本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
準備
隨著威脅態勢的演進,AMS 持續擴展偵測和回應功能。新增偵測時,AMS 會將來自這些新偵測的提醒納入偵測和回應平台。AMS 安全回應者經過訓練,可調查並在整個安全事件回應生命週期中與您合作。
由於這種合作夥伴關係,您的安全和應用程式團隊必須準備好與 AMS 互動,在這些事件發生時處理安全事件。本文件說明安全事件期間預期會發生的情況,並協助您準備在安全事件發生時快速回應。
本文件使用事件的 NIST 800-61 定義作為系統或網路中任何可觀察到的事件,並將事件作為違反或即將發生的違反政策、可接受的使用政策或標準安全實務威脅。
準備作業核對清單
與您的 AMS 雲端解決方案交付管理員 (CSDM) 和 AMS 雲端架構師 (CA) 一起完成下列檢查清單:
了解哪些 帳戶中正在執行哪些工作負載。
了解哪些內部團隊負責各種工作負載,並在工作負載中適當標記這些工作負載。
為在安全事件調查期間可能需要的其他團隊和遏制決策保留內部聯絡詳細資訊。
確認安全聯絡人是最新的,並新增至所有受管 AWS 帳戶。聯絡人是以每個帳戶為基礎進行管理。
了解如何向 AMS 引發安全事件,並熟悉嚴重性和預期的回應時間。
確保收到安全通知時,它們會路由到適當的人員和系統,例如分頁器或您的安全操作中心。
了解您可以使用哪些日誌來源、這些來源儲存在您的帳戶中,以及誰可以存取它們。
了解如何在調查期間使用 CloudWatch Insights 查詢日誌。
了解資源 (EC2、IAM、S3 和 son on) 可用的遏制選項,以及遏制時工作負載可用性的後果。
