作業 - 安全支柱

作業

操作是進行事件回應的核心。這也是採取行動回應和補救安全事件的所在。操作包括以下五個階段:偵測分析遏制根除復原。下表中可找到這些階段和目標的說明。

階段 目標
偵測 識別潛在的安全事件。
分析 確定安全事件是否為事件,並評估事件的範圍。
遏制 盡量縮小並限制安全事件的範圍。
根除 移除與安全事件相關的未經授權資源或成品。實作造成安全事件的緩和措施。
復原 將系統還原至已知的安全狀態,並監控這些系統以確認威脅未再發生。

這些階段應做為您回應和操作安全事件時的指引,以便採取有效且可靠的方式來回應。您採取的實際行動會因事件而有所不同。舉例來說,對於涉及勒索軟體的事件與涉及公有 Amazon S3 儲存貯體的事件將採取不同的回應步驟。此外,這些階段不一定會依序發生。在遏制和根除之後,您可能需要返回分析,以了解採取的行動是否有效。

涵蓋人員、流程和技術的完整準備,是讓操作發揮效用的關鍵。因此,請依照準備一節的最佳實務,以便有效回應作用中安全事件。

若要進一步了解,請參閱 AWS 安全事件回應指南的操作https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/operations.html一節。