事件响应
即使采用极为成熟的预防和检测控制机制,您的组织仍应制定相关流程来响应安全事件并缓解安全事件可能带来的影响。工作负载的架构会极大地影响团队在事件发生期间采取行动、隔离或约束系统并将运行状态恢复到已知的良好状态的能力。在安全事件发生之前确保相关工具部署到位,而后定期进行响应演练,将有助于确保您的架构有能力及时进行调查和恢复。
在 AWS 中,以下实践有助于做出有效的事故响应:
-
我们提供包含文件访问和更改等重要内容的详细日志记录。
-
事件可以自动处理,并且会触发通过使用 AWS API 自动做出响应的工具。
-
您可以使用 AWS CloudFormation 预先配置工具和一个“清洁屋”。这样您就可以在安全且隔离的环境中进行取证。
以下问题主要针对安全方面的注意事项。
| SEC 10:如何预测、响应事件以及从事件中恢复? |
|---|
| 准备工作对于及时有效地调查、响应安全事件以及从安全事件中恢复至关重要,可以尽可能减少对组织的破坏。 |
确保您能够快速授予安全团队访问权限,而且系统可以自动隔离实例并自动捕捉数据与状态信息用于取证。
