本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 回應事件的安全建議
<a name="incident-response-recommendations"></a>

當您的組織發生安全事件時，您的使用者必須準備好回應問題。所有使用者都應對組織的安全回應程序有基本的了解。規劃、訓練和經驗對於成功的事件回應計畫至關重要。理想情況下，您會在潛在安全事件發生之前準備您的組織。 AWS Well-Architected Framework 識別雲端中成功事件回應計劃所需的三個基礎：*準備*、*操作*和*事件後活動*。如需詳細資訊，請參閱 AWS Well-Architected Framework 中的[AWS 事件回應層面](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/aspects-of-aws-incident-response.html)。

除了通知您事件或自動回應事件的安全控制之外，您可以為事件回應建立有限的控制。強大的事件回應狀態主要是透過您在組織中使用的計劃、程序、執行手冊、手冊和訓練計劃來建立。您可以使用本節中的控制項和建議，為您的事件回應計劃實作最佳實務。如需事件回應和實作指引的最佳實務的詳細資訊，請參閱 AWS Well-Architected Framework 中的[事件回應](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html)。

**Topics**
+ [定義事件回應計劃](#incident-response-plan)
+ [建立和維護事件回應 Runbook 和程序手冊](#runbooks-playbooks)
+ [實作事件驅動型安全自動化](#automation)
+ [記錄營運團隊應如何與 互動 支援](#engage-support)
+ [設定安全事件的提醒](#alert-events)

## 定義事件回應計劃
<a name="incident-response-plan"></a>

建立明確定義的事件回應計畫 (IRP)。事件回應計畫旨在成為事件回應計畫的基礎。必須自訂此計劃，以滿足每個組織的需求。

如需詳細資訊，請參閱下列資源：
+ *AWS 《安全*[事件回應指南》中的開發和測試事件回應計劃](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/develop-and-test-incident-response-plan.html) 
+ 在 AWS Well-Architected Framework 中[制定事件管理計劃](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_develop_management_plans.html) 
+ [識別 Well-Architected Framework 中的關鍵人員和外部資源](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_identify_personnel.html) AWS 

## 建立和維護事件回應 Runbook 和程序手冊
<a name="runbooks-playbooks"></a>

準備事件回應程序的關鍵部分是開發程序手冊。事件回應程序手冊提供使用者在發生安全事件時遵循的一系列建議步驟。擁有明確的結構和步驟可簡化回應，並降低發生人為錯誤的可能性。

如需詳細資訊，請參閱下列資源：
+ *AWS 安全事件回應指南*中的[建立 手冊](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/what-to-create-playbooks-for.html)的內容
+ 上的[AWS 事件回應程序手冊範例](https://github.com/aws-samples/aws-incident-response-playbooks) GitHub
+ 在 AWS Well-Architected Framework [中開發和測試安全事件回應手冊](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_playbooks.html) 

## 實作事件驅動型安全自動化
<a name="automation"></a>

*安全回應自動化*是一種預先定義和程式設計的動作，旨在自動回應或修復安全事件。這些自動化可做為偵測或回應式安全控制，協助您實作 AWS 安全最佳實務。自動化回應動作的範例包括修改 VPC 安全群組、修補 Amazon EC2 執行個體或輪換登入資料。

許多 AWS 服務 支援自動回應。例如，您可以為特定指標設定 Amazon CloudWatch 警示，警示可以在警示變更狀態時啟動動作。透過 Amazon EventBridge，您也可以為 和 Amazon Inspector 中的調查結果設定自動回應 AWS Security Hub CSPM 和修復。

如需詳細資訊，請參閱下列資源：
+ 安全部落格中的 AWS [自動修復 Amazon Inspector 安全性問題](https://aws.amazon.com/blogs/security/how-to-remediate-amazon-inspector-security-findings-automatically/)清單
+ 安全部落格中的[在 上開始使用安全回應自動化 AWS](https://aws.amazon.com/blogs/security/how-get-started-security-response-automation-aws/) AWS 
+  AWS 解決方案程式庫中的 [上的自動化安全回應 AWS](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/) 
+ [CloudWatch 文件中的使用 Amazon CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) CloudWatch 
+ Security Hub CSPM 文件中的[自動化回應和修復](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cloudwatch-events.html) 
+ [Amazon Inspector 文件中的使用 Amazon EventBridge 建立對 Amazon Inspector 調查結果的自訂回應](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-automating-responses.html) Amazon Inspector 

## 記錄營運團隊應如何與 互動 支援
<a name="engage-support"></a>

對於您的 AWS 帳戶，您可以定義主要聯絡人和三個替代聯絡人。我們建議您為組織的每個 AWS 帳戶 或 提供安全聯絡人。

AWS 支援 提供各種計劃，可讓您存取工具和專業知識，以支援 AWS 解決方案的成功和營運運作狀態。此外，請考慮您的組織是否會受益於使用 AWS Managed Services 而非 支援 計劃。 [AWS Managed Services (AMS)](https://docs.aws.amazon.com/managedservices/?id=docs_gateway) 提供持續的 AWS 基礎設施管理，包括監控、事件管理、安全指導、修補程式支援和 AWS 工作負載備份，協助您更有效率且安全地操作。AMS 支援模型更適合雲端營運團隊資源有限的組織。我們建議您比較這些模型和計劃，以選擇最適合您組織的使用案例和雲端成熟度層級。

如需詳細資訊，請參閱下列資源：
+ 了解安全事件[AWS 回應指南中的回應團隊和支援](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/understand-aws-response-teams-and-support.html) *AWS *
+ 在*AWS 帳戶管理指南*[中更新 的替代聯絡人 AWS 帳戶](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html) 
+ [比較 支援 網站上的計劃](https://aws.amazon.com/premiumsupport/plans/) AWS 
+  AWS 規範指引中[AWS Managed Services 用於實現目標業務成果的策略](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-aws-managed-services-outcomes/introduction.html) 

## 設定安全事件的提醒
<a name="alert-events"></a>

偵測異常與實作來控制該異常的措施一樣重要。提醒是偵測階段的主要元件。它會產生通知，以根據感興趣的 AWS 帳戶 活動啟動事件回應程序。確保提醒包含團隊採取動作的相關資訊。

如需詳細資訊，請參閱下列資源：
+ *AWS 安全事件回應指南*中的[偵測](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html) 
+ 在 AWS Well-Architected 架構中[準備鑑識功能](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_prepare_forensic.html) 
+ 在 AWS Well-Architected 架構中[實作可行的安全事件](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_actionable_events.html)