SEC 10: インシデントの予測、対応、復旧はどのように行いますか?
組織に支障をきたすことを最小限に抑えるために、セキュリティインシデントのタイムリーで効果的な調査、対応、復旧に備えることが重要です。
リソース
Prepare for and respond to security incidents in your AWS environment
Automating Incident Response and Forensics in AWS
DIY guide to runbooks, incident reports, and incident response
CloudEndure Disaster Recovery
AWS Incident Response Guide
Lab: Incident Response Playbook with Jupyter - AWS IAM
Lab: Incident Response with AWS Console and CLI
ベストプラクティス:
-
重要な人員と外部リソースを特定する: 組織がインシデントに対応するのに役立てるため、社内外の担当者、リソース、法的義務を特定します。
-
インシデント管理計画を作成する: インシデントへの応答、インシデント時の伝達、インシデントからの復旧に役立つ計画を作成します。たとえば、ワークロードと組織にとって起こる可能性が最も高いシナリオで、インシデント応答計画を作成してみましょう。内部および外部に伝達およびエスカレーションする方法を含めます。
-
フォレンジック機能を備える: 外部のスペシャリスト、ツール、オートメーションなど、適切なフォレンジック調査能力を特定し、準備します。
-
封じ込め機能を自動化する: インシデントの封じ込めおよび復旧を自動化し、対応時間を短縮するとともに組織的影響を軽減します。
-
アクセスを事前プロビジョニングする: インシデント応答者が AWS に事前プロビジョニングされた正しいアクセス権を持っていることを確認しておき、調査から復旧までの時間を短縮します。
-
ツールを事前デプロイする: 復旧までの調査時間を短縮できるように、セキュリティ担当者は適切なツールを AWS に事前にデプロイしておきます。
-
ゲームデーを実施する: インシデント対応ゲームデー (シミュレーション) で定期的に訓練し、そこで得られた教訓をインシデント管理計画に組み込み、継続的に改善します。
改善計画
重要な人員と外部リソースを特定する
インシデント管理計画を作成する
AWS Security Incident Response Guide
NIST: Computer Security Incident Handling Guide
フォレンジック機能を備える
Automating Incident Response and Forensics
封じ込め機能を自動化する
アクセスを事前プロビジョニングする
ツールを事前デプロイする
Lab: Incident response with AWS Management Console and CLI
Incident Response Playbook with Jupyter - AWS IAM
AWS Security Automation
AWS Tagging Strategies
ゲームデーを実施する