通过有效响应安全漏洞,减少威胁
本指南可帮助您根据事件响应计划中规定的决策有效应对安全事件。响应措施包括确定事件的性质并做出改变,其中可能涉及的活动包括恢复运行状态、找出根本原因并采取补救措施,以及根据民事或刑事起诉收集证据。
请注意:[免责声明]
架构图
[文本]
第 1 步
建立事件响应小组和制定事件响应计划。
第 2 步
在所有成员账户的所有运营区域部署 AWS Config 配置记录器和交付渠道。查看服务控制策略(SCP),了解拒绝列表策略的示例。将交付渠道配置为发送到 Log Archive 账户中的 AWS Config Amazon Simple Storage Service(Amazon S3)存储桶。
第 3 步
使用 AWS Security Hub 和 AWS Organizations 用户指南为您的组织启用 AWS Security Hub,集中管理单个账户的安全调查发现。配置跨区域聚合,将区域安全调查发现集中到一个区域。
第 4 步
将 AWS Security Hub 的管理委托给 Security Tooling 账户,以便安全团队管理 Security Hub 和管理账户外的任何调查发现。
第 5 步
根据事件响应计划对事件做出响应。响应活动包括恢复系统、修复调查发现的问题或隔离受影响的系统。AWS 上的自动化安全响应解决方案根据行业合规标准创建预定义的响应和补救措施。
第 6 步
将安全事件日志发送到 Log Archive 账户中的集中式 Amazon S3 存储桶,以便根据需要保留日志。
第 1 步
建立事件响应小组和制定事件响应计划。
第 2 步
在所有成员账户的所有运营区域部署 AWS Config 配置记录器和交付渠道。查看服务控制策略(SCP),了解拒绝列表策略的示例。将交付渠道配置为发送到 Log Archive 账户中的 AWS Config Amazon Simple Storage Service(Amazon S3)存储桶。
第 3 步
使用 AWS Security Hub 和 AWS Organizations 用户指南为您的组织启用 AWS Security Hub,集中管理单个账户的安全调查发现。配置跨区域聚合,将区域安全调查发现集中到一个区域。
第 4 步
将 AWS Security Hub 的管理委托给 Security Tooling 账户,以便安全团队管理 Security Hub 和管理账户外的任何调查发现。
第 5 步
根据事件响应计划对事件做出响应。响应活动包括恢复系统、修复调查发现的问题或隔离受影响的系统。AWS 上的自动化安全响应解决方案根据行业合规标准创建预定义的响应和补救措施。
第 6 步
将安全事件日志发送到 Log Archive 账户中的集中式 Amazon S3 存储桶,以便根据需要保留日志。
其他注意事项
基于对数据保护、法规合规性的迫切需求以及云基础设施的复杂性,本 AWS 安全事件响应指南是构建云基础的重要部分。
云的可扩展性和快速的资源部署能力既是优势,也有风险。企业从云提供的灵活性中获益的同时,恶意行为者也会利用漏洞。有效的安全事件响应计划对于协调工作和及时应对安全威胁至关重要。此外,云计算中的责任共担模式要求您对您与云提供商之间的安全责任有清晰的认识和了解。
有效响应安全事件包括收集和保存证据以供分析。这就是为什么本指南不仅涉及控制和缓解措施,还包括事后分析和持续改进。从事后分析中获得的洞察可以为强化安全性、策略更新和组织安全态势的全面改进提供依据。
免责声明
示例代码;软件库;命令行工具;概念验证;模板;或其他相关技术(包括由我方人员提供的任何前述项)作为 AWS 内容按照《AWS 客户协议》或您与 AWS 之间的相关书面协议(以适用者为准)向您提供。您不应将这些 AWS 内容用在您的生产账户中,或用于生产或其他关键数据。您负责根据特定质量控制规程和标准测试、保护和优化 AWS 内容,例如示例代码,以使其适合生产级应用。部署 AWS 内容可能会因创建或使用 AWS 可收费资源(例如,运行 Amazon EC2 实例或使用 Amazon S3 存储)而产生 AWS 费用。