运营 - AWS 安全事件响应 用户指南

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

运营

“操作”是执行事件响应的核心。这是响应和修复安全事件的操作发生的地方。“操作”包括以下五个阶段:检测分析遏制根除恢复。这些阶段和目标的描述可在表 3 中找到。

表 3 — 操作阶段

阶段 目标
检测 识别潜在的安全事件。
分析 确定安全事件是否为意外事件,并评估事件的范围。
遏制 尽量减小和限制安全事件的影响范围。
根除 移除与安全事件相关的未经授权的资源或构件。实施可消除安全事件的缓解措施。
恢复 将系统恢复到已知的安全状态并监控这些系统以确认威胁不会再次出现。

在应对和处理安全事件时,应将这些阶段作为指导,以便有效且可靠地进行响应。采取的实际操作会因事件而异。例如,涉及勒索软件的事件要遵循的响应步骤与涉及公共 Amazon S3 存储桶的事件不同。此外,这些阶段不一定按顺序发生。在遏制和根除之后,您可能需要重新分析,了解操作是否有效。