Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Enthalten
Wenn eine AWS Security Incident Response aktive Bedrohung in Ihrer Umgebung erkannt wird, hat deren Eindämmung unmittelbare Priorität: Sie verhindern, dass der Bedrohungsakteur weiteren Schaden anrichtet, und bewahren Sie gleichzeitig Beweise für Untersuchungen auf. Der Service führt die Eindämmung mithilfe reversibler, automatisierter Aktionen durch, die gefährdete Ressourcen isolieren, ohne sie zu zerstören. Um diese Funktionen zu aktivieren, müssen Sie zunächst die erforderlichen Berechtigungen und Einstellungen konfigurieren. Siehe Implementieren Sie Containment- und EC2-Triage-Rollen.
Entscheidungsfindung im Bereich der Eindämmung
Ein wesentlicher Bestandteil der Eindämmung ist die Entscheidung, ob ein System heruntergefahren, eine Ressource vom Netzwerk isoliert, der Zugriff entzogen oder Sitzungen beendet werden sollen. AWS Security Incident Response stellt die Eindämmungsstrategie bereit, informiert Sie über mögliche Auswirkungen und unterstützt Sie bei der Implementierung der Lösung erst, nachdem Sie die damit verbundenen Risiken berücksichtigt und ihnen zugestimmt haben.
Diese Entscheidungen werden einfacher, wenn Sie über vorab festgelegte Strategien und Verfahren verfügen. Der Service verwendet eine Kombination aus Ihren Eindämmungseinstellungen (die beim Onboarding konfiguriert wurden), der Art der Bedrohung und Echtzeitanalysen, um die angemessene Reaktion zu ermitteln.
Unterstützte Eindämmungsmaßnahmen
AWS Security Incident Response führt in Ihrem Namen Eindämmungsmaßnahmen durch, um die Zeit zu reduzieren, die ein Bedrohungsakteur benötigt, um Schaden anzurichten. Alle unterstützten Eindämmungsaktionen sind reversibel. Der Service kann die Ressource wieder in den Zustand versetzen, in dem sie vor der Eindämmung war, nachdem der Vorfall behoben wurde. Die Eindämmungsmaßnahmen sind drei Ressourcentypen zugeordnet:
Amazon EC2 Containment (AWSSupport-ContainEC2Instance) führt eine umkehrbare Netzwerkeindämmung einer Amazon Elastic Compute Cloud (Amazon EC2) -Instance durch. Die Instance bleibt aktiv und intakt, aber die Automatisierung isoliert sie von neuen Netzwerkaktivitäten und verhindert, dass sie mit Ressourcen innerhalb oder außerhalb Ihrer Amazon VPC kommuniziert, indem die Sicherheitsgruppen der Instance durch eine restriktive Sicherheitsgruppe ersetzt werden. Bestehende nachverfolgte Verbindungen werden nicht aufgrund der Änderung der Sicherheitsgruppen heruntergefahren. Nur future Verkehr wird blockiert.
IAM Containment (AWSSupport-ContainIAMPrincipal) führt eine umkehrbare Eingrenzung eines AWS Identity and Access Management (IAM-) Benutzers oder einer Rolle durch. Der Principal verbleibt in IAM, aber die Automatisierung isoliert ihn von der Kommunikation mit Ressourcen in Ihrem Konto, indem eine „Deny-All“ -Richtlinie angehängt wird. Dadurch wird dem Principal faktisch die Möglichkeit genommen, Maßnahmen zu ergreifen, und die Daten werden gleichzeitig forensisch überprüft.
Amazon S3 Containment (AWSSupport-ContainS3Resource) führt eine umkehrbare Eindämmung eines Amazon Simple Storage Service (Amazon S3) -Buckets durch. Objekte verbleiben im Bucket, aber die Automatisierung isoliert den Bucket oder das Objekt, indem die Zugriffsrichtlinien so geändert werden, dass jeglicher externer Zugriff verweigert wird.
Entwickeln Sie Ihre Eindämmungsstrategie
Erwägen Sie für jede Art von Großereignis Strategien zur Eindämmung, die Ihrer Risikobereitschaft entsprechen. Dokumentieren Sie klare Kriterien, die Ihnen bei der Entscheidungsfindung während einer Veranstaltung helfen. Zu den zu berücksichtigenden Kriterien gehören:
Potenzieller Schaden an Ressourcen
Beweissicherung und regulatorische Anforderungen
Nichtverfügbarkeit von Diensten (z. B. Netzwerkkonnektivität oder Dienste, die für externe Parteien bereitgestellt werden)
Zeit und Ressourcen, die für die Umsetzung der Strategie benötigt wurden
Wirksamkeit der Strategie (teilweise oder vollständige Eindämmung)
Dauerhaftigkeit der Lösung (reversibel versus irreversibel)
Dauer der Lösung (Notfalllösung, vorübergehende Behelfslösung oder permanente Lösung)
Wenden Sie Sicherheitskontrollen an, die das Risiko verringern und genügend Zeit für die Definition und Umsetzung einer effektiveren Eindämmungsstrategie bieten.
Stufenweiser Eindämmungsansatz
AWS Security Incident Response verwendet einen schrittweisen Ansatz, um eine effiziente und wirksame Eindämmung zu erreichen, wobei je nach Ressourcentyp kurz- und langfristige Strategien zum Einsatz kommen. Short-termDie Eindämmung konzentriert sich auf die sofortige Abwehr der aktiven Bedrohung (Isolierung eines Netzwerks, Widerruf von Zugangsdaten), während bei der langfristigen Eindämmung die eigentliche Ursache angegangen wird, um ein erneutes Auftreten zu verhindern, nachdem die unmittelbare Gefahr vorüber ist.
Wie hängt die Eindämmung mit dem Lebenszyklus eines Vorfalls zusammen
Die Eindämmung steht im Lebenszyklus eines detection/analysis Vorfalls zwischen und seiner Beseitigung. Nachdem die automatische Triage eine bestätigte oder vermutete Bedrohung identifiziert hat und ein Fall erstellt wurde, bestimmt der Service anhand Ihrer Einstellungen und der Schwere des Vorfalls, ob Maßnahmen zur Eindämmung erforderlich sind. Nachdem eine Ressource eingedämmt wurde, setzen die AWS Security Incident Response Techniker die Untersuchung fort, teilen Ihnen die Ergebnisse mit und begleiten Sie bei der Beseitigung und Wiederherstellung. Sobald der Vorfall vollständig behoben ist, werden die Eindämmungsmaßnahmen rückgängig gemacht und der normale Betrieb wieder aufgenommen.