SEC10-BP04 セキュリティインシデント対応プレイブックを作成し、テストする

インシデント対応プロセスを準備する上で重要なのは、プレイブックを作成することです。インシデント対応プレイブックには、セキュリティイベントが発生したときに従うべき規範的なガイダンスと手順が記載されています。明確な体制と手順があると、対応が簡単になり、人為的ミスの可能性が低くなります。

このベストプラクティスを活用しない場合のリスクレベル: 中

実装のガイダンス

プレイブックは、次のようなインシデントシナリオ向けに作成する必要があります。

予想されるインシデント: プレイブックは、予測されるインシデントに合わせて作成する必要があります。これには、サービス拒否 (DoS)、ランサムウェア、認証情報の漏えいなどの脅威が含まれます。
既知のセキュリティ上の検出結果またはアラート: Amazon GuardDuty などの既知のセキュリティ検出結果やアラートに対処するには、プレイブックを作成する必要があります。GuardDuty の検出結果を受け取った場合、プレイブックには、アラートの誤った処理や無視を防ぐための明確な手順が記載されている必要があります。修復の詳細とガイダンスについては、「GuardDuty によって検出されたセキュリティ問題の修復」を参照してください。

プレイブックには、起こりうるセキュリティインシデントを適切に調査して対応するために、セキュリティアナリストが実行すべき技術的な手順を記載する必要があります。

プレイブックに記載すべき項目には次のようなものがあります。

プレイブックの概要: このプレイブックがどのようなリスクやインシデントシナリオに対応しているか。このプレイブックの目的は何か。
前提条件: このインシデントシナリオには、どのようなログ、検出メカニズム、自動ツールが必要か。どのような通知が想定されるか。
コミュニケーションとエスカレーションに関する情報: 関与している人員およびその連絡先情報。各利害関係者の責任は何か。
対応ステップ: インシデント対応の各フェーズで、どのような戦術的措置を講じるべきか。アナリストはどのようなクエリを実行すべきか。望ましい結果を得るためにどのようなコードを実行すべきか。
- 検知: インシデントはどのように検出されるか。
- 分析: 影響範囲はどのように特定されるか。
- 封じ込め: 影響範囲を限定するために、インシデントをどのように隔離するか。
- 根絶: どのようにして脅威を環境から取り除くか。
- 復旧: 影響を受けたシステムやリソースをどのようにして本番環境に戻すか。
期待される結果: クエリとコードが実行された後、プレイブックで想定される結果はどのようなものか。

関連する Well-Architected のベストプラクティス:

関連ドキュメント:

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

SEC10-BP03 フォレンジック機能を備える:

SEC10-BP05 アクセスを事前プロビジョニングする