系统或打印出来。您当前可能有事件响应运行手册,或者可能需要创建它们以符合安全保障框架。但是,当您手动遵循书面的运行手册时,您会增加犯错的可能性。相反,我们建议自动执行所有可重复的任务。自动化使您的响应团队从常见任务中解放出来,让他们可以执行更重要的任务,例如关联事件、通过模拟来实践、设计新的响应程序、进行研究、开发新技能以及测试或构建新工具。但是,在将任务分解为可编程逻辑并逐步实现适当的自动化之前,您必须从编写运行手册开始。
创建运行手册
要为云创建运行手册,我们建议您首先关注当前生成的警报。如果生成警报,请务必对其进行调查。首先,为您执行的手动流程定义说明。随后,测试这些流程并在运行手册模式中进行迭代,以改进您的响应的核心逻辑。确定异常以及这些场景的备用解决方案。例如,在开发环境中,您可能希望终止错误配置的 Amazon EC2 实例。但如果相同的事件发生在生产环境中,您不应终止实例,而应停止实例并向利益攸关方核实关键数据不会丢失,以及是否可以接受终止。
确定最佳解决方案后,您可以将此逻辑解构到基于代码的解决方案中,很多响应者可以将此逻辑用作工具来自动进行响应,因此消除了响应者的分歧或猜测。这加快了响应的生命周期。下一个目标是允许通过警报或事件本身调用此代码,而不是由人类响应者执行代码,从而实现完全自动化。
入门
如果您不确定从哪里开始,可以考虑从 AWS Trusted Advisor
Amazon GuardDuty 和 Access Analyzer 描述了应用程序将在 AWS 中使用的许多域,这就是为什么通常建议使用这些域;但是,Amazon Inspector 和 Amazon Macie 对那些存在数据和端点问题的域有特定的用途。有关 Amazon GuardDuty 调查结果的信息,请参阅 Amazon GuardDuty 用户指南。Amazon Access Analyzer 用户指南中提供了 Access Analyzer 调查结果。Amazon Macie 用户指南中提供了 Macie 调查结果。Amazon Inspector 用户指南中提供了 Amazon Inspector 调查结果。借助 Security Hub,您可以将这些调查结果统一到一个地方,并以低延迟的方式对它们作出反应,所以我们建议将其作为修复的中心位置。
当调查结果或警报发生任何变化(包括新生成的警报和对现有警报的更新)时,上述所有服务都会通过 Amazon CloudWatch Events 发送通知。您可以设置 Amazon CloudWatch Events 规则来触发 AWS Lambda 函数以执行事件驱动型响应。而能够构建自定义洞察并从应用程序域中添加自己的发现,这也为使用 Security Hub 增加了重要理由。想要了解更多信息,请参阅事件驱动型响应部分。