包含 - AMS 進階使用者指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

包含

AMS 的遏制方法是與您建立合作夥伴關係。您了解您的業務以及因網路隔離、IAM 使用者或角色取消佈建、執行個體重新建置等遏制活動而可能發生的工作負載影響。

抑制的重要部分是決策。例如,關閉系統、隔離資源與網路,或關閉存取或結束工作階段。如果有預先決定的策略和程序來包含事件,這些決策會更容易做出。AMS 提供遏制策略,然後在您考慮實作遏制動作所涉及的風險之後,實作解決方案。

根據分析中的資源,有不同的遏制選項。AMS 預期在事件調查期間會同時部署多種類型的遏制。其中一些範例包括:

  • 套用保護規則來封鎖未經授權的流量 (安全群組、NACL、WAF 規則、SCP 規則、拒絕清單、將簽章動作設定為隔離或封鎖)

  • 資源隔離

  • 網路隔離

  • 停用 IAM 使用者、角色和政策

  • 修改/減少 IAM 使用者、角色權限

  • 終止/暫停/刪除運算資源

  • 限制來自受影響資源的公開存取

  • 輪換存取金鑰、API 金鑰和密碼

  • 刷新已公開的登入資料和敏感資訊

AMS 鼓勵您考慮在其風險偏好範圍內的每個主要事件類型的遏制策略類型,並清楚記錄有助於在事件發生時做出決策的條件。決定適當策略的條件包括:

  • 資源可能受損

  • 保留證據

  • 服務無法使用 (例如,網路連線、提供給外部各方的服務)

  • 實作策略所需的時間和資源

  • 策略的有效性 (例如,部分遏制、完全遏制)

  • 解決方案的持久性 (例如,單向門與雙向門決策)

  • 解決方案的持續時間 (例如,四小時內要移除的緊急解決方法、兩週內要移除的暫時解決方法、永久解決方案)。

  • 套用您可以開啟的安全控制,以降低風險,並留出時間來定義和實作更有效的遏制。

遏制的速度至關重要,AMS 建議分階段方法,透過制定短期和長期方法的策略來實現高效和有效的遏制。

使用本指南來考慮根據資源類型涉及不同技術的遏制策略。

  • 遏制策略

    • AMS 是否可以識別安全事件的範圍?

      • 如果是,請識別所有資源 (使用者、系統、資源)。

      • 如果否,請平行調查並對已識別的資源執行下一個步驟。

    • 資源可以隔離嗎?

      • 如果是,請繼續隔離受影響的資源。

      • 如果否,則與系統擁有者和管理員合作,以決定包含問題所需的進一步動作。

    • 是否將所有受影響的資源與未受影響的資源隔離?

      • 如果是,請繼續下一個步驟。

      • 如果否,則繼續隔離受影響的資源,直到完成短期遏制,以防止事件進一步升級。

  • 系統備份

    • 是否為進一步分析而建立受影響系統的備份副本?

    • 鑑識複本是否加密並存放在安全的位置?

      • 如果是,請繼續下一個步驟。

      • 如果否,請加密鑑識影像,然後將它們存放在安全的位置,以防止意外使用、損壞和竄改。