Operationen
Der Betrieb ist der Kern der Reaktion auf Vorfälle. Hier finden die Maßnahmen zur Reaktion und Behebung von Sicherheitsvorfällen statt. Der Betrieb umfasst die folgenden fünf Phasen: Erkennung, Analyse, Eindämmung, Beseitigung und Wiederherstellung. Beschreibungen dieser Phasen und der jeweiligen Ziele finden Sie in der folgenden Tabelle.
| Phase | Ziel |
|---|---|
| Erkennung | Identifizieren eines potenziellen Sicherheitsereignisses. |
| Analyse | Feststellen, ob es sich bei einem Sicherheitsereignis um einen Vorfall handelt, und Bewerten des Umfangs des Vorfalls. |
| Eindämmung | Minimieren und Beschränken des Umfangs des Sicherheitsereignisses. |
| Beseitigung | Entfernen nicht autorisierter Ressourcen oder Artefakte im Zusammenhang mit dem Sicherheitsereignis. Implementieren von Abhilfemaßnahmen zur Behebung der Ursache des Sicherheitsvorfalls. |
| Wiederherstellung | Wiederherstellen der Systeme in einem bekannten sicheren Zustand und Überwachen dieser Systeme, um sicherzustellen, dass die Bedrohung nicht erneut auftritt. |
Die Phasen sollen als Leitfaden für die Reaktion auf Sicherheitsvorfälle und deren Behandlung dienen, damit Sie effektiv und nachhaltig reagieren können. Die tatsächlichen Maßnahmen, die Sie ergreifen, sind abhängig vom jeweiligen Vorfall. Bei einem Vorfall mit Ransomware müssen beispielsweise andere Schritte ausgeführt werden als bei einem Vorfall, an dem ein öffentlicher Amazon-S3-Bucket beteiligt ist. Darüber hinaus folgen diese Phasen nicht unbedingt aufeinander. Nach der Eindämmung und Beseitigung müssen Sie möglicherweise zur Analyse zurückkehren, um zu ermitteln, ob Ihre Maßnahmen wirksam waren.
Eine gründliche Vorbereitung Ihrer Mitarbeiter, Prozesse und Technologien ist der Schlüssel zu einem effektiven Betrieb. Folgen Sie daher den bewährten Methoden aus dem Abschnitt Vorbereitung, um effektiv auf ein aktives Sicherheitsereignis reagieren zu können.
Weitere Informationen finden Sie im Abschnitt Betrieb des AWS-Leitfadens zur Reaktion auf Sicherheitsvorfälle.
