概念和術語

下列術語和概念對於了解 AWS 安全事件應變 服務及其運作方式非常重要。

範圍： AWS 安全事件應變 符合國家標準技術研究所 (NIST) 800-61 電腦安全事件處理指南，提供與產業最佳實務相關的安全事件管理一致方法。

分析：詳細調查和檢查安全事件，以了解其範圍、影響和根本原因。

AWS 安全事件應變 服務入口網站：自助式入口網站，可讓您啟動和管理安全事件案例。透過票證系統、自動通知以及直接與服務團隊互動來促進持續的通訊和報告。

通訊：在事件回應程序期間， AWS 安全事件回應團隊與客戶之間的持續對話方塊和資訊共用。

遏制、消除和復原：防止其他未經授權的活動 （遏制），以及移除未經授權的資源和原始漏洞 （消除），並復原資源以正常恢復業務。

持續改進： AWS 安全事件應變 納入從先前業務開發中學到的意見回饋和經驗教訓，以增強其偵測功能、調查程序和修補動作。 AWS 安全事件應變 也會隨時 up-to-date 掌握最新的安全威脅和最佳實務，以因應不斷變化的安全挑戰。

網路安全事件：使用資訊系統或網路對其包含的系統、網路或資訊產生負面影響的動作。

網路安全事件：違反或即將發生的違反電腦安全政策、可接受的使用政策或標準安全實務的威脅。

安全事件回應工程師：一組在作用中安全事件期間提供支援的個人。對於 AWS 支援的案例，這是安全事件回應工程師。

事件回應工作流程：安全事件end-to-end管理中涉及的步驟和活動定義序列，符合 NIST 800-61 標準。

調查工具：用於檢閱帳戶和資源運作狀態 AWS 安全事件應變 的工具和服務連結角色。

經驗教訓：審查和記錄安全事件回應，以識別需要改進的領域，並通知未來的事件回應規劃。

監控和調查： AWS 安全事件應變 快速檢閱來自 Amazon GuardDuty 的安全提醒，將團隊分析最重要的提醒帶到最前線。它會根據您環境的特定細節來設定抑制規則，以防止不必要的提醒。

準備：為讓組織準備好有效回應和管理安全事件而進行的活動，例如制定事件回應計劃和測試程序。

報告和通訊：用於在整個事件回應過程中通知您的程序，包括自動通知、呼叫橋接和交付調查成品。 AWS 安全事件應變 在 中提供單一的集中式儀表板 AWS 管理主控台 ，以管理您的所有 AWS 安全事件應變 工作。

回應者產生的智慧：入侵指標；策略、技術和程序；以及 AWS 調查觀察到的相關模式。

安全事件專業知識：有效回應和管理安全事件所需的專業知識和技能，特別是在雲端環境中 AWS 。

共同責任模型： AWS 和客戶之間的安全責任劃分，其中 AWS 負責雲端的安全，而客戶負責雲端的安全。

威脅情報：包含未經授權活動詳細資訊的內部和外部資料饋送，以協助識別和回應不斷演變的安全威脅。

票證系統：專用案例管理平台，可讓您加入和管理安全事件案例、新增附件，以及追蹤事件回應生命週期。

分類：安全事件的初始評估和優先順序，以確定適當的回應和後續步驟。

工作流程：定義了與安全事件end-to-end管理相關的步驟和活動序列。