建立從事件中學習的架構 - AWS 安全事件應變 使用者指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立從事件中學習的架構

實作經驗教訓的架構和方法不僅有助於改善事件回應功能,也有助於防止事件重複發生。透過從每個事件中學習,您可以協助避免重複相同的錯誤、暴露或錯誤設定,不僅可以改善您的安全狀態,還可以將因可預防的情況而損失的時間降至最低。

實作經驗教訓是非常重要的,其可在高層級實現以下幾點:

  • 什麼時候開設經驗教訓課程?

  • 經驗教訓課程中包含哪些內容?

  • 經驗教訓課程的進行方式?

  • 這個課程的參與者以及參與方式?

  • 如何識別待改善之處?

  • 如何確保有效追蹤和實作改善項目?

除了列出的這些高階成果之外,請務必提出正確的問題,以從程序中衍生出最高價值 (導致可行改善的資訊)。考慮這些問題,有助您發起經驗教訓的討論:

  • 事件是什麼?

  • 第一次識別事件的時間?

  • 事件的識別方式?

  • 哪些系統對活動發出提醒?

  • 涉及哪些系統、服務和資料?

  • 具體發生的事件?

  • 哪些方面做得很好?

  • 哪些方面做得不好?

  • 哪個流程或程序失敗或未能擴展以回應事件?

  • 在以下幾個領域有哪些可以改善之處:

    • 人物

      • 需要聯絡的對象實際上是否有空,並且聯絡人清單是最新的嗎?

      • 人們是否缺少有效回應和調查事件所需的培訓或能力?

      • 適當的資源是否已準備就緒且可供使用?

    • 流程

      • 是否遵循流程和程序?

      • 是否已記錄並提供這類事件的流程和程序?

      • 是否缺少必要的流程和程序?

      • 回應人員是否能夠即時存取所需的資訊以回應問題?

    • 技術

      • 現有的提醒系統是否能有效地識別活動,並據以發出提醒?

      • 是否需要改善現有提醒,或是需要針對此類事件建立新的提醒?

      • 現有的工具是否允許對事件進行有效的調查 (搜尋/分析)?

  • 可以做什麼來協助加快這類事件的識別速度?

  • 可以做什麼來協助避免這類事件再次發生?

  • 負責改善計畫的人是誰,您將如何測試是否已實作此計畫?

  • 要實作和測試之額外監控/預防性控制/程序的時間表為何?

此清單並非全包式,旨在作為識別組織和業務需求的起點,以及如何分析這些需求,以最有效地從事件中學習並持續改善您的安全狀態。最重要的是透過將經驗教訓納入事件回應流程,文件和利害關係人期望的標準部分。