View a markdown version of this page

遏制 - AWS 安全事件响应 用户指南

遏制

当 AWS 安全事件响应 在您的环境中检测到活跃威胁时,遏制是当务之急:在保留调查证据的同时,阻止威胁行为者造成进一步损害。该服务通过可逆的自动操作来进行遏制,这些操作可以在不破坏受感染资源的情况下将其隔离。要启用这些功能,您必须首先配置所需的权限和偏好。请参阅部署遏制和 EC2 Triage 角色

遏制决策

遏制措施的关键环节在于决定是关闭系统、将资源与网络隔离、撤销访问权限,还是终止会话。AWS 安全事件响应 会提供遏制策略,告知您潜在的影响,并在您充分考虑并同意相关风险后,指导您实施解决方案。

如果您事先制定了策略和流程,这些决策就会变得更加容易。该服务综合考虑您的遏制偏好(在入门过程中配置)、威胁的性质以及实时分析结果,从而确定适当的应对措施。

支持的遏制措施

AWS 安全事件响应 会代表您执行遏制措施,以缩短威胁行为者造成破坏的时间。所有支持的遏制操作都是可逆的。事件解决后,该服务可将资源恢复到遏制前的状态。隔离操作对应三种资源类型:

Amazon EC2 遏制 (AWSSupport-ContainEC2Instance) 可对 Amazon Elastic Compute Cloud (Amazon EC2) 实例执行可逆的网络遏制。该实例将继续运行且保持完整,但该自动化功能会将其与新的网络活动隔离,并通过用限制性遏制安全组替换实例的安全组,阻止其与 Amazon VPC 内部或外部的资源进行通信。更改安全组不会中断现有的已跟踪连接。仅未来产生的流量会被阻止。

IAM 遏制 (AWSSupport-ContainIAMPrincipal) 对 AWS Identity and Access Management (IAM) 用户或角色执行可逆的遏制操作。该主体仍保留在 IAM 中,但自动化操作通过附加一条“全部拒绝”策略,将其与您账户中的资源隔离,使其无法与这些资源进行通信。这实际上撤销了该主体执行操作的能力,同时保留了该主体以便进行取证审查。

Amazon S3 遏制 (AWSSupport-ContainS3Resource) 对 Amazon Simple Storage Service (Amazon S3) 存储桶执行可逆的遏制操作。对象仍保留在存储桶中,但该自动化操作会通过修改其访问策略来拒绝所有外部访问,从而将存储桶或对象隔离。

制定您的遏制策略

针对每种主要事件类型,考虑制定符合您风险承受能力的遏制策略。请明确记录决策标准,以便事件发生时参考。需要考虑的标准包括以下几点:

  • 资源潜在损害程度

  • 证据保存与合规要求

  • 服务不可用性(如网络连接或向外部提供的服务)

  • 实施策略所需的时间与资源

  • 策略有效性(部分遏制与完全遏制)

  • 解决方案持久性(可逆与不可逆操作)

  • 解决方案的持续时间(应急变通方案、临时变通方案或永久解决方案)

执行可降低风险的安全控制措施,为制定和实施更有效的遏制策略争取时间。

阶段式遏制方法

AWS 安全事件响应 采用分阶段方案实现高效遏制,根据资源类型制定短期与长期策略。短期遏制侧重于立即阻止当前威胁(隔离网络、撤销凭证),而长期遏制则着眼于解决根本原因,以防止在紧急危险过去后再次发生。

遏制与事件生命周期的关系

在事件生命周期中,遏制措施介于检测/分析与根除之间。在自动化分级识别出已确认或可疑的威胁并创建案例后,系统会根据您的偏好和事件的严重程度,判断是否需要采取隔离措施。资源被遏制后,AWS 安全事件响应 工程师将继续进行调查,与您分享调查结果,并指导您完成根除和恢复工作。事件完全解决后,遏制措施将被撤销,系统恢复正常运行。