執行手冊
偵測到安全異常情況時,隔離事件及返回正常狀態是回應計劃重要的元素。例如,如果由於安全組態設定不當而發生異常,修復的方法可能就是透過使用適當的組態,重新部署資源以移除變異那麼簡單。若要這樣做,您需要提前規劃並定義自己的安全回應程序,這些步驟通常稱為執行手冊。
執行手冊是組織執行一或多個任務之程序的文件記錄形式。此文件通常存放在內部數位系統或紙本形式。您目前可能已有事件回應執行手冊,否則就需要建立一份,以便符合安全保證架構。但是,當您手動遵循書面執行手冊,您會增加犯錯的可能性。因此,我們建議自動執行所有可重複的任務。自動化可讓您的回應團隊擺脫常見任務,將精力投注於更重要的任務,例如關聯事件、模擬練習、設計新的回應程序、進行研究、開發新技能以及測試或建置新工具。但是,在將任務分解為可程式化的邏輯並反覆迭代到正確的自動化之前,您必須先編寫執行手冊。
建立執行手冊
若想為雲端建立執行手冊,我們建議您先專注於目前產生的警示。如果產生警示,請務必調查該警示。從定義所執行手動程序的描述開始。在此之後,請測試程序並反覆查看執行手冊的模式,以改善您所作回應的核心邏輯。應判斷例外狀況,以及這些情境的其他解決方案有哪些。例如,在開發環境中,不妨終止組態錯誤的 Amazon EC2 執行個體。但是,如果生產環境中發生相同的事件,與其終止執行個體,您可以停止執行個體,向利害關係人確認重要資料不會遺失,並且可接受終止。
確定最佳解決方案後,就可以將邏輯解構成為以程式碼為基礎的解決方案,許多回應人員可將其做為工具使用,以做到自動回應,並免除回應人員面對的變通或猜測。這可加快回應的生命週期。下一個目標是透過提醒或事件本身叫用 (而不是由回應人員執行),讓此程式碼能夠完全自動化。
入門
如果您不確定從何處開始,請考慮從 AWS Trusted Advisor
Amazon GuardDuty 和存取分析器可描述應用程式在 AWS 中使用的許多網域,這就是通常建議使用它們的原因;然而,Amazon Inspector 和 Amazon Macie 對於具有資料和終點問題的網域,則具有特定用途。如需 Amazon GuardDuty 問題清單的資訊,請參閲《Amazon GuardDuty 使用者指南》。存取分析器問題清單可在《Amazon Access Analyzer 使用者指南》中找到。Macie 問題清單可在《Amazon Macie 使用者指南》中找到。Amazon Inspector 問題清單可在《Amazon Inspector 使用者指南》中找到。Security Hub 讓您能夠將這些問題清單統一放到一個位置,並迅速對其作出一致回應,因此我們建議將其作為修補的中心位置。
當問題清單或警示發生任何變化時,上述所有服務都會透過 Amazon CloudWatch Events 傳送通知,包括新產生的警示和現有警示的更新。您可以設定 Amazon CloudWatch Events 規則,來觸發 AWS Lambda 函數執行事件驅動的回應。不過,建構自訂洞察並從應用程式網域新增您自己的問題清單的能力,可增加使用 Security Hub 的重要理由。如需詳細資訊,請參閱事件驅動回應一節。
