本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
包含
當 AWS 安全事件應變 識別您環境中的作用中威脅時,遏制是立即的優先順序:停止威脅行為者造成進一步損害,同時保留證據以供調查。服務會透過可復原的自動化動作執行遏制,以隔離遭入侵的資源,而不會銷毀資源。若要啟用這些功能,您必須先設定必要的許可和偏好設定。請參閱 部署遏制和 EC2 Triage 角色。
控制決策
遏制的一個重要部分是決定是否關閉系統、將資源與網路隔離、撤銷存取或結束工作階段。 AWS 安全事件應變 提供遏制策略、通知您潛在影響,並引導您在考慮並同意涉及的風險之後實作解決方案。
當您有預先決定的策略和程序時,這些決策會變得更容易。服務會使用您的遏制偏好設定 (在加入期間設定)、威脅性質和即時分析的組合來判斷適當的回應。
支援的遏制動作
AWS 安全事件應變 會代表您執行遏制動作,以減少威脅行為者造成損害的時間。所有支援的遏制動作都是可逆的。解決事件後,服務可以將資源還原至其遏制前狀態。遏制動作對應至三種資源類型:
Amazon EC2 遏制 (AWSSupport-ContainEC2Instance) 會執行 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的可逆網路遏制。執行個體會保持執行狀態且完好無損,但自動化會將其與新的網路活動隔離,並透過將執行個體的安全群組取代為限制性遏制安全群組,防止其與 Amazon VPC 內部或外部的資源通訊。現有的追蹤連線不會因為變更安全群組而關閉。只有未來的流量會遭到封鎖。
IAM 遏制 (AWSSupport-ContainIAMPrincipal) 會執行 AWS Identity and Access Management (IAM) 使用者或角色的可逆遏制。委託人會保留在 IAM 中,但自動化會透過連接拒絕所有政策,將其與帳戶中的資源進行通訊。這可有效地撤銷委託人採取動作的能力,同時保留它以進行鑑識審查。
Amazon S3 遏制 (AWSSupport-ContainS3Resource) 會執行 Amazon Simple Storage Service (Amazon S3) 儲存貯體的可逆遏制。物件會保留在儲存貯體中,但自動化會修改其存取政策以拒絕所有外部存取,以隔離儲存貯體或物件。
制定您的遏制策略
針對符合您風險偏好的每個主要事件類型,考慮控制策略。記錄明確的條件,以協助在事件期間做出決策。要考慮的條件包括下列項目:
資源的潛在損壞
保留證據和法規要求
服務無法使用 (例如,網路連線或提供給外部各方的服務)
實作策略所需的時間和資源
策略的有效性 (部分遏制與完全遏制)
解決方案的持久性 (可逆與不可逆)
解決方案的持續時間 (緊急解決方法、暫時解決方法或永久解決方案)
套用可降低風險的安全控制,並允許時間來定義和實作更有效的遏制策略。
階段式遏制方法
AWS 安全事件應變 使用分階段方法來實現有效率且有效的遏制,並根據資源類型涉及短期和長期策略。短期遏制著重於立即停止作用中的威脅 (隔離網路、撤銷憑證),而長期遏制可解決根本原因,以防止在立即危險通過之後再次發生。
遏制與事件生命週期的關係
在事件生命週期中,偵測/分析和根除之間的限制。在自動分類識別已確認或可疑的威脅並建立案例後,服務會根據您的偏好設定和事件的嚴重性,判斷是否需要採取遏制動作。包含資源之後, AWS 安全事件應變 工程師會繼續調查、與您分享問題清單,並引導您完成根除和復原。事件完全解決後,抑制動作會反轉,並恢復正常操作。