├── .github
└── workflows
│ └── github-repo-stats.yml
├── CONTRIBUTING.md
├── Disclaimer.md
├── LICENSE
├── LICENSE-SAMPLECODE
├── LICENSE-SUMMARY
├── README.md
├── docs
├── AWS_Help.md
├── Amazon_Q.md
├── Analyzing_VPC_Flow_Logs.md
├── Archived
│ ├── Compromised_IAM_Credentials.md
│ ├── de.Compromised_IAM_Credentials.md
│ ├── es.Compromised_IAM_Credentials.md
│ ├── fr.Compromised_IAM_Credentials.md
│ ├── ja.Compromised_IAM_Credentials.md
│ └── zh.Compromised_IAM_Credentials.md
├── Bedrock_Response.md
├── Code_Exposure.md
├── Compromised_IAM_Credentials.md
├── Cryptojacking.md
├── Denial_of_Service.md
├── EC2_Forensics.md
├── Playbook_Creation_Process.md
├── Playbook_Development_Guide.md
├── RDS_Public_Access.md
├── Ransom_Response_EC2_Linux.md
├── Ransom_Response_EC2_Windows.md
├── Ransom_Response_RDS.md
├── Ransom_Response_S3.md
├── Resource_Glossary.md
├── Responding to Ransom Attacks within AWS.pdf
├── Responding to SageMaker.md
├── Responding_to_Ransom_in_AWS.md
├── Responding_to_SES_Events.md
├── S3_Public_Access.md
├── Unauthorized_Network_Changes.md
├── de
│ ├── de.AWS_Help.md
│ ├── de.Amazon_Q.md
│ ├── de.Analyzing_VPC_Flow_Logs.md
│ ├── de.Bedrock_Response.md
│ ├── de.Code_Exposure.md
│ ├── de.Compromised_IAM_Credentials.md
│ ├── de.Cryptojacking.md
│ ├── de.Denial_of_Service.md
│ ├── de.EC2_Forensics.md
│ ├── de.Playbook_Creation_Process.md
│ ├── de.Playbook_Development_Guide.md
│ ├── de.RDS_Public_Access.md
│ ├── de.Ransom_Response_EC2_Linux.md
│ ├── de.Ransom_Response_EC2_Windows.md
│ ├── de.Ransom_Response_RDS.md
│ ├── de.Ransom_Response_S3.md
│ ├── de.Resource_Glossary.md
│ ├── de.Responding to SageMaker.md
│ ├── de.Responding_to_Ransom_in_AWS.md
│ ├── de.Responding_to_SES_Events.md
│ ├── de.S3_Public_Access.md
│ ├── de.Unauthorized_Network_Changes.md
│ └── de.rationalization_of_security_incident_handling.md
├── es
│ ├── es.AWS_Help.md
│ ├── es.Amazon_Q.md
│ ├── es.Analyzing_VPC_Flow_Logs.md
│ ├── es.Bedrock_Response.md
│ ├── es.Code_Exposure.md
│ ├── es.Compromised_IAM_Credentials.md
│ ├── es.Cryptojacking.md
│ ├── es.Denial_of_Service.md
│ ├── es.EC2_Forensics.md
│ ├── es.Playbook_Creation_Process.md
│ ├── es.Playbook_Development_Guide.md
│ ├── es.RDS_Public_Access.md
│ ├── es.Ransom_Response_EC2_Linux.md
│ ├── es.Ransom_Response_EC2_Windows.md
│ ├── es.Ransom_Response_RDS.md
│ ├── es.Ransom_Response_S3.md
│ ├── es.Resource_Glossary.md
│ ├── es.Responding to SageMaker.md
│ ├── es.Responding_to_Ransom_in_AWS.md
│ ├── es.Responding_to_SES_Events.md
│ ├── es.S3_Public_Access.md
│ ├── es.Unauthorized_Network_Changes.md
│ └── es.rationalization_of_security_incident_handling.md
├── fr
│ ├── fr.AWS_Help.md
│ ├── fr.Amazon_Q.md
│ ├── fr.Analyzing_VPC_Flow_Logs.md
│ ├── fr.Bedrock_Response.md
│ ├── fr.Code_Exposure.md
│ ├── fr.Compromised_IAM_Credentials.md
│ ├── fr.Cryptojacking.md
│ ├── fr.Denial_of_Service.md
│ ├── fr.EC2_Forensics.md
│ ├── fr.Playbook_Creation_Process.md
│ ├── fr.Playbook_Development_Guide.md
│ ├── fr.RDS_Public_Access.md
│ ├── fr.Ransom_Response_EC2_Linux.md
│ ├── fr.Ransom_Response_EC2_Windows.md
│ ├── fr.Ransom_Response_RDS.md
│ ├── fr.Ransom_Response_S3.md
│ ├── fr.Resource_Glossary.md
│ ├── fr.Responding to SageMaker.md
│ ├── fr.Responding_to_Ransom_in_AWS.md
│ ├── fr.Responding_to_SES_Events.md
│ ├── fr.S3_Public_Access.md
│ ├── fr.Unauthorized_Network_Changes.md
│ └── fr.rationalization_of_security_incident_handling.md
├── ja
│ ├── ja.AWS_Help.md
│ ├── ja.Amazon_Q.md
│ ├── ja.Analyzing_VPC_Flow_Logs.md
│ ├── ja.Bedrock_Response.md
│ ├── ja.Code_Exposure.md
│ ├── ja.Compromised_IAM_Credentials.md
│ ├── ja.Cryptojacking.md
│ ├── ja.Denial_of_Service.md
│ ├── ja.EC2_Forensics.md
│ ├── ja.Playbook_Creation_Process.md
│ ├── ja.Playbook_Development_Guide.md
│ ├── ja.RDS_Public_Access.md
│ ├── ja.Ransom_Response_EC2_Linux.md
│ ├── ja.Ransom_Response_EC2_Windows.md
│ ├── ja.Ransom_Response_RDS.md
│ ├── ja.Ransom_Response_S3.md
│ ├── ja.Resource_Glossary.md
│ ├── ja.Responding to SageMaker.md
│ ├── ja.Responding_to_Ransom_in_AWS.md
│ ├── ja.Responding_to_SES_Events.md
│ ├── ja.S3_Public_Access.md
│ ├── ja.Unauthorized_Network_Changes.md
│ └── ja.rationalization_of_security_incident_handling.md
├── rationalization_of_security_incident_handling.md
└── zh
│ ├── zh.AWS_Help.md
│ ├── zh.Amazon_Q.md
│ ├── zh.Analyzing_VPC_Flow_Logs.md
│ ├── zh.Bedrock_Response.md
│ ├── zh.Code_Exposure.md
│ ├── zh.Compromised_IAM_Credentials.md
│ ├── zh.Cryptojacking.md
│ ├── zh.Denial_of_Service.md
│ ├── zh.EC2_Forensics.md
│ ├── zh.Playbook_Creation_Process.md
│ ├── zh.Playbook_Development_Guide.md
│ ├── zh.RDS_Public_Access.md
│ ├── zh.Ransom_Response_EC2_Linux.md
│ ├── zh.Ransom_Response_EC2_Windows.md
│ ├── zh.Ransom_Response_RDS.md
│ ├── zh.Ransom_Response_S3.md
│ ├── zh.Resource_Glossary.md
│ ├── zh.Responding to SageMaker.md
│ ├── zh.Responding_to_Ransom_in_AWS.md
│ ├── zh.Responding_to_SES_Events.md
│ ├── zh.S3_Public_Access.md
│ ├── zh.Unauthorized_Network_Changes.md
│ └── zh.rationalization_of_security_incident_handling.md
└── images
├── VPC-example.png
├── aws_caf.png
├── bedrock-01.png
├── bedrock-02.png
├── bedrock-03.png
├── bedrock-04.png
├── bedrock-05.png
├── bedrock-06.png
├── bedrock-07.png
├── bedrock-09.png
├── bedrock-10.png
├── bedrock-11.png
├── bedrock-12.png
├── bedrock-13.png
├── image-caf-sec.png
├── image1.png
├── image2.png
├── image3.png
├── image4.png
├── image6.png
├── image7.png
├── image8.png
├── nist_life_cycle.png
├── sagemaker-01.png
├── sagemaker-02.png
├── sagemaker-03.png
├── sagemaker-04.png
├── sagemaker-05.png
└── sagemaker-06.png
/.github/workflows/github-repo-stats.yml:
--------------------------------------------------------------------------------
1 | name: github-repo-stats
2 |
3 | on:
4 | schedule:
5 | # Run this once per day, towards the end of the day for keeping the most
6 | # recent data point most meaningful (hours are interpreted in UTC).
7 | - cron: "0 23 * * *"
8 | workflow_dispatch: # Allow for running this manually.
9 |
10 | jobs:
11 | j1:
12 | name: github-repo-stats
13 | runs-on: ubuntu-latest
14 | steps:
15 | - name: run-ghrs
16 | # Use latest release.
17 | uses: jgehrcke/github-repo-stats@RELEASE
18 | with:
19 | ghtoken: ${{ secrets.ghrs_github_api_token }}
20 |
--------------------------------------------------------------------------------
/CONTRIBUTING.md:
--------------------------------------------------------------------------------
1 | # Contributing Guidelines
2 |
3 | Thank you for your interest in contributing to our project. Whether it's a bug report, new feature, correction, or additional
4 | documentation, we greatly value feedback and contributions from our community.
5 |
6 | Please read through this document before submitting any issues or pull requests to ensure we have all the necessary
7 | information to effectively respond to your bug report or contribution.
8 |
9 |
10 | ## Reporting Bugs/Feature Requests
11 |
12 | We welcome you to use the GitHub issue tracker to report bugs or suggest features.
13 |
14 | When filing an issue, please check existing open, or recently closed, issues to make sure somebody else hasn't already
15 | reported the issue. Please try to include as much information as you can. Details like these are incredibly useful:
16 |
17 | * A reproducible test case or series of steps
18 | * The version of our code being used
19 | * Any modifications you've made relevant to the bug
20 | * Anything unusual about your environment or deployment
21 |
22 |
23 | ## Contributing via Pull Requests
24 | Contributions via pull requests are much appreciated. Before sending us a pull request, please ensure that:
25 |
26 | 1. You are working against the latest source on the *main* branch.
27 | 2. You check existing open, and recently merged, pull requests to make sure someone else hasn't addressed the problem already.
28 | 3. You open an issue to discuss any significant work - we would hate for your time to be wasted.
29 |
30 | To send us a pull request, please:
31 |
32 | 1. Fork the repository.
33 | 2. Modify the source; please focus on the specific change you are contributing. If you also reformat all the code, it will be hard for us to focus on your change.
34 | 3. Ensure local tests pass.
35 | 4. Commit to your fork using clear commit messages.
36 | 5. Send us a pull request, answering any default questions in the pull request interface.
37 | 6. Pay attention to any automated CI failures reported in the pull request, and stay involved in the conversation.
38 |
39 | GitHub provides additional document on [forking a repository](https://help.github.com/articles/fork-a-repo/) and
40 | [creating a pull request](https://help.github.com/articles/creating-a-pull-request/).
41 |
42 |
43 | ## Finding contributions to work on
44 | Looking at the existing issues is a great way to find something to contribute on. As our projects, by default, use the default GitHub issue labels (enhancement/bug/duplicate/help wanted/invalid/question/wontfix), looking at any 'help wanted' issues is a great place to start.
45 |
46 |
47 | ## Code of Conduct
48 | This project has adopted the [Amazon Open Source Code of Conduct](https://aws.github.io/code-of-conduct).
49 | For more information see the [Code of Conduct FAQ](https://aws.github.io/code-of-conduct-faq) or contact
50 | opensource-codeofconduct@amazon.com with any additional questions or comments.
51 |
52 |
53 | ## Security issue notifications
54 | If you discover a potential security issue in this project we ask that you notify AWS/Amazon Security via our [vulnerability reporting page](http://aws.amazon.com/security/vulnerability-reporting/). Please do **not** create a public github issue.
55 |
56 |
57 | ## Licensing
58 |
59 | See the [LICENSE](LICENSE) file for our project's licensing. We will ask you to confirm the licensing of your contribution.
--------------------------------------------------------------------------------
/Disclaimer.md:
--------------------------------------------------------------------------------
1 | This document is provided for informational purposes only. It represents the current product offerings and practices from Amazon Web Services (AWS) as of the date of issue of this document, which are subject to change without notice. Customers are responsible for making their own independent assessment of the information in this document and any use of AWS products or services, each of which is provided “as is” without warranty of any kind, whether express or implied. This document does not create any warranties, representations, contractual commitments, conditions, or assurances from AWS, its affiliates, suppliers, or licensors. The responsibilities and liabilities of AWS to its customers are controlled by AWS agreements, and this document is not part of, nor does it modify, any agreement between AWS and its customers.
2 |
3 | © 2024 Amazon Web Services, Inc. or its affiliates. All Rights Reserved. This work is licensed under a Creative Commons Attribution 4.0 International License.
4 |
5 | This AWS Content is provided subject to the terms of the AWS Customer Agreement available at http://aws.amazon.com/agreement or other written agreement between the Customer and either Amazon Web Services, Inc. or Amazon Web Services EMEA SARL or both.
6 |
7 | This comprehensive framework and the included documents are provided as templates using non-prescriptive guidance to demonstrate how people (the informed customer) , processes (this playbook framework) , and technology (using open source GitHub) may be aligned to establish an Incident Response Playbook library.
8 |
9 | This resource is intentionally incomplete. This allows the customer to adopt a framework while providing enough ambiguity and flexibility to think strategically as they navigate their incident response documentation essentials, wants, and needs. There is no one absolute answer; it is essential to integrate this process with your operational demands, objectives, and outcomes.
10 |
11 | The included Bitcoin Template is an example of a playbook for a specific situation. You should make certain the template, and all other materials in this archive, are customized for your environment(s) and resources and test it before implementing for purposes in production. Forking or mirroring this archive is NOT sufficient for a practical execution of an incident response playbook library.
12 |
13 | Customers should also use a [private GitHub repository](https://docs.github.com/en/repositories/managing-your-repositorys-settings-and-features/managing-repository-settings/setting-repository-visibility) in combination with best practices and scanning tools to mitigate and prevent sensitive data exposure. Some examples of resources that could be used include:
14 |
15 | - [Ten GitHub Security Best Practices](https://snyk.io/blog/ten-git-hub-security-best-practices/)
16 | - [Scan for Sensitive Information Using Git-Secrets](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/scan-git-repositories-for-sensitive-information-and-security-issues-by-using-git-secrets.html)
17 | - [Fighting Sensitive Data Exposure with Automation](https://medium.com/@gtsai70/fighting-sensitive-data-exposure-with-automation-44c8e7ba0c87)
18 | - [Github Credentials Scanner](https://geekflare.com/github-credentials-scanner/)
19 |
20 | These playbooks contains translations performed using machine translation with [AWS Translate](https://aws.amazon.com/translate/). These playbooks have not been reviewed by a human translator and may contain errors. Please ensure you review the documents before using to ensure correct context and language for your individual use case. If you would like to contribute to correcting errors and reviewing the errors, we welcome that assistance.
--------------------------------------------------------------------------------
/LICENSE-SAMPLECODE:
--------------------------------------------------------------------------------
1 | Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
2 |
3 | Permission is hereby granted, free of charge, to any person obtaining a copy of this
4 | software and associated documentation files (the "Software"), to deal in the Software
5 | without restriction, including without limitation the rights to use, copy, modify,
6 | merge, publish, distribute, sublicense, and/or sell copies of the Software, and to
7 | permit persons to whom the Software is furnished to do so.
8 |
9 | THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED,
10 | INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A
11 | PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT
12 | HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION
13 | OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE
14 | SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.
15 |
--------------------------------------------------------------------------------
/LICENSE-SUMMARY:
--------------------------------------------------------------------------------
1 | Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
2 |
3 | The documentation is made available under the Creative Commons Attribution-ShareAlike 4.0 International License. See the LICENSE file.
4 |
5 | The sample code within this documentation is made available under the MIT-0 license. See the LICENSE-SAMPLECODE file.
6 |
--------------------------------------------------------------------------------
/docs/AWS_Help.md:
--------------------------------------------------------------------------------
1 | # Security Playbook for Engaging AWS Support
2 | This document is provided for informational purposes only. It represents the current product offerings and practices from Amazon Web Services (AWS) as of the date of issue of this document, which are subject to change without notice. Customers are responsible for making their own independent assessment of the information in this document and any use of AWS products or services, each of which is provided “as is” without warranty of any kind, whether express or implied. This document does not create any warranties, representations, contractual commitments, conditions, or assurances from AWS, its affiliates, suppliers, or licensors. The responsibilities and liabilities of AWS to its customers are controlled by AWS agreements, and this document is not part of, nor does it modify, any agreement between AWS and its customers.
3 |
4 | © 2024 Amazon Web Services, Inc. or its affiliates. All Rights Reserved. This work is licensed under a Creative Commons Attribution 4.0 International License.
5 |
6 | This AWS Content is provided subject to the terms of the AWS Customer Agreement available at http://aws.amazon.com/agreement or other written agreement between the Customer and either Amazon Web Services, Inc. or Amazon Web Services EMEA SARL or both.
7 |
8 | ## Points of Contact
9 |
10 | Author: `Author Name` \
11 | Approver: `Approver Name` \
12 | Last Date Approved:
13 |
14 | ## Executive Summary
15 |
16 | As part of our ongoing commitment to customers, AWS is providing this
17 | security incident response playbook that describes the steps needed to request assistance from AWS Support for security events.
18 |
19 | 
20 |
21 | *Aspects of AWS incident response*
22 | ## Preparation
23 |
24 | In order to quickly and effectively execute incident response activities, it is crucial to prepare the people, processes, and technology within your organization. Review the [*AWS Security Incident Response Guide*](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/preparation.html), and implement the steps required to help ensure preparedness of all three domains.
25 |
26 | ## How to Engage AWS Support for Assistance
27 |
28 | It is important that you notify AWS as soon as you suspect a compromised credential(s) within your AWS account or Organization. Here are the steps to engage AWS Support:
29 |
30 | ### Open an AWS Support Case
31 |
32 | - Login to your AWS account:
33 | - This is the first AWS account that was impacted by the security event, to validate AWS account ownership.
34 | - Note: If you are unable to access account, use [this form](https://support.aws.amazon.com/#/contacts/aws-account-support/) to submit a support request.
35 | - Select “*Services*”, “*Support Center*”, “*Create Case*”.
36 | - Select issue type “*Account and Billing”*.
37 | - Select the impacted Service and Category:
38 | - Example:
39 | - Service: Account
40 | - Category: Security
41 | - Choose a Severity:
42 | - Enterprise Support or On-Ramp Customers: *Critical Business Risk Question*.
43 | - Business Support Customers: *Urgent Business Risk Question*.
44 | - Basic and Developer Support Customers: *General Question*.
45 | - For more information you can [compare AWS Support plans](https://aws.amazon.com/premiumsupport/plans/).
46 | - Describe your question or issue:
47 | - Provide a detailed description of the security issue you’re experiencing, the impacted resources, and the business impact.
48 | - Time the security event was first recognized.
49 | - Summary of the event timeline to this point.
50 | - Artifacts you’ve collected (screenshots, log files).
51 | - ARN of IAM Users or Roles that you suspect are compromised.
52 | - Description of affected resources, and the business impact.
53 | - Level of engagement in your organization (ex: “This security event has the visibility of the CEO and Board of Directors”).
54 | - Optional: Add additional case contacts.
55 | - Select “*Contact Us*”.
56 | - Preferred contact language (may be subject to availability)
57 | - Preferred contact method: Web, Phone, or Chat (recommended)
58 | - Optional: Additional case contacts
59 | - *Click “Submit”*
60 |
61 | - **Escalations**: Please notify your AWS account team as soon as possible, so they may engage the necessary resources and escalate as needed.
62 |
63 | **Note:** It is very important to verify your 'Alternate Security Contact' is defined for each AWS account. For more details, please refer to [this
64 | article](https://aws.amazon.com/blogs/security/update-the-alternate-security-contact-across-your-aws-accounts-for-timely-security-notifications/).
65 |
--------------------------------------------------------------------------------
/docs/Cryptojacking.md:
--------------------------------------------------------------------------------
1 | # Business Disruption and Impact Playbook - Bitcoin mining
2 | This document is provided for informational purposes only. It represents the current product offerings and practices from Amazon Web Services (AWS) as of the date of issue of this document, which are subject to change without notice. Customers are responsible for making their own independent assessment of the information in this document and any use of AWS products or services, each of which is provided “as is” without warranty of any kind, whether express or implied. This document does not create any warranties, representations, contractual commitments, conditions, or assurances from AWS, its affiliates, suppliers, or licensors. The responsibilities and liabilities of AWS to its customers are controlled by AWS agreements, and this document is not part of, nor does it modify, any agreement between AWS and its customers.
3 |
4 | © 2024 Amazon Web Services, Inc. or its affiliates. All Rights Reserved. This work is licensed under a Creative Commons Attribution 4.0 International License.
5 |
6 | This AWS Content is provided subject to the terms of the AWS Customer Agreement available at http://aws.amazon.com/agreement or other written agreement between the Customer and either Amazon Web Services, Inc. or Amazon Web Services EMEA SARL or both.
7 |
8 | ## Playbook Workshop
9 | The workshop and associated playbook for Bitcoin Mining can be downloaded from the [AWS Incident Response Playbooks Workshop](https://github.com/aws-samples/aws-incident-response-playbooks-workshop/blob/main/playbooks/crypto_mining/EC2_crypto_mining.md)
10 |
--------------------------------------------------------------------------------
/docs/Playbook_Creation_Process.md:
--------------------------------------------------------------------------------
1 | # Playbook: Playbook/Runbook Creation Process
2 | This document is provided for informational purposes only. It represents the current product offerings and practices from Amazon Web Services (AWS) as of the date of issue of this document, which are subject to change without notice. Customers are responsible for making their own independent assessment of the information in this document and any use of AWS products or services, each of which is provided “as is” without warranty of any kind, whether express or implied. This document does not create any warranties, representations, contractual commitments, conditions, or assurances from AWS, its affiliates, suppliers, or licensors. The responsibilities and liabilities of AWS to its customers are controlled by AWS agreements, and this document is not part of, nor does it modify, any agreement between AWS and its customers.
3 |
4 | © 2024 Amazon Web Services, Inc. or its affiliates. All Rights Reserved. This work is licensed under a Creative Commons Attribution 4.0 International License.
5 |
6 | This AWS Content is provided subject to the terms of the AWS Customer Agreement available at http://aws.amazon.com/agreement or other written agreement between the Customer and either Amazon Web Services, Inc. or Amazon Web Services EMEA SARL or both.
7 |
8 | ## POINTS OF CONTACT
9 |
10 | Author: `Author Name` \
11 | Approver: `Approver Name` \
12 | Last Date Approved: 3/25/2024
13 |
14 | ## NIST 800-61r2 Phase
15 |
16 | Preparation
17 |
18 | ## Executive Summary
19 | This playbook outlines the process to create a new playbook/runbook, transition the document from DRAFT to APPROVED, and re-validation requirements using GitLab.
20 |
21 | For more advanced playbook creation, please reference the [AWS Incident Response Playbooks Workshop](https://catalog.us-east-1.prod.workshops.aws/workshops/43742d64-6a5e-45ea-9339-cbb3fb26944e/en-US)
22 |
23 | ## Guidance
24 |
25 | > It is important to maintain our runbooks to dive deep and deliver results quickly to customers. Per Matthew Helmke "Runbooks help us as a part of a wider set of practices, all designed to build reliability. Keeping runbooks up-to-date is a vital part of site reliability engineering."
26 | ()
27 |
28 | Our team uses Github to manage documentation. Look at [References](../Playbook_Creation_Process.md/#references) to see some abbreviated steps for our process flow.
29 |
30 | ## New Playbook/Runbook
31 |
32 | ### GUI Procedure
33 |
34 | * Create an Issue for Process Tracking
35 | * Create a new source branch to work in
36 | * Navigate to the root of your branch
37 | * Select the "Web IDE" button
38 | * To create an item, highlight the left-margin folder and select the dropdown arrow for options
39 | * Select "New File"
40 | * Note: It may be helpful to copy the content from an existing playbook for formatting
41 | * Our documents use [GitHub Flavored Markdown](https://github.github.com/gfm/)
42 |
43 | * Ensure follow standard naming convention for our library
44 | * Playbooks: `# Playbook: Playbook/Runbook`
45 | * Tool Guides: `# Tooling: ToolName`
46 | * This is the only time Header 1 (H1) is used within the document
47 |
48 | * Create a link to the associated issue
49 | * Example: `Associate Issue: (./issues/1)`
50 |
51 | * Once you've completed your document:
52 | * Add a link to your document in the issue as a comment
53 | * Add the label "REVIEW" in the issue
54 | * Post a message with a link to your issue in the `customer correspondence mmethod` and request review/comment.
55 |
56 | * In order for a Playbook to be approved at least two (2) team members must have reviewed and added their names and a comment in the associated issue
57 |
58 | * Update and implement any recommendations or corrections to the document
59 |
60 | * Once your document has been reviewed and all corrections made, submit your document for the approval process to be finalized.
61 |
62 | * Go into the issue and change the assignee to an approver
63 | * Go into the issue
64 | * Add the label SUBMITTED FOR APPROVAL to your issue
65 | * In the right-hand margin next to "Assignee" select "Edit"
66 | * Change the assignee to `approver`
67 | * Send a note to `approver` letting him know the document is ready for final review
68 | * Following approval, add a link to the document/playbook into the Readme
69 | * Example: `[Playbook Creation Process](./docs/Playbook_Creation_Process.md)`
70 | * Submit a Merge Request
71 |
72 | * Note: Remember that all steps prior to the merge request MUST be completed within your working branch
73 |
74 | * The SLA for this task is 7 calendar days from the time you submit the document.
75 | * If no response has been received within the SLA period for approval, escalate by sending a chime note to `user A`, `user B`, `user C`.
76 |
77 | ### CLI Procedure
78 |
79 | TBD
80 |
81 | ## Playbook/Runbook Updates
82 |
83 | ### Procedure
84 |
85 | * Create an Issue for Process Tracking
86 | * Create a new source branch to work in
87 | * Navigate to the root of your branch
88 | * Select the "Web IDE" button
89 | * Open a new issue to track progress on your changes
90 | * Remove all existing labels
91 | * Add the label DRAFT
92 | * Create a link to the associated issue
93 | * You can append your issues to the list
94 | * Example: (issue1) , (issue1) , (issue3)
95 |
96 | * Once you've completed your document:
97 | * Add a link to your document in the issue as a comment
98 | * Add the label "REVIEW" in the issue
99 | * Post a message with a link to your issue in `customer correspondence mechanism` and request review/comment.
100 |
101 | * In order for a Playbook to be approved at least two (2) team members must have reviewed and added their names and a comment in the associated issue
102 |
103 | * Update and implement any recommendations or corrections to the document
104 |
105 | * Once your document has been reviewed and all corrections made, submit your document for the approval process to be finalized.
106 |
107 | * Go into the issue and change the assignee to an approver
108 | * Go into the issue
109 | * Add the label SUBMITTED FOR APPROVAL to your issue
110 | * In the right-hand margin next to "Assignee" select "Edit"
111 | * Change the assignee to `approver`
112 | * Send a note in Chime to `approver` letting them know the document is ready for final review
113 | * Following approval, add a link to the document/playbook into the Readme
114 | * Example: `[Playbook Creation Process](./docs/Playbook_Creation_Process.md)`
115 | * Submit a Merge Request
116 |
117 | * Note: Remember that all steps prior to the merge request MUST be completed within your working branch
118 |
119 | * The SLA for this task is 7 calendar days from the time you submit the document.
120 | * If no response has been received within the SLA period for approval, escalate by sending a note to `user A`, `user B`, `user C`
121 |
122 | ### CLI Procedure
123 |
124 | TBD
125 |
126 | ## Approval Process
127 |
128 | ### Task Owner:
129 |
130 | Team Owners
131 |
132 | ### Service Level Agreement
133 |
134 | - 7 calendar days from author submission
135 |
136 | ### Procedure
137 |
138 | * Review the document and associated issue in GitHub
139 |
140 | * Delete REVIEW from the title of the document
141 |
142 | * Delete the statement THIS IS A DRAFT PLAYBOOK from the document
143 |
144 | * Under Points of Contact
145 | - Add/update your name to Approver
146 | - Add/update `Last Date Approved` as YYYY/MM/DD for when you approve the document
147 |
148 | * Reassign the issue back to the requester
149 | * Add a comment in the issue that the playbook is approved, and to proceed with a merge request
150 |
151 | ## References
152 |
153 | ### Using GitHub: Create an Issue
154 |
155 | We use issues to track ongoing and completed work. Additionally, this assists the team with transitioning through our review and approval process. This also permits comments from reviewers to address anything withing repository objects as part of our documentation bar raiser process.
156 |
157 | * Graphical User Interface: the GUI allows you to interact with GitHub from a web browser to interact with this repository
158 | 1. Navigate to your GitHub repository using your favored web browser
159 | 1. Open an issue by selecting Issues from the top menu
160 | 1. Select "New Issue"
161 | 1. Add a title and description of what you are working on
162 | 1. Assign to yourself (this will allow tracking in later steps)
163 | 1. For Milestone, select `customer milestone here`
164 | 1. For Labels, select any that are appropriate for your Issue
165 | * For new documents ensure you select DRAFT
166 | 1. Select "Submit issue"
167 | 1. On the new Issue page, in the right-hand margin Lock issue > Edit > Lock
168 |
169 | * Command Line Interface: the CLI allows you to interact with GitHub form the command-line
170 |
171 | ### Using GitHub: Create a Branch to Work in
172 |
173 | We work in individual branches so in progress work does not interfere with what others may be doing in real-time.
174 |
175 | * Graphical User Interface: the GUI allows you to interact with [GitHub from a web browser to interact with this repository](https://docs.github.com/en/github/collaborating-with-pull-requests/proposing-changes-to-your-work-with-pull-requests/creating-and-deleting-branches-within-your-repository)
176 |
177 | * Command Line Interface: the CLI allows you to interact with GitHub form the command-line
178 |
179 | ### Using GitHub: Create a Merge Request
180 |
181 | Merge Request(s) allow a secondary bar raiser review prior to merging with the parent repository.
182 |
183 | * [Graphical User Interface](https://docs.github.com/en/github/collaborating-with-pull-requests/incorporating-changes-from-a-pull-request/about-pull-request-merges)
184 |
185 | * Command Line Interface: the CLI allows you to interact with GitHub form the command-line
186 |
187 | ## Backlog Items
188 |
--------------------------------------------------------------------------------
/docs/Responding to Ransom Attacks within AWS.pdf:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/docs/Responding to Ransom Attacks within AWS.pdf
--------------------------------------------------------------------------------
/docs/de/de.AWS_Help.md:
--------------------------------------------------------------------------------
1 | # Sicherheits-Playbook für die Reaktion auf Amazon Bedrock-Sicherheitsereignisse
2 | Dieses Dokument dient nur zu Informationszwecken. Es stellt die aktuellen Produktangebote und -praktiken von Amazon Web Services (AWS) zum Zeitpunkt der Veröffentlichung dieses Dokuments dar, die sich ohne vorherige Ankündigung ändern können. Kunden sind dafür verantwortlich, die Informationen in diesem Dokument und die Nutzung von AWS-Produkten oder -Services, die jeweils „wie sie sind“ und ohne jegliche ausdrückliche oder stillschweigende Garantie bereitgestellt werden, selbst zu beurteilen. Dieses Dokument stellt keine Garantien, Zusicherungen, vertraglichen Verpflichtungen, Bedingungen oder Zusicherungen von AWS, seinen verbundenen Unternehmen, Lieferanten oder Lizenzgebern dar. Die Verantwortlichkeiten und Verbindlichkeiten von AWS gegenüber seinen Kunden werden durch AWS-Verträge geregelt, und dieses Dokument ist weder Teil einer Vereinbarung zwischen AWS und seinen Kunden noch ändert es diese.
3 |
4 | © 2024 Amazon Web Services, Inc. oder seine Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Werk ist unter einer Creative Commons Attribution 4.0 International License lizenziert.
5 |
6 | Dieser AWS-Inhalt wird gemäß den Bedingungen der AWS-Kundenvereinbarung bereitgestellt, die unter http://aws.amazon.com/agreement verfügbar ist, oder einer anderen schriftlichen Vereinbarung zwischen dem Kunden und Amazon Web Services, Inc. oder Amazon Web Services EMEA SARL oder beiden.
7 |
8 | ## Ansprechpartner
9 |
10 | Autor: `Name des Autors`\
11 | Genehmiger: `Name des Genehmigers`\
12 | Letztes Genehmigungsdatum:
13 |
14 | ## Zusammenfassung
15 |
16 | Im Rahmen unseres kontinuierlichen Engagements für Kunden stellt AWS dies zur Verfügung
17 | Playbook zur Reaktion auf Sicherheitsvorfälle, in dem die Schritte beschrieben werden, die erforderlich sind, um Unterstützung beim AWS-Support bei Sicherheitsereignissen anzufordern.
18 |
19 | ! [Bild] (/images/nist_life_cycle.png)
20 |
21 | *Aspekte der AWS-Reaktion auf Incidents*
22 | ## Vorbereitung
23 |
24 | Um Maßnahmen zur Reaktion auf Vorfälle schnell und effektiv durchführen zu können, ist es von entscheidender Bedeutung, die Mitarbeiter, Prozesse und Technologien in Ihrem Unternehmen darauf vorzubereiten. Lesen Sie den [*AWS Security Incident Response Guide*] (https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/preparation.html) und implementieren Sie die erforderlichen Schritte, um sicherzustellen, dass alle drei Domänen darauf vorbereitet sind.
25 |
26 | ## So wenden Sie sich an den AWS-Support, um Unterstützung zu erhalten
27 |
28 | Es ist wichtig, dass Sie AWS benachrichtigen, sobald Sie vermuten, dass Ihre Anmeldeinformationen in Ihrem AWS-Konto oder Ihrer Organisation kompromittiert wurden. Gehen Sie wie folgt vor, um den AWS-Support in Anspruch zu nehmen:
29 |
30 | ### Einen AWS-Supportfall öffnen
31 |
32 | - Melden Sie sich bei Ihrem AWS-Konto an:
33 | - Dies ist das erste AWS-Konto, das von dem Sicherheitsereignis betroffen war, um die Inhaberschaft eines AWS-Kontos zu bestätigen.
34 | - Hinweis: Wenn Sie nicht auf das Konto zugreifen können, verwenden Sie [dieses Formular] (https://support.aws.amazon.com/#/contacts/aws-account-support/), um eine Support-Anfrage einzureichen.
35 | - Wählen Sie „*Services*“, „*Support Center*“, „*Fall erstellen*“ aus.
36 | - Wählen Sie den Problemtyp „*Konto und Abrechnung“ *.
37 | - Wählen Sie den betroffenen Service und die betroffene Kategorie aus:
38 | - Beispiel:
39 | - Service: Konto
40 | - Kategorie: Sicherheit
41 | - Wählen Sie einen Schweregrad:
42 | - Enterprise Support- oder On-Ramp-Kunden: *Frage zu kritischem Geschäftsrisiko*.
43 | - Business-Support-Kunden: *Dringende Frage zum Geschäftsrisiko*.
44 | - Kunden mit Basic Support und Developer Support: *Allgemeine Frage*.
45 | — Weitere Informationen finden Sie unter [AWS Support-Pläne vergleichen] (https://aws.amazon.com/premiumsupport/plans/).
46 | - Beschreiben Sie Ihre Frage oder Ihr Problem:
47 | - Beschreiben Sie ausführlich das aufgetretene Sicherheitsproblem, die betroffenen Ressourcen und die Auswirkungen auf Ihr Unternehmen.
48 | — Zeitpunkt, zu dem das Sicherheitsereignis zum ersten Mal erkannt wurde.
49 | — Zusammenfassung des Zeitplans des Ereignisses bis zu diesem Zeitpunkt.
50 | - Artefakte, die du gesammelt hast (Screenshots, Protokolldateien).
51 | — ARN von IAM-Benutzern oder -Rollen, von denen Sie vermuten, dass sie gefährdet sind.
52 | - Beschreibung der betroffenen Ressourcen und der Auswirkungen auf das Geschäft.
53 | - Grad des Engagements in Ihrem Unternehmen (z. B.: „Dieses Sicherheitsereignis ist für den CEO und den Vorstand sichtbar“).
54 | - Optional: Fügen Sie weitere Ansprechpartner für den Fall hinzu.
55 | - Wählen Sie „*Kontaktieren Sie uns*“.
56 | - Bevorzugte Kontaktsprache (möglicherweise je nach Verfügbarkeit)
57 | - Bevorzugte Kontaktmethode: Internet, Telefon oder Chat (empfohlen)
58 | - Optional: Zusätzliche Ansprechpartner für den Fall
59 | - *Klicken Sie auf „Senden“ *
60 |
61 | - **Eskalationen**: Bitte benachrichtigen Sie Ihr AWS-Kundenbetreuungsteam so schnell wie möglich, damit es die erforderlichen Ressourcen einsetzen und bei Bedarf eskalieren kann.
62 |
63 | **Hinweis: ** Es ist sehr wichtig, dass Sie überprüfen, ob Ihr „Alternativer Sicherheitskontakt“ für jedes AWS-Konto definiert ist. Weitere Informationen finden Sie unter [
64 | Artikel] (https://aws.amazon.com/blogs/security/update-the-alternate-security-contact-across-your-aws-accounts-for-timely-security-notifications/).
--------------------------------------------------------------------------------
/docs/de/de.Cryptojacking.md:
--------------------------------------------------------------------------------
1 | # Playbook für Geschäftsunterbrechungen und Auswirkungen - Bitcoin Mining
2 | Dieses Dokument wird nur zu Informationszwecken zur Verfügung gestellt. Es stellt die aktuellen Produktangebote und -praktiken von Amazon Web Services (AWS) zum Ausstellungsdatum dieses Dokuments dar, die sich ohne vorherige Ankündigung ändern können. Die Kunden sind dafür verantwortlich, ihre eigene unabhängige Bewertung der Informationen in diesem Dokument und jede Nutzung von AWS-Produkten oder -Dienstleistungen durchzuführen, von denen jede „wie besehen“ ohne ausdrückliche oder stillschweigende Gewährleistung jeglicher Art bereitgestellt wird. Dieses Dokument enthält keine Garantien, Zusicherungen, vertraglichen Verpflichtungen, Bedingungen oder Zusicherungen von AWS, seinen verbundenen Unternehmen, Lieferanten oder Lizenzgebern. Die Verantwortlichkeiten und Verbindlichkeiten von AWS gegenüber seinen Kunden werden durch AWS-Vereinbarungen kontrolliert, und dieses Dokument ist weder Teil noch ändert es eine Vereinbarung zwischen AWS und seinen Kunden.
3 |
4 | © 2024 Amazon Web Services, Inc. oder seine Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Werk ist unter einer Creative Commons Namensnennung 4.0 International License lizenziert.
5 |
6 | Dieser AWS-Inhalt wird gemäß den Bedingungen der AWS-Kundenvereinbarung bereitgestellt, die unter http://aws.amazon.com/agreement verfügbar ist, oder einer anderen schriftlichen Vereinbarung zwischen dem Kunden und entweder Amazon Web Services, Inc. oder Amazon Web Services EMEA SARL oder beiden.
7 |
8 | ## Playbook-Workshop
9 | Der Workshop und das dazugehörige Playbook für Bitcoin Mining können vom [AWS Incident Response Playbooks Workshop] heruntergeladen werden (https://github.com/aws-samples/aws-incident-response-playbooks-workshop/blob/main/playbooks/crypto_mining/EC2_crypto_mining.md)
--------------------------------------------------------------------------------
/docs/de/de.rationalization_of_security_incident_handling.md:
--------------------------------------------------------------------------------
1 | # Rationalisierung von Warnmeldungen für Sicherheitsvorfälle
2 | Dieses Dokument wird nur zu Informationszwecken bereitgestellt. Es stellt die aktuellen Produktangebote und -praktiken von Amazon Web Services (AWS) zum Ausstellungsdatum dieses Dokuments dar, die sich ohne vorherige Ankündigung ändern können. Die Kunden sind dafür verantwortlich, ihre eigene unabhängige Bewertung der Informationen in diesem Dokument und jede Nutzung von AWS-Produkten oder -Dienstleistungen durchzuführen, von denen jede „wie besehen“ ohne ausdrückliche oder stillschweigende Gewährleistung jeglicher Art bereitgestellt wird. Dieses Dokument enthält keine Garantien, Zusicherungen, vertraglichen Verpflichtungen, Bedingungen oder Zusicherungen von AWS, seinen verbundenen Unternehmen, Lieferanten oder Lizenzgebern. Die Verantwortlichkeiten und Verbindlichkeiten von AWS gegenüber seinen Kunden werden durch AWS-Vereinbarungen kontrolliert, und dieses Dokument ist weder Teil noch ändert es eine Vereinbarung zwischen AWS und seinen Kunden.
3 |
4 | © 2024 Amazon Web Services, Inc. oder seine verbundenen Unternehmen. Alle Rechte vorbehalten. Dieses Werk ist unter einer Creative Commons Attribution 4.0 International License lizenziert.
5 |
6 | Dieser AWS-Inhalt wird gemäß den Bedingungen der AWS-Kundenvereinbarung bereitgestellt, die unter http://aws.amazon.com/agreement verfügbar ist, oder einer anderen schriftlichen Vereinbarung zwischen dem Kunden und entweder Amazon Web Services, Inc. oder Amazon Web Services EMEA SARL oder beiden.
7 |
8 | > „Wenn Sie Ihre Büroklammern und Diamanten mit gleicher Kraft schützen, werden Sie bald mehr Büroklammern und weniger Diamanten haben.“, wird dem ehemaligen US-Außenminister Dean Rusk zugeschrieben
9 |
10 | Warnungen werden durch die Bedrohungsmodellierung einer Workload während der Entwicklung von Sicherheitskontrollen bestimmt. Die Verwendung von Warnungen wird durch Responsive Kontrollen definiert, ihre Definition beruht jedoch auf der gesamten Sicherheitsperspektive: Richtlinie, Präventiv, Detektiv und Responsive.
11 |
12 | ## Definitionen
13 |
14 | ### Modellierung von Bedrohungen:
15 |
16 | * **Workload**: was Sie schützen möchten
17 | * **Bedrohlich**: was du fürchtest, passiert
18 | * **Auswirkung**: wie das Geschäft betroffen ist, wenn Bedrohung auf Workload trifft
19 | * **Schwachstellkeit**: was kann die Bedrohung erleichtern
20 | * **Minderung**: Welche Kontrollen gibt es, um Schwachstellen auszugleichen
21 | * **Wahrscheinlichkeit**: wie wahrscheinlich ist es, dass die Bedrohung durch geltende Eindämmungen eintritt
22 |
23 | **Die Priorisierung von Bedrohungen ist ein Faktor für Auswirkungen und Wahrscheinlichkeit. **
24 |
25 | ### Sicherheitskontrollen:
26 |
27 | * **Richtlinien** Kontrollen legen die Governance-, Risiko- und Compliance-Modelle fest, in denen die Umgebung arbeiten wird.
28 | * **Präventive**-Steuerelemente schützen Ihre Workloads und mindern Bedrohungen und Schwachstellen.
29 | * **Detektive**-Steuerelemente bieten vollständige Transparenz und Transparenz über den Betrieb Ihrer Bereitstellungen in AWS.
30 | * **Verantwortliche** Kontrollen fördern die Behebung potenzieller Abweichungen von Ihren Sicherheitsbaselines.
31 |
32 |
33 | ! [Bild] (/images/image-caf-sec.png)
34 |
35 | ## Um die Ermüdung von Warnungen und eine bessere Handhabung von Sicherheitsereignissen zu minimieren, sollte der Kontext zur Bedrohungsmodellierung Folgendes berücksichtigen:
36 |
37 | * Relevanz der Arbeitslast (*) für das Unternehmen.
38 | * Datenklassifizierung (*) jeder Workload-Komponente.
39 | * Durchgängig verwendete Methodik wie STRIDE (Spoofing, Manipulation, Offenlegung von Informationen, Ablehnung, Diensteverweigerung und Erhöhung des Privilegs)
40 | * Cloud-Sicherheitsbereitschaft und Reife.
41 | * Fähigkeit zur Reaktion auf Vorfälle und Bedrohungsjagd
42 | * Funktionen zur automatischen Behebung.
43 | * Reife der Automatisierung von Vorfällen.
44 |
45 |
46 | (*) ***Relevanz der Arbeitslast und Datenklassifizierung*** werden durch die Risikorahmeninitiative des Unternehmens definiert. Beispiele:
47 |
48 | ### Relevanz der Arbeitslast:
49 |
50 | **Hoch**: großer Geldverlust- und Imagewahrnehmungsschaden, langfristige Auswirkungen auf das Unternehmen, geringer Erholungserfolg
51 | **Mittel**: nachhaltiger monetärer Verlust und Imagewahrnehmungsschaden, kurzfristige geschäftliche Auswirkungen, hoher Erholungserfolg
52 | **Niedrig**: kein messbarer monetärer Verlust und Imagewahrnehmungsschaden, keine geschäftlichen Auswirkungen, Erholung ist nicht anwendbar
53 |
54 | ### Datenklassifizierung:
55 |
56 | **Geheim**: großer Geldverlust- und Imagewahrnehmungsschaden, langfristige Auswirkungen auf das Unternehmen, geringer Erholungserfolg
57 | **Vertraulich**: nachhaltiger monetärer Verlust und Imagewahrnehmungsschaden, kurzfristige geschäftliche Auswirkungen, hoher Erholungserfolg
58 | **Nicht klassifiziert**: kein messbarer monetärer Verlust und Bildwahrnehmungsschaden, keine geschäftlichen Auswirkungen, Erholung ist nicht anwendbar
59 |
60 |
61 | ## Ziel der Warnpriorisierung ist es, sie an die entsprechende Warteschlange zu senden:
62 |
63 | * Warnungs-Triage-Warteschlange
64 | * Warteschlange für Bedrohungen
65 | * Warteschlange archivieren
66 |
67 |
68 | Der Prozess, um zu definieren, wo die Warnung enden wird, hängt von allen zuvor aufgezählten Faktoren ab. Eine grundlegende Entscheidung für die Warteschlange lautet wie folgt:
69 |
70 | ### Warnungs-Triage-Warteschlange:
71 |
72 | 1. Spezifisches Risikorahmenmandat, einschließlich, aber nicht beschränkt auf Branchenregulierung, gesetzliche Compliance, Geschäftsanforderungen. In diesem Szenario hat die Arbeitslast eine Relevanz von **hoch** oder Daten werden als **geheim** klassifiziert.
73 | 2. Spezifische Anforderungen für das Bedrohungsmodell, um den formalen Reaktionsprozess für
74 | 3. Die automatische Behebung ist fehlgeschlagen für Warnungen, bei denen die Arbeitslast eine Relevanz von **mittel** oder **hoch** hat oder die Datenklassifizierung **geheim** oder **vertraulich** ist.
75 |
76 | ### **Warteschlange für die Bedrohungsjagd**:
77 |
78 | 1. Die automatische Behebung erfolgreich für Arbeitslast mit **mittel** oder **hoch** Relevanz oder Datenklassifizierung ist **geheim** oder **vertraulich**.
79 | 2. Die automatische Behebung für Arbeitslast mit **niedriger** Relevanz fehlgeschlagen oder die Datenklassifizierung ist **nicht klassifiziert**.
80 |
81 | ### Archiv-Warteschlange:
82 |
83 | 1. Die automatische Behebung für Workload mit **niedriger** Relevanz war erfolgreich oder die Datenklassifizierung ist **nicht klassifiziert**.
--------------------------------------------------------------------------------
/docs/es/es.AWS_Help.md:
--------------------------------------------------------------------------------
1 | # Manual de seguridad para responder a los eventos de seguridad de Amazon Bedrock
2 | Este documento se proporciona únicamente con fines informativos. Representa las ofertas y prácticas de productos actuales de Amazon Web Services (AWS) en la fecha de publicación de este documento, que están sujetas a cambios sin previo aviso. Los clientes son responsables de realizar su propia evaluación independiente de la información de este documento y de cualquier uso de los productos o servicios de AWS, cada uno de los cuales se proporciona «tal cual» sin garantía de ningún tipo, ya sea expresa o implícita. Este documento no crea ninguna garantía, declaración, compromiso contractual, condición o garantía por parte de AWS, sus filiales, proveedores o licenciantes. Las responsabilidades y obligaciones de AWS con sus clientes están reguladas por los acuerdos de AWS, y este documento no forma parte de ningún acuerdo entre AWS y sus clientes ni lo modifica.
3 |
4 | © 2024 Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. Esta obra está bajo una licencia internacional Creative Commons Attribution 4.0.
5 |
6 | Este contenido de AWS se proporciona sujeto a los términos del Acuerdo de cliente de AWS disponible en http://aws.amazon.com/agreement u otro acuerdo escrito entre el cliente y Amazon Web Services, Inc. o Amazon Web Services EMEA SARL o ambos.
7 |
8 | ## Puntos de contacto
9 |
10 | Autor: `Nombre del autor`\
11 | Aprobador: `Nombre del aprobador`\
12 | Última fecha de aprobación:
13 |
14 | ## Resumen ejecutivo
15 |
16 | Como parte de nuestro compromiso continuo con los clientes, AWS ofrece este
17 | manual de respuesta a incidentes de seguridad que describe los pasos necesarios para solicitar asistencia a AWS Support en caso de eventos de seguridad.
18 |
19 | ! [Imagen] (/images/nist_life_cycle.png)
20 |
21 | *Aspectos de la respuesta a incidentes de AWS*
22 | ## Preparación
23 |
24 | Para ejecutar de forma rápida y eficaz las actividades de respuesta a incidentes, es fundamental preparar a las personas, los procesos y la tecnología de su organización. Consulte la [*Guía de respuesta a incidentes de seguridad de AWS*] (https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/preparation.html) e implemente los pasos necesarios para garantizar la preparación de los tres dominios.
25 |
26 | ## Cómo solicitar asistencia al soporte de AWS
27 |
28 | Es importante que notifique a AWS tan pronto como sospeche que hay credenciales comprometidas en su cuenta u organización de AWS. Estos son los pasos para contratar a AWS Support:
29 |
30 | ### Abrir un caso de AWS Support
31 |
32 | - Inicie sesión en su cuenta de AWS:
33 | - Esta es la primera cuenta de AWS que se vio afectada por el evento de seguridad, para validar la propiedad de la cuenta de AWS.
34 | - Nota: Si no puede acceder a la cuenta, utilice [este formulario] (https://support.aws.amazon.com/#/contacts/aws-account-support/) para enviar una solicitud de soporte.
35 | - Selecciona «*Servicios*», «*Centro de asistencia*», «*Crear caso*».
36 | - Selecciona el tipo de problema «*Cuenta y facturación» *.
37 | - Seleccione el servicio y la categoría afectados:
38 | - Ejemplo:
39 | - Servicio: cuenta
40 | - Categoría: Seguridad
41 | - Elige una gravedad:
42 | - Clientes de Enterprise Support o On-Ramp: *Pregunta crítica sobre los riesgos empresariales.
43 | - Clientes de asistencia empresarial: *Pregunta urgente sobre riesgos comerciales*.
44 | - Clientes de soporte básico y para desarrolladores: *Pregunta general*.
45 | - Para obtener más información, puede [comparar los planes de AWS Support] (https://aws.amazon.com/premiumsupport/plans/).
46 | - Describa su pregunta o problema:
47 | - Proporcione una descripción detallada del problema de seguridad al que se enfrenta, los recursos afectados y el impacto empresarial.
48 | - Hora en que se reconoció por primera vez el incidente de seguridad.
49 | - Resumen de la cronología del evento hasta el momento.
50 | - Los artefactos que has recopilado (capturas de pantalla, archivos de registro).
51 | - ARN de los usuarios o roles de IAM que sospeche que están comprometidos.
52 | - Descripción de los recursos afectados y del impacto empresarial.
53 | - Nivel de participación en su organización (por ejemplo: «Este evento de seguridad cuenta con la visibilidad del director ejecutivo y del consejo de administración»).
54 | - Opcional: añada contactos adicionales al caso.
55 | - Selecciona «*Contáctenos*».
56 | - Idioma de contacto preferido (puede estar sujeto a disponibilidad)
57 | - Método de contacto preferido: web, teléfono o chat (recomendado)
58 | - Opcional: contactos de caja adicionales
59 | - *Haga clic en «Enviar» *
60 |
61 | - **Escalaciones**: notifique a su equipo de cuentas de AWS lo antes posible para que puedan contratar los recursos necesarios y escalar según sea necesario.
62 |
63 | **Nota: ** Es muy importante comprobar que su «contacto de seguridad alternativo» esté definido para cada cuenta de AWS. Para obtener más información, consulte [esto
64 | artículo] (https://aws.amazon.com/blogs/security/update-the-alternate-security-contact-across-your-aws-accounts-for-timely-security-notifications/).
--------------------------------------------------------------------------------
/docs/es/es.Cryptojacking.md:
--------------------------------------------------------------------------------
1 | # Guía de interrupción e impacto del negocio - Minería de Bitcoin
2 | Este documento se proporciona únicamente con fines informativos. Representa las ofertas y prácticas de productos actuales de Amazon Web Services (AWS) a partir de la fecha de emisión de este documento, que están sujetos a cambios sin previo aviso. Los clientes son responsables de realizar su propia evaluación independiente de la información contenida en este documento y de cualquier uso de los productos o servicios de AWS, cada uno de los cuales se proporciona «tal cual» sin garantía de ningún tipo, ya sea expresa o implícita. Este documento no crea garantías, declaraciones, compromisos contractuales, condiciones o garantías de AWS, sus filiales, proveedores o licenciantes. Las responsabilidades y responsabilidades de AWS ante sus clientes están controladas por acuerdos de AWS y este documento no forma parte ni modifica ningún acuerdo entre AWS y sus clientes.
3 |
4 | © 2024 Amazon Web Services, Inc. o sus filiales. Reservados todos los derechos. Este trabajo está licenciado bajo una licencia internacional Creative Commons Attribution 4.0.
5 |
6 | Este contenido de AWS se proporciona sujeto a los términos del Acuerdo de cliente de AWS disponibles en http://aws.amazon.com/agreement u otro acuerdo escrito entre el cliente y Amazon Web Services, Inc. o Amazon Web Services EMEA SARL o ambos.
7 |
8 | ## Taller de libros de jugadas
9 | El taller y el libro de jugadas asociado para la minería de Bitcoin se pueden descargar del [Workshop de AWS Incident Response Playbooks] (https://github.com/aws-samples/aws-incident-response-playbooks-workshop/blob/main/playbooks/crypto_mining/EC2_crypto_mining.md)
--------------------------------------------------------------------------------
/docs/es/es.rationalization_of_security_incident_handling.md:
--------------------------------------------------------------------------------
1 | # Racionalización de las alertas de incidentes de seguridad
2 | Este documento se proporciona únicamente con fines informativos. Representa las ofertas y prácticas de productos actuales de Amazon Web Services (AWS) a partir de la fecha de emisión de este documento, que están sujetos a cambios sin previo aviso. Los clientes son responsables de realizar su propia evaluación independiente de la información contenida en este documento y de cualquier uso de los productos o servicios de AWS, cada uno de los cuales se proporciona «tal cual» sin garantía de ningún tipo, ya sea expresa o implícita. Este documento no crea garantías, declaraciones, compromisos contractuales, condiciones o garantías de AWS, sus filiales, proveedores o licenciantes. Las responsabilidades y responsabilidades de AWS ante sus clientes están controladas por acuerdos de AWS y este documento no forma parte ni modifica ningún acuerdo entre AWS y sus clientes.
3 |
4 | © 2024 Amazon Web Services, Inc. o sus filiales. Reservados todos los derechos. Este trabajo está licenciado bajo una licencia internacional Creative Commons Attribution 4.0.
5 |
6 | Este contenido de AWS se proporciona sujeto a los términos del Acuerdo de cliente de AWS disponibles en http://aws.amazon.com/agreement u otro acuerdo escrito entre el cliente y Amazon Web Services, Inc. o Amazon Web Services EMEA SARL o ambos.
7 |
8 | > «Si protege sus clips de papel y diamantes con igual vigor, pronto tendrá más clips de papel y menos diamantes», atribuido al ex secretario de Estado estadounidense, Dean Rusk
9 |
10 | Las alertas se determinan mediante el modelado de amenazas de una carga de trabajo durante el desarrollo de controles de seguridad. El uso de las alertas se define mediante controles Responsive; sin embargo, su definición se basa en toda la perspectiva de seguridad: Directiva, Preventiva, Detective y Responsive.
11 |
12 | ## Definiciones
13 |
14 | ### Modelado de amenazas:
15 |
16 | * **Carga de trabajo**: lo que intentas proteger
17 | * **Amenaza**: lo que temes que pase
18 | * **Impacto**: cómo se ve afectado el negocio cuando la amenaza cumple con la carga de trabajo
19 | * **Vulnerabilidad**: qué puede facilitar la amenaza
20 | * **Mitigación**: qué controles existen para compensar la vulnerabilidad
21 | * **Probabilidad**: cuán probable es que la amenaza ocurra con las mitigaciones implementadas
22 |
23 | **La priorización de las amenazas es un factor de impacto y probabilidad. **
24 |
25 | ### Controles de seguridad:
26 |
27 | * **Directiva** Los controles establecen los modelos de gobernanza, riesgo y cumplimiento en los que operará el entorno.
28 | * **Los controles preventivos** protegen sus cargas de trabajo y mitigan amenazas y vulnerabilidades.
29 | * **Los controles detectivos** proporcionan visibilidad y transparencia completas sobre el funcionamiento de sus implementaciones en AWS.
30 | * **Los controles receptivos** impulsan la corrección de posibles desviaciones de las líneas de base de seguridad.
31 |
32 |
33 | ! [Imagen] (/images/image-caf-sec.png)
34 |
35 | ## Para minimizar la fatiga de las alertas y un mejor manejo de los eventos de seguridad, el contexto de modelado de amenazas debe tener en cuenta:
36 |
37 | * Relevancia de la carga de trabajo (*) para la empresa.
38 | * Clasificación de datos (*) de cada componente de carga de trabajo.
39 | * Metodología utilizada sistemáticamente como STRIDE (falsificación, manipulación, divulgación de información, repudio, denegación de servicio y elevación de privilegios)
40 | * Preparación y madurez de la seguridad en la nube.
41 | * Capacidad de respuesta ante incidentes y caza de amenazas.
42 | * Capacidades de corrección automática.
43 | * Madurez de automatización de manejo de incidentes.
44 |
45 |
46 | (*) ***La relevancia de la carga de trabajo y la clasificación de datos*** se definen por la iniciativa de marco de riesgo de la corporación. Ejemplos:
47 |
48 | ### Relevancia de la carga de trabajo:
49 |
50 | **Alto**: importantes pérdidas monetarias y daños en la percepción de la imagen, impacto empresarial a largo plazo, bajo éxito en la recuperación
51 | **Medio**: pérdida monetaria sostenible y daños en la percepción de la imagen, impacto empresarial a corto plazo, alto éxito en la recuperación
52 | **Bajo**: sin pérdidas monetarias medibles ni daños en la percepción de la imagen, sin impacto empresarial, no se aplica la recuperación
53 |
54 | ### Clasificación de datos:
55 |
56 | **Secreto**: importantes pérdidas monetarias y daños en la percepción de la imagen, impacto empresarial a largo plazo, bajo éxito en la recuperación
57 | **Confidencial**: pérdida monetaria sostenible y daños en la percepción de la imagen, impacto empresarial a corto plazo, alto éxito en la recuperación
58 | **Sin clasificar**: sin pérdidas monetarias mensurables ni daños en la percepción de la imagen, sin impacto empresarial, no se aplica la recuperación
59 |
60 |
61 | ## El objetivo de priorizar alertas es enviarlas a la cola adecuada:
62 |
63 | * Cola de clasificación de alertas
64 | * Cola de búsqueda de amenazas
65 | * Cola de archivado
66 |
67 |
68 | El proceso para definir dónde terminará la alerta depende de todos los factores enumerados anteriormente. Una decisión básica de cola es la siguiente:
69 |
70 | ### Cola de clasificación de alertas:
71 |
72 | 1. Mandato marco de riesgo específico, que incluye, entre otros, la regulación de la industria, el cumplimiento legal y los requisitos comerciales. En este escenario, la carga de trabajo tiene una relevancia **alta** o los datos se clasifican como **secreto**.
73 | 2. Requisito de modelo de amenazas específico para iniciar un proceso formal de respuesta a incidentes
74 | 3. Error de corrección automática para las alertas en las que la carga de trabajo tiene relevancia **media** o **alta** o la clasificación de datos es **secreta** o **confidencial**.
75 |
76 | ### **Cola de búsqueda de amenazas**:
77 |
78 | 1. La corrección automática correcta para la carga de trabajo con relevancia de **media** o **alta** o clasificación de datos es **secreta** o **confidencial**.
79 | 2. Error de corrección automática para la carga de trabajo con una relevancia **baja** o la clasificación de datos está **no clasificada**.
80 |
81 | ### Cola de archivado:
82 |
83 | 1. La corrección automática se ha realizado correctamente para la carga de trabajo con la relevancia **baja** o la clasificación de datos está **no clasificada**.
--------------------------------------------------------------------------------
/docs/fr/fr.AWS_Help.md:
--------------------------------------------------------------------------------
1 | # Guide de sécurité pour répondre aux événements de sécurité d'Amazon Bedrock
2 | Ce document est fourni à titre informatif uniquement. Il représente les offres de produits et les pratiques actuelles d'Amazon Web Services (AWS) à la date de publication de ce document, qui sont susceptibles d'être modifiées sans préavis. Les clients sont tenus de procéder à leur propre évaluation indépendante des informations contenues dans ce document et de toute utilisation des produits ou services AWS, chacun étant fourni « tel quel » sans garantie d'aucune sorte, expresse ou implicite. Ce document ne crée aucune garantie, représentation, engagement contractuel, condition ou assurance de la part d'AWS, de ses filiales, fournisseurs ou concédants de licence. Les responsabilités et obligations d'AWS à l'égard de ses clients sont régies par les accords AWS, et le présent document ne fait partie d'aucun accord conclu entre AWS et ses clients et ne les modifie pas.
3 |
4 | © 2024 Amazon Web Services, Inc. ou ses filiales. Tous droits réservés. Ce travail est mis à disposition selon les termes de la licence internationale Creative Commons Attribution 4.0.
5 |
6 | Ce contenu AWS est fourni conformément aux termes du contrat client AWS disponible à l'adresse http://aws.amazon.com/agreement ou à tout autre accord écrit entre le client et Amazon Web Services, Inc. ou Amazon Web Services EMEA SARL, ou les deux.
7 |
8 | ## Points de contact
9 |
10 | Auteur : `Nom de l'auteur` \
11 | Approbateur : `Nom de l'approbateur` \
12 | Dernière date d'approbation :
13 |
14 | ## Résumé
15 |
16 | Dans le cadre de notre engagement continu envers les clients, AWS fournit ce
17 | manuel de réponse aux incidents de sécurité qui décrit les étapes nécessaires pour demander l'assistance d'AWS Support pour des événements de sécurité.
18 |
19 | ! [Photo] (/images/nist_life_cycle.png)
20 |
21 | *Aspects de la réponse aux incidents AWS*
22 | ## Préparation
23 |
24 | Afin d'exécuter rapidement et efficacement les activités de réponse aux incidents, il est essentiel de préparer le personnel, les processus et les technologies au sein de votre organisation. Consultez le [*AWS Security Incident Response Guide*] (https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/preparation.html) et mettez en œuvre les étapes nécessaires pour garantir la préparation des trois domaines.
25 |
26 | ## Comment faire appel au support AWS pour obtenir de l'aide
27 |
28 | Il est important que vous informiez AWS dès que vous soupçonnez que des informations d'identification ont été compromises au sein de votre compte AWS ou de votre organisation. Voici les étapes à suivre pour faire appel à AWS Support :
29 |
30 | ### Ouvrez un dossier de support AWS
31 |
32 | - Connectez-vous à votre compte AWS :
33 | - Il s'agit du premier compte AWS concerné par l'événement de sécurité, afin de valider la propriété du compte AWS.
34 | - Remarque : Si vous ne parvenez pas à accéder au compte, utilisez [ce formulaire] (https://support.aws.amazon.com/#/contacts/aws-account-support/) pour soumettre une demande d'assistance.
35 | - Sélectionnez « *Services* », « *Centre de support* », « *Créer un dossier* ».
36 | - Sélectionnez le type de problème « *Compte et facturation » *.
37 | - Sélectionnez le service et la catégorie concernés :
38 | - Exemple :
39 | - Service : Compte
40 | - Catégorie : Sécurité
41 | - Choisissez une gravité :
42 | - Support aux entreprises ou clients en phase de démarrage : *Question critique sur les risques commerciaux*.
43 | - Clients du service d'assistance aux entreprises : *Question urgente sur les risques commerciaux*.
44 | - Clients du support de base et du support aux développeurs : *Question générale*.
45 | - Pour plus d'informations, vous pouvez [comparer les offres de support AWS] (https://aws.amazon.com/premiumsupport/plans/).
46 | - Décrivez votre question ou problème :
47 | - Fournissez une description détaillée du problème de sécurité que vous rencontrez, des ressources concernées et de l'impact sur l'entreprise.
48 | - Heure à laquelle l'événement de sécurité a été reconnu pour la première fois.
49 | - Résumé de la chronologie de l'événement jusqu'à présent.
50 | - Artefacts que vous avez collectés (captures d'écran, fichiers journaux).
51 | - L'ARN des utilisateurs ou des rôles IAM que vous soupçonnez d'être compromis.
52 | - Description des ressources affectées et de l'impact commercial.
53 | - Niveau d'engagement au sein de votre organisation (ex : « Cet événement de sécurité bénéficie de la visibilité du PDG et du conseil d'administration »).
54 | - Facultatif : ajoutez des contacts supplémentaires au dossier.
55 | - Sélectionnez « *Contactez-nous* ».
56 | - Langue de contact préférée (sous réserve de disponibilité)
57 | - Méthode de contact préférée : Web, téléphone ou chat (recommandé)
58 | - Facultatif : contacts supplémentaires pour le boîtier
59 | - *Cliquez sur « Soumettre » *
60 |
61 | - **Escalations** : veuillez en informer l'équipe chargée de votre compte AWS dès que possible, afin qu'elle puisse engager les ressources nécessaires et intervenir en cas de besoin.
62 |
63 | **Remarque :** Il est très important de vérifier que votre « contact de sécurité alternatif » est défini pour chaque compte AWS. Pour plus de détails, veuillez vous référer à [ce
64 | article] (https://aws.amazon.com/blogs/security/update-the-alternate-security-contact-across-your-aws-accounts-for-timely-security-notifications/).
--------------------------------------------------------------------------------
/docs/fr/fr.Cryptojacking.md:
--------------------------------------------------------------------------------
1 | # Cahier de jeu sur les perturbations commerciales et l'impact - Bitcoin Mining
2 | Ce document est fourni à titre informatif uniquement. Il représente les offres de produits et les pratiques actuelles d'Amazon Web Services (AWS) à la date d'émission de ce document, qui peuvent être modifiées sans préavis. Les clients sont responsables de faire leur propre évaluation indépendante des informations contenues dans ce document et de toute utilisation des produits ou services AWS, chacun étant fourni « en l'état » sans garantie d'aucune sorte, expresse ou implicite. Ce document ne crée aucune garantie, représentation, engagement contractuel, condition ou assurance de la part d'AWS, de ses sociétés affiliées, de ses fournisseurs ou de ses concédants de licence. Les responsabilités et responsabilités d'AWS envers ses clients sont contrôlées par des accords AWS, et ce document ne fait pas partie ni ne modifie un accord entre AWS et ses clients.
3 |
4 | © 2024 Amazon Web Services, Inc. ou ses sociétés affiliées. Tous droits réservés. Cette œuvre est sous licence Creative Commons Attribution 4.0 International License.
5 |
6 | Ce contenu AWS est fourni sous réserve des termes de l'accord client AWS disponible à l'adresse http://aws.amazon.com/agreement ou d'un autre accord écrit entre le client et Amazon Web Services, Inc. ou Amazon Web Services EMEA SARL ou les deux.
7 |
8 | ## Atelier Playbook
9 | L'atelier et le playbook associé pour Bitcoin Mining peuvent être téléchargés depuis le [AWS Incident Response Playbooks Workshop] (https://github.com/aws-samples/aws-incident-response-playbooks-workshop/blob/main/playbooks/crypto_mining/EC2_crypto_mining.md)
--------------------------------------------------------------------------------
/docs/fr/fr.rationalization_of_security_incident_handling.md:
--------------------------------------------------------------------------------
1 | # Rationalisation des alertes d'incidents de sécurité
2 | Ce document est fourni à titre informatif uniquement. Il représente les offres de produits et les pratiques actuelles d'Amazon Web Services (AWS) à la date d'émission de ce document, qui peuvent être modifiées sans préavis. Les clients sont responsables de faire leur propre évaluation indépendante des informations contenues dans ce document et de toute utilisation des produits ou services AWS, chacun étant fourni « en l'état » sans garantie d'aucune sorte, expresse ou implicite. Ce document ne crée aucune garantie, représentation, engagement contractuel, condition ou assurance de la part d'AWS, de ses sociétés affiliées, de ses fournisseurs ou de ses concédants de licence. Les responsabilités et responsabilités d'AWS envers ses clients sont contrôlées par des accords AWS, et ce document ne fait pas partie ni ne modifie un accord entre AWS et ses clients.
3 |
4 | © 2024 Amazon Web Services, Inc. ou ses sociétés affiliées. Tous droits réservés. Cette œuvre est sous licence Creative Commons Attribution 4.0 International License.
5 |
6 | Ce contenu AWS est fourni sous réserve des termes de l'accord client AWS disponible à l'adresse http://aws.amazon.com/agreement ou d'un autre accord écrit entre le client et Amazon Web Services, Inc. ou Amazon Web Services EMEA SARL ou les deux.
7 |
8 | > « Si vous protégez vos trombones et vos diamants avec la même vigueur, vous aurez bientôt plus de trombones et moins de diamants. » attribué à l'ancien secrétaire d'État américain Dean Rusk
9 |
10 | Les alertes sont déterminées par la modélisation des menaces d'une charge de travail lors du développement de contrôles de sécurité. L'utilisation des alertes est définie par les contrôles Responsive, mais sa définition repose sur l'ensemble de la perspective de sécurité : Directive, Préventive, Détective et Responsive.
11 |
12 | ## Définitions
13 |
14 | ### Modélisation des menaces :
15 |
16 | * **Charge de travail** : ce que vous essayez de protéger
17 | * **Menace** : ce que vous craignez de se produire
18 | * **Impact** : comment l'entreprise est affectée lorsque la menace rencontre la charge de travail
19 | * **Vulnérabilité** : ce qui peut faciliter la menace
20 | * **Atténuation** : quels contrôles sont en place pour compenser la vulnérabilité
21 | * **Probabilité** : quelle est la probabilité que la menace se produise avec des mesures d'atténuation en place
22 |
23 | **La hiérarchisation des menaces est un facteur d'impact et de probabilité. **
24 |
25 | ### Contrôles de sécurité :
26 |
27 | * **Les contrôles directif** établissent les modèles de gouvernance, de risque et de conformité dans lesquels l'environnement fonctionnera.
28 | * **Les contrôles préventif** protègent vos charges de travail et atténuent les menaces et les vulnérabilités.
29 | * Les contrôles **Detective** offrent une visibilité et une transparence complètes sur le fonctionnement de vos déploiements dans AWS.
30 | * **Responsive** contrôle la correction des écarts potentiels par rapport à vos lignes de base de sécurité.
31 |
32 |
33 | ! [Image] (/images/image-caf-sec.png)
34 |
35 | ## Pour minimiser la fatigue des alertes et améliorer la gestion des événements de sécurité, le contexte de modélisation des menaces doit prendre en compte :
36 |
37 | * Pertinence de la charge de travail (*) pour l'entreprise.
38 | * Classification des données (*) de chaque composant de charge de travail.
39 | * Méthodologie systématiquement utilisée comme STRIDE (usurpation, falsification, divulgation d'informations, répudiation, déni de service et élévation de privilège)
40 | * Préparation et maturité de la sécurité dans le cloud.
41 | * Capacité de réponse aux incidents et de chasse aux menaces.
42 | * Capacités de correction automatique.
43 | * Maturité de l'automatisation du traitement des incidents
44 |
45 |
46 | (*) ***La pertinence de la charge de travail et la classification des données*** sont définies par l'initiative du cadre de risque de la société. Exemples :
47 |
48 | ### Pertinence de la charge de travail :
49 |
50 | **Élevé** : perte monétaire majeure et dommages à la perception de l'image, impact sur l'entreprise à long terme, faible succès de récupération
51 | **Moyen** : perte monétaire durable et dommages à la perception de l'image, impact commercial à court terme, succès de reprise élevé
52 | **Faible** : aucune perte monétaire mesurable et aucun dommage à la perception de l'image, aucun impact commercial, la reprise n'est pas applicable
53 |
54 | ### Classification des données :
55 |
56 | **Secret** : perte monétaire majeure et dommages à la perception de l'image, impact sur l'entreprise à long terme, faible succès de récupération
57 | **Confidentiel** : perte monétaire durable et dommages à la perception de l'image, impact commercial à court terme, succès de récupération élevé
58 | **Non classifié** : aucune perte monétaire mesurable et aucun dommage à la perception de l'image, aucun impact commercial, la récupération n'est pas applicable
59 |
60 |
61 | ## L'objectif de la priorisation des alertes est de les envoyer dans la file d'attente appropriée :
62 |
63 | * File d'attente de tri des alertes
64 | * File d'attente de chasse aux menaces
65 | * File d'attente d'archives
66 |
67 |
68 | Le processus de définition de l'emplacement de l'alerte dépend de tous les facteurs énumérés précédemment. Une décision de base de mise en file d'attente est la suivante :
69 |
70 | ### File d'attente de triage des alertes :
71 |
72 | 1. Mandat spécifique du cadre de risque, y compris, mais sans s'y limiter, la réglementation de l'industrie, la conformité réglementaire et les exigences commerciales. Dans ce scénario, la charge de travail a une pertinence **élevée** ou les données sont classées comme **secrèt**.
73 | 2. Exigences spécifiques du modèle de menace pour lancer un processus formel de réponse aux incidents.
74 | 3. La correction automatique a échoué pour les alertes où la charge de travail a une pertinence **moyenne** ou **élevée** ou la classification des données est **secrète** ou **confidentiel**.
75 |
76 | ### **File d'attente de chasse aux menaces** :
77 |
78 | 1. La correction automatique réussie pour une charge de travail avec une pertinence **moyenne** ou **élevée** ou la classification des données est **secrèt** ou **confidentiel**.
79 | 2. La correction automatique a échoué pour la charge de travail avec une pertinence **faible** ou la classification des données est **non classifiée**.
80 |
81 | ### File d'archivage :
82 |
83 | 1. La correction automatique a réussi pour la charge de travail avec une pertinence **faible** ou la classification des données est **non classifiée**.
--------------------------------------------------------------------------------
/docs/ja/ja.AWS_Help.md:
--------------------------------------------------------------------------------
1 | # Amazon Bedrock セキュリティイベントに対応するためのセキュリティプレイブック
2 | このドキュメントは情報提供のみを目的としています。 本書の発行日現在のAmazon ウェブサービス (AWS) が提供している製品および慣行を表しており、予告なしに変更されることがあります。 お客様は、本書に記載された情報および AWS の製品またはサービスの使用について、お客様自身で評価する責任を負うものとします。これらの評価は、明示的か黙示的かを問わず、いかなる種類の保証もなく「現状のまま」提供されます。 この文書は、AWS、その関連会社、サプライヤー、またはライセンサーからの保証、表明、契約上のコミットメント、条件、または保証をするものではありません。 お客様に対する AWS の責任と責任は AWS 契約によって管理されており、この文書は AWS と顧客間の契約の一部ではなく、また変更されるものでもありません。
3 |
4 | © 2024 Amazon ウェブサービス株式会社またはその関連会社。 全著作権所有。 この作品はクリエイティブ・コモンズ表示 4.0 国際ライセンスの下に提供されています。
5 |
6 | 本 AWS コンテンツは、http://aws.amazon.com/agreement で入手可能な AWS カスタマー契約の条件、またはお客様とアマゾンウェブサービス株式会社、Amazon ウェブサービス、EMEA、SARL、あるいはその両方との間のその他の書面による契約に従って提供されます。
7 |
8 | ## 連絡先
9 |
10 | 作成者:`著者名`\
11 | 承認者:`承認者名`\
12 | 最終承認日:
13 |
14 | ## エグゼクティブサマリー
15 |
16 | お客様への継続的な取り組みの一環として、AWS はこれを提供しています。
17 | セキュリティイベントについて AWS サポートに支援をリクエストするために必要な手順を説明したセキュリティインシデント対応プレイブック。
18 |
19 | ! [画像] (/images/nist_life_cycle.png)
20 |
21 | *AWS インシデント対応の側面*
22 | ## 準備
23 |
24 | インシデント対応活動を迅速かつ効果的に実施するためには、組織内の人材、プロセス、テクノロジーを準備することが不可欠です。 [*AWS セキュリティインシデント対応ガイド*] (https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/preparation.html) を確認し、3 つのドメインすべての準備が整っていることを確認するために必要な手順を実装してください。
25 |
26 | ## AWS サポートに支援を依頼する方法
27 |
28 | AWS アカウントまたは組織内の認証情報の漏洩が疑われる場合は、すぐに AWS に通知することが重要です。 AWS サポートを利用する手順は次のとおりです。
29 |
30 | ### AWS サポートケースを開く
31 |
32 | -AWS アカウントにログインします。
33 | -セキュリティイベントの影響を受けた最初のAWS アカウントで、AWS アカウントの所有権を検証しました。
34 | -注:アカウントにアクセスできない場合は、[このフォーム] (https://support.aws.amazon.com/#/contacts/aws-account-support/) を使用してサポートリクエストを送信してください。
35 | -「*サービス*」、「*サポートセンター*」、「*ケースの作成*」を選択します。
36 | -課題タイプ「*アカウントと請求」* を選択します。
37 | -影響を受けるサービスとカテゴリを選択:
38 | -例:
39 | -サービス:アカウント
40 | -カテゴリ:セキュリティ
41 | -重要度を選択:
42 | -エンタープライズサポートまたは導入を検討中のお客様:*ビジネスリスクに関する重大な質問*。
43 | -ビジネスサポートのお客様:*ビジネスリスクに関する緊急の質問*。
44 | -ベーシックサポートおよびデベロッパーサポートのお客様:*一般的な質問*。
45 | -詳細については、[AWS サポートプランを比較] (https://aws.amazon.com/premiumsupport/plans/) をご覧ください。
46 | -質問や問題を説明してください:
47 | -発生しているセキュリティ問題、影響を受けるリソース、ビジネスへの影響について詳細に説明してください。
48 | -セキュリティイベントが最初に認識された時刻。
49 | -現時点までのイベントタイムラインの要約。
50 | -収集したアーティファクト (スクリーンショット、ログファイル)。
51 | -セキュリティ侵害の疑いがある IAM ユーザーまたはロールの ARN。
52 | -影響を受けるリソースとビジネスへの影響の説明。
53 | -組織内の関与のレベル (例:「このセキュリティイベントは CEO と取締役会が注目している」)。
54 | -オプション:ケース連絡先を追加します。
55 | -「*お問い合わせ*」を選択します。
56 | -希望する連絡言語 (空き状況により異なる場合があります)
57 | -優先連絡方法:ウェブ、電話、チャット (推奨)
58 | -オプション:その他のケース連絡先
59 | -* [送信] をクリック*
60 |
61 | -**エスカレーション**: 必要なリソースを投入し、必要に応じてエスカレーションできるように、できるだけ早く AWS アカウントチームに連絡してください。
62 |
63 | **注:** 各 AWS アカウントに「代替セキュリティ連絡先」が定義されていることを確認することは非常に重要です。 詳細については、[これ] を参照してください。
64 | 記事] (https://aws.amazon.com/blogs/security/update-the-alternate-security-contact-across-your-aws-accounts-for-timely-security-notifications/)。
--------------------------------------------------------------------------------
/docs/ja/ja.Cryptojacking.md:
--------------------------------------------------------------------------------
1 | # ビジネスの混乱と影響のプレイブック-ビットコインマイニング
2 | このドキュメントは、情報提供のみを目的として提供されています。 本書は、このドキュメントの発行日時点におけるAmazon ウェブサービス (AWS) の現在の製品提供および慣行を表しており、これらは予告なしに変更される場合があります。 お客様は、本書に記載されている情報、および AWS 製品またはサービスの使用について、独自の評価を行う責任を負うものとします。各製品またはサービスは、明示または黙示を問わず、いかなる種類の保証もなく「現状のまま」提供されます。 このドキュメントは、AWS、その関連会社、サプライヤー、またはライセンサーからの保証、表明、契約上の約束、条件、または保証を作成するものではありません。 お客様に対する AWS の責任と責任は、AWS 契約によって管理され、このドキュメントは AWS とお客様との間のいかなる契約の一部でもなく、変更もありません。
3 |
4 | © 2024 Amazon ウェブサービス, Inc. またはその関連会社。 すべての権利予約。 この作品はクリエイティブ・コモンズ表示 4.0 国際ライセンスの下に提供されています。
5 |
6 | この AWS コンテンツは、http://aws.amazon.com/agreement で提供される AWS カスタマーアグリーメントの条件、またはお客様とアマゾンウェブサービス株式会社、Amazon ウェブサービス EMEA SARL、またはその両方との間のその他の書面による契約に従って提供されます。
7 |
8 | ## プレイブックワークショップ
9 | ビットコインマイニングのワークショップと関連するプレイブックは、[AWS インシデントレスポンス Playbooks ワークショップ] (https://github.com/aws-samples/aws-incident-response-playbooks-workshop/blob/main/playbooks/crypto_mining/EC2_crypto_mining.md) からダウンロードできます。
--------------------------------------------------------------------------------
/docs/ja/ja.Playbook_Creation_Process.md:
--------------------------------------------------------------------------------
1 | # Playbook: Playbook /Runbook の作成プロセス
2 | このドキュメントは、情報提供のみを目的として提供されています。 本書は、このドキュメントの発行日時点におけるAmazon ウェブサービス (AWS) の現在の製品提供および慣行を表しており、これらは予告なしに変更される場合があります。 お客様は、本書に記載されている情報、および AWS 製品またはサービスの使用について、独自の評価を行う責任を負うものとします。各製品またはサービスは、明示または黙示を問わず、いかなる種類の保証もなく「現状のまま」提供されます。 このドキュメントは、AWS、その関連会社、サプライヤー、またはライセンサーからの保証、表明、契約上の約束、条件、または保証を作成するものではありません。 お客様に対する AWS の責任と責任は、AWS 契約によって管理され、このドキュメントは AWS とお客様との間のいかなる契約の一部でもなく、変更もありません。
3 |
4 | © 2024 Amazon ウェブサービス, Inc. またはその関連会社。 すべての権利予約。 この作品はクリエイティブ・コモンズ表示 4.0 国際ライセンスの下に提供されています。
5 |
6 | この AWS コンテンツは、http://aws.amazon.com/agreement で提供される AWS カスタマーアグリーメントの条件、またはお客様とアマゾンウェブサービス株式会社、Amazon ウェブサービス EMEA SARL、またはその両方との間のその他の書面による契約に従って提供されます。
7 |
8 | ## 連絡ポイント
9 |
10 | 著者:`著者名`\
11 | 承認者:`承認者名`\
12 | 最終承認日:2024年3月25日
13 |
14 | ## NIST 800-61r2 フェーズ
15 |
16 | 準備
17 |
18 | ## エグゼクティブ・サマリー
19 | このプレイブックでは、GitLab を使用して新しいプレイブック/ランブックを作成し、ドキュメントをドラフトから承認済みに移行するプロセス、および再検証要件の概要を説明します。
20 |
21 | より高度なプレイブックの作成については、[AWS インシデントレスポンス Playbooks ワークショップ] (https://gitlab.aws.dev/fredski/aws-incident-response-playbooks-workshop/-/blob/main/playbooks/crypto_mining/EC2_crypto_mining.md) を参照してください。
22 |
23 | ## ガイダンス
24 |
25 | > Runbooks を深く掘り下げ、結果を迅速に顧客に提供できるように維持することが重要です。 Matthew Helmke Per「Runbooksは、信頼性を構築するために設計された幅広いプラクティスの一環として私たちを助けてくれます。 Runbooks を最新の状態に保つことは、サイト信頼性エンジニアリングにおいて重要な部分です。」
26 | (< https://www.gremlin.com/blog/ensuring-runbooks-are-up-to-date/ >)
27 |
28 | 私たちのチームは Github を使ってドキュメントを管理しています。 [参考文献] (.. /Playbook_Creation_Process.md/ #references) を使用して、プロセスフローの省略された手順を参照してください。
29 |
30 | ## 新しいプレイブック/Runbook
31 |
32 | ### GUI プロシージャ
33 |
34 | * プロセストラッキング用の課題を作成する
35 | * 作業する新しいソースブランチを作成する
36 | * ブランチのルートに移動する
37 | *「Web IDE」ボタンを選択
38 | * アイテムを作成するには、左マージンのフォルダを強調表示し、オプションのドロップダウン矢印を選択します
39 | *「新規ファイル」を選択
40 | * 注:書式設定のために既存の Playbook からコンテンツをコピーすると便利な場合があります
41 | * 私たちのドキュメントは [GitHub Flavored Markdown] (https://github.github.com/gfm/)
42 |
43 | * ライブラリの標準命名規則に従っていることを確認してください
44 | * Playbooks: `# Playbook: Playbook/Runbook`
45 | * ツールガイド:`# ツーリング:ToolName`
46 | * ドキュメント内で Header 1 (H1) が使用されるのはこれだけです
47 |
48 | * 関連する課題へのリンクを作成する
49 | * 例:`課題を関連付ける:(. /issue/1) `
50 |
51 | * ドキュメントが完成したら:
52 | * 課題内のドキュメントへのリンクをコメントとして追加する
53 | * 問題に「REVIEW」というラベルを付けて
54 | *「顧客対応方法」に課題へのリンクを記載したメッセージを投稿し、レビュー/コメントをリクエストします。
55 |
56 | * Playbook を承認するには、少なくとも 2 人のチームメンバーが、関連する課題に自分の名前とコメントをレビューし、追加している必要があります
57 |
58 | * ドキュメントに対する推奨事項や修正を更新して実施する
59 |
60 | * 文書が審査され、すべての修正が行われたら、承認プロセスを確定するために文書を提出してください。
61 |
62 | * 課題に入り、担当者を承認者に変更する
63 | * 問題に入る
64 | * 承認のために提出されたラベルを課題に追加する
65 | *「担当者」の横の右余白で「編集」を選択
66 | * 担当者を`承認者` に変更する
67 | * ドキュメントが最終審査の準備ができていることを知らせるメモを「承認者」に送信する
68 | * 承認後、ドキュメント/プレイブックへのリンクを Readme に追加します
69 | * 例:`[プレイブック作成プロセス] (. /docs/Playbook_Creation_process.md) `
70 | * マージリクエストを送信する
71 |
72 | * 注:マージリクエストの前にあるすべてのステップは、作業中のブランチ内で完了する必要があります。
73 |
74 | * このタスクの SLA は、ドキュメントを送信した時点から 7 暦日です。
75 | * 承認のためにSLA期間内に返信が届かない場合は、`ユーザーA`、`ユーザーB`、`ユーザーC`にチャイムノートを送信してエスカレートしてください。
76 |
77 | ### CLI プロシージャ
78 |
79 | 未定
80 |
81 | ## Playbook/Runbook のアップデート
82 |
83 | ### 手順
84 |
85 | * プロセストラッキング用の課題を作成する
86 | * 作業する新しいソースブランチを作成する
87 | * ブランチのルートに移動する
88 | *「Web IDE」ボタンを選択
89 | * 新しい課題を開いて、変更の進捗状況を追跡する
90 | * 既存のラベルをすべて削除する
91 | * DRAFTというラベルを追加
92 | * 関連する課題へのリンクを作成する
93 | * 課題をリストに追加できます
94 | * 例:(issue1), (issue1), (issue3)
95 |
96 | * ドキュメントが完成したら:
97 | * 課題内のドキュメントへのリンクをコメントとして追加する
98 | * 問題に「REVIEW」というラベルを付けて
99 | *「顧客対応メカニズム」に課題へのリンクを記載したメッセージを投稿し、レビュー/コメントをリクエストする。
100 |
101 | * Playbook を承認するには、少なくとも 2 人のチームメンバーが、関連する課題に自分の名前とコメントをレビューし、追加している必要があります
102 |
103 | * ドキュメントに対する推奨事項や修正を更新して実施する
104 |
105 | * 文書が審査され、すべての修正が行われたら、承認プロセスを確定するために文書を提出してください。
106 |
107 | * 課題に入り、担当者を承認者に変更する
108 | * 問題に入る
109 | * 承認のために提出されたラベルを課題に追加する
110 | *「担当者」の横の右余白で「編集」を選択
111 | * 担当者を`承認者` に変更する
112 | * Chime で「承認者」にメモを送って、ドキュメントが最終審査の準備ができていることを知らせる
113 | * 承認後、ドキュメント/プレイブックへのリンクを Readme に追加します
114 | * 例:`[プレイブック作成プロセス] (. /docs/Playbook_Creation_process.md) `
115 | * マージリクエストを送信する
116 |
117 | * 注:マージリクエストの前にあるすべてのステップは、作業中のブランチ内で完了する必要があります。
118 |
119 | * このタスクの SLA は、ドキュメントを送信した時点から 7 暦日です。
120 | * 承認のためにSLA期間内に返信が届かない場合は、`ユーザーA`、`ユーザーB`、`ユーザーC`にメモを送信してエスカレートしてください
121 |
122 | ### CLI プロシージャ
123 |
124 | 未定
125 |
126 | ## 承認プロセス
127 |
128 | ### タスクオーナー:
129 |
130 | チームオーナー
131 |
132 | ### サービスレベルアグリーメント
133 |
134 | -著者提出から7暦日
135 |
136 | ### 手順
137 |
138 | * GitHub でドキュメントと関連する問題をレビューする
139 |
140 | * ドキュメントのタイトルから REVIEW を削除
141 |
142 | * ドキュメントから「THIS A A DRAFT PLAYBOOK」という文を削除してください
143 |
144 | * 連絡先の下に
145 | -承認者に名前を追加/更新する
146 | -ドキュメントの承認時に「最終承認日」をYYYYY/MM/DDとして追加/更新する
147 |
148 | * 課題をリクエスタに再割り当てする
149 | * プレイブックが承認されたというコメントを課題に追加し、マージリクエストを続行する
150 |
151 | ## 参考文献
152 |
153 | ### GitHub を使う:課題を作成する
154 |
155 | 課題を使用して、進行中および完了した作業を追跡します。 さらに、これにより、チームのレビューと承認プロセスを通じて移行できます。 これにより、レビュアーからのコメントは、ドキュメントバーレイザープロセスの一環として、リポジトリオブジェクト内のあらゆるものに対処できます。
156 |
157 | * グラフィカルユーザーインターフェイス:GUI を使用すると、ウェブブラウザから GitHub と対話して、このリポジトリと対話できます。
158 | 1. お気に入りのウェブブラウザを使用して GitHub リポジトリに移動する
159 | 1. トップメニューから [課題] を選択して、課題を開きます。
160 | 1. 「新しい問題」を選択します。
161 | 1. 作業中の内容のタイトルと説明を追加する
162 | 1. 自分に割り当てる (これにより、後の手順で追跡できるようになります)
163 | 1. マイルストーンについては、「お客様のマイルストーン」を選択します。
164 | 1. [ラベル] で、課題に適したものを選択します。
165 | * 新しいドキュメントの場合は、[ドラフト] を選択してください
166 | 1. 「課題を送信」を選択します。
167 | 1. 新しい課題ページの右マージンで、課題のロック > 編集 > ロック
168 |
169 | * コマンドラインインターフェイス:CLI を使用すると、コマンドラインから GitHub と対話できます
170 |
171 | ### GitHub を使う:ブランチを作成して作業する
172 |
173 | 私たちは個々のブランチで働いているので、進行中の作業は、他の人がリアルタイムで行っている可能性を妨げることはありません。
174 |
175 | * グラフィカルユーザーインターフェイス:GUI を使用すると、[WebブラウザからGitHub を使ってこのリポジトリと対話できる] (https://docs.github.com/en/github/collaborating-with-pull-requests/proposing-changes-to-your-work-with-pull-requests/creating-and-deleting-branches-within-your-repository)
176 |
177 | * コマンドラインインターフェイス:CLI を使用すると、コマンドラインから GitHub と対話できます
178 |
179 | ### GitHub を使う:マージリクエストを作成する
180 |
181 | マージリクエストでは、親リポジトリとマージする前に、セカンダリバーレイザーのレビューを許可します。
182 |
183 | * [グラフィカルユーザーインターフェイス] (https://docs.github.com/en/github/collaborating-with-pull-requests/incorporating-changes-from-a-pull-request/about-pull-request-merges)
184 |
185 | * コマンドラインインターフェイス:CLI を使用すると、コマンドラインから GitHub と対話できます
186 |
187 | ## バックログアイテム
--------------------------------------------------------------------------------
/docs/ja/ja.Playbook_Development_Guide.md:
--------------------------------------------------------------------------------
1 | # プレイブック開発ガイド
2 | このドキュメントは、情報提供のみを目的として提供されています。 本書は、このドキュメントの発行日時点におけるAmazon ウェブサービス (AWS) の現在の製品提供および慣行を表しており、これらは予告なしに変更される場合があります。 お客様は、本書に記載されている情報、および AWS 製品またはサービスの使用について独自に評価する責任を負うものとします。各製品またはサービスは、明示または黙示を問わず、いかなる種類の保証もなく「現状のまま」提供されます。 このドキュメントは、AWS、その関連会社、サプライヤー、またはライセンサーからの保証、表明、契約上の約束、条件、または保証を作成するものではありません。 お客様に対する AWS の責任と責任は、AWS 契約によって管理され、このドキュメントは AWS とお客様との間のいかなる契約の一部でもなく、変更もありません。
3 |
4 | © 2024 Amazon ウェブサービス, Inc. またはその関連会社。 すべての権利予約。 この作品はクリエイティブ・コモンズ表示 4.0 国際ライセンスの下に提供されています。
5 |
6 | この AWS コンテンツは、http://aws.amazon.com/agreement で提供される AWS カスタマーアグリーメントの条件、またはお客様とアマゾンウェブサービス株式会社、Amazon ウェブサービス EMEA SARL、またはその両方との間のその他の書面による契約に従って提供されます。
7 |
8 | ## コードとしてのプレイブック:
9 |
10 | * プレイブックは、git リポジトリにマークダウン形式で保存する必要があります。
11 | * git リポジトリにアクセスできないプレイブックと共有するために、各 Playbook の印刷フレンドリーな自己完結型バージョンを作成します。
12 | * インシデント対応チームのメンバーは、git プロジェクトをブランチし、PC、VDI、ラップトップなどのローカル環境にクローンすることを許可することをお勧めします。
13 | * ブランチに改善が加えられたら、それらをレビューし、承認し、マスターにマージして提出してください。
14 | * git プロジェクトはドキュメントとコードをホストします。
15 | * プレイブックのガバナンスと展開を促進するために CD/CI パイプラインの使用を検討する。
16 |
17 | ## プレイブックの構造:
18 |
19 | 1. **Threat**: プレイブックによって対処された脅威を記述します
20 | 2. **Endgame**: _ [*AWS クラウド導入フレームワーク (CAF) *] (https://docs.aws.amazon.com/whitepapers/latest/aws-caf-security-perspective/aws-caf-security-perspective.html)_ および業界で受け入れられているセキュリティパターン (脆弱性評価や影響分析など) のセキュリティの観点に基づいて、プレイブックの望ましい結果について説明します。
21 | 3. **応答手順**: * [_NIST 800-61r2-コンピュータセキュリティインシデント対応ガイド_] (https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf) * に基づいて、イベントに応答するための手順を時系列順に説明します。 図 A を参照してください。
22 | 4. **シミュレーション** [**コード**]: レスポンスを開始するアラートをトリガーするのに必要なインジケーターを生成するステップバイステップの手順を提供します。
23 | 5. **インシデントの分類、処理、および検出**: [*_MITRE ATT&CK_* エンタープライズタクティクス] (https://attack.mitre.org/tactics/enterprise/) ごとにプレイブックを分類し、プレイブックの実行に必要なツールを列挙し、アラートを生成する検出に使用されるインジケータ(別名:所見)を列挙し、ログを生成します。指標を生成し、分析を容易にするために必要な情報源、および関係するチーム。
24 | 6. **インシデント処理プロセス**: 対応の各分野について従うべき規範的ガイダンス。 これらは実行時順ではなく、**3を通りながら参考用です。 レスポンスステップ**。 応答プロセス全体を通して、実行されたすべてのアクションを文書化し、収集されたすべての証拠を既知のリポジトリにまとめ、インシデント対応チーム RACI に基づく適切な資格を持つことが重要です。 また、インシデント対応チームのメンバーが専門分野内のタスクに集中できるように、集中的なオーケストレーション機能を使用して、応答中に適切なコミュニケーションチャネルを用意することも不可欠です。 一元化されたオーケストレーション機能により、適切なコミュニケーションの流れを維持し、必要なすべてのアクティビティがビジネス知識と承認を得て実行されるようにします。
25 | 1. **分析-アラートの検証**: アラートの通知の内容は、ソース生成インジケータ (つまり「グラウンドトゥルス」) に対して直接検証する必要があります。 これは、少なくとも 2 つの理由で必要です。 まず、一般的に、重要なインシデントデータの意図しない変更を引き起こす可能性のあるインシデント対応チームに到達するまで、元の指標がさまざまなシステムを通過するにつれて変換されます。 次に、マシンまたはヒューマン構成エラーが原因で通知が生成された可能性があります。
26 | 2. **Analysis-アラートのトリアージ**: アラートによって示されたインジケータに基づいて、解析を容易にするために、ビルドコンテキストの生成に使用されたログを検索します。
27 | 3. **Analysis-scope**: 使用可能なアラート関連のログソースでエビデンスを検索して、アクターがイベントのライフサイクルを通じて実行したアクティビティを特定します。
28 | 4. **分析-影響**: アクターのアクティビティとその範囲によって影響を受けるワークロードとコンポーネントを特定します。 ビジネスへの影響を判断し、次のステップに優先順位を付けるために、より大きなインシデント対応チームと話し合う仮説を策定する。
29 | 5. **封じ込め:** 分析フェーズの進行中または終了時に、インシデントの封じ込め戦略を決定します。 適切な戦略は、範囲と影響に依存し、ワークロードの所有者によって承認されます。 封じ込めアクティビティは、インシデント対応中の影響を受けるワークロードの脅威モデリングおよび実際のコンテキストに合わせる必要があります。 封じ込めアクションの結果として、ダウンタイムやデータ破壊などの潜在的な担保効果を最小限に抑えるために、いくつかの異なる封じ込めオプションまたは補完的な封じ込めオプションを用意する必要があります。 このフェーズでは、証拠収集時の注意が守られなければなりません。 CloudTrail ログ、VPC フローログ、GuardDuty ログなど、分析中にフォレンジックスデータの集約が開始されますが、EC2 インスタンスのスナップショット、RDS データベースのバックアップ、Lambda トリガーなどのその他のアクティビティを防ぐためにサービスが再構成されるため、スナップショットとバックアップに最適な時間です。除去。
30 | 6. **撲滅と回復**: 敵によってプロビジョニングされたリソースは無効化されるか、完全に削除され、影響を受けるすべてのリソースの脆弱性と構成の問題が特定されます。 ワークロード所有者の承認後、すべてのリソースが適切に再構成され、セキュリティ更新が適用され、同一または類似のエクスプロイトによる成功の可能性が低減されます。 ワークロードのセキュリティポスチャの再評価が完了しました。 構成の変更とセキュリティ更新が適用された後、ワークロードのセキュリティ体制がビジネスに許容できないレベルのリスクをもたらす場合は、中長期的なアーキテクチャ変更に関する推奨事項を作成し、責任チームおよび責任チームによる評価のために提出する必要があります。
31 | 7. **インシデント後のアクティビティ**: 以前のすべてのフェーズが完了した後、インシデントの詳細な分析が「学んだ教訓」セッションの形で実行されます。 インシデント対応タイムラインは、次のセキュリティインシデントの準備を強化するために必要な変更に焦点を当てて公開され、議論されます。 このフェーズでは、インシデント対応チームは、影響を受けるワークロードだけでなく、企業が所有するすべてのワークロードについて、ディレクティブ、予防、検出、および応答の制御(図 B を参照)を強化することに重点を置いています。
32 |
33 | ! [画像] (/images/nist_life_cycle.png)
34 |
35 | **図 A-インシデント対応ライフサイクル**
36 |
37 |
38 | ! [画像] (/images/image-caf-sec.png)
39 |
40 | **図 B-AWS クラウド導入フレームワークのセキュリティ観点**
41 |
42 | ## 開発プロセス:
43 |
44 | 1. プレイブックが対処する脅威を選択し、```1 で説明してください。 脅威セクション```。 Playbook 読者がそれを理解するのに役立つ参考文献を必要なだけ多く提供してください。
45 | 2. Playbook テンプレートのセクション ```2 を確認します。 エンドゲームのセクション``` と変更を加えるか、そのまま維持する。 これらは、[CAF のセキュリティ観点] (https://docs.aws.amazon.com/whitepapers/latest/aws-caf-security-perspective/aws-caf-security-perspective.html)、[AWS Well-Architected Framework のセキュリティ柱] (https://d1.awsstatic.com/whitepapers/architecture/AWS-Security-Pillar.pdf)、[Amazon] など、AWS のセキュリティと業界パターンに基づいています。ウェブサービス:セキュリティプロセスの概要] (https://d0.awsstatic.com/whitepapers/aws-security-whitepaper.pdf)、[AWS セキュリティインシデント対応ガイド] (https://d1.awsstatic.com/whitepapers/aws_security_incident_response.pdf)、[NIST Special Publication 800-61r2 Computer Security Incident Handling Guide] (https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)。
46 | 3. セクション ```5 に記入してください。 インシデントの分類、処理、および検出を適切な情報で指定します。 後でこのセクションに戻ることができます。プレイブックの他のセクションを作成する過程で、新しいインジケータ、使用したいかもしれない他のツールなどを発見してしまった場合。
47 | 4. 脅威の指標をトリガーする手順を定義します。 プロセス、AWS リソース、IAM プリンシパル、必要なポリシー、AWS CLI コマンド、AWS SDK ベースのコードなど、必要なコードを文書化します。できれば、シェルスクリプトまたはサポートされている言語コードプログラムにラップしてください。 CloudWatch Insights や Athena などの分析ツールを使用して、シミュレーションアクティビティによって生成されるさまざまなログを示すスクリーンショットを追加します。
48 | 5. セクション ```3 の下で応答ステップを開発する。 応答ステップ ```セクションでは、各ステップが属する NIST IR ライフサイクルフェーズを強調しています。 ステップは、影響を受けるワークロードの脅威モデルに合わせて時系列順に列挙する必要があります。 プレイブックの中で、時系列順は不変ではなく、イベントのコンテキストに応じて変更できることを明確にしてください。 影響を受けるワークロードをさらに損傷する可能性のあるアクションのリスクを最小限に抑えるために、確立された実行順序からの逸脱は、以前に承認された審査プロセスを経る必要があります。
49 | 6. セクション ```6 の NIST IR ライフサイクルの各フェーズをサポートする AWS CLI コマンドと Athena クエリを作成します。 インシデント処理プロセス```。 一連のクエリとコマンドは、一般的な観点と、スクリーンショットの形式で文書化された出力から、各フェーズの要件を満たす必要があります。 コマンドは、インシデントレスポンダーのエンタイトルメントと同等または同等のロールを使用して、影響を受けるアカウントに対して実行されます。 クエリは、Athena の関連するログリポジトリに対して、少なくとも CloudTrail および VPC フローログで実行されます。 分析に必要なログが Athena を通じて利用できない場合は、SIEM やビッグデータソリューションなどの利用可能な分析ツールを使用してください。
--------------------------------------------------------------------------------
/docs/ja/ja.RDS_Public_Access.md:
--------------------------------------------------------------------------------
1 | # インシデントレスポンス Playbook: パブリックリソースエクスポージャー-RDS
2 | このドキュメントは、情報提供のみを目的として提供されています。 本書は、このドキュメントの発行日時点におけるAmazon ウェブサービス (AWS) の現在の製品提供および慣行を表しており、これらは予告なしに変更される場合があります。 お客様は、本書に記載されている情報、および AWS 製品またはサービスの使用について、独自の評価を行う責任を負うものとします。各製品またはサービスは、明示または黙示を問わず、いかなる種類の保証もなく「現状のまま」提供されます。 このドキュメントは、AWS、その関連会社、サプライヤー、またはライセンサーからの保証、表明、契約上の約束、条件、または保証を作成するものではありません。 お客様に対する AWS の責任と責任は、AWS 契約によって管理され、このドキュメントは AWS とお客様との間のいかなる契約の一部でもなく、変更もありません。
3 |
4 | © 2024 Amazon ウェブサービス, Inc. またはその関連会社。 すべての権利予約。 この作品はクリエイティブ・コモンズ表示 4.0 国際ライセンスの下に提供されています。
5 |
6 | この AWS コンテンツは、http://aws.amazon.com/agreement で提供される AWS カスタマーアグリーメントの条件、またはお客様とアマゾンウェブサービス株式会社、Amazon ウェブサービス EMEA SARL、またはその両方との間のその他の書面による契約に従って提供されます。
7 |
8 | ## 連絡ポイント
9 |
10 | 著者:`著者名`\
11 | 承認者:`承認者名`\
12 | 最終承認日:
13 |
14 | ## エグゼクティブサマリー
15 | この Playbook では、パブリックリソースの所有者を特定し、公開中にそれらのリソースにアクセスした可能性のあるユーザーの特定、リソースへのアクセスの取り消しの影響の判定、およびパブリックアクセシビリティの根本原因を特定するプロセスの概要を説明します。
16 |
17 | ## 妥協の潜在的な指標
18 | -AWS サービスダッシュボードからのパブリックアクセスの警告
19 | -CloudTrail イベント名「パブリックアクセス可能」
20 | -リソースへのパブリックアクセスに関するセキュリティ研究者からの通知
21 | -パブリックインターネットプロトコル (IP) アドレスからのリソースの削除
22 |
23 | ### 目標
24 | Playbook の実行全体を通して、インシデント対応機能の強化についてメモを取って、_***望ましい結果***_ に焦点を当てます。
25 |
26 | #### 決定:
27 | * **脆弱性が悪用された**
28 | * **エクスプロイトとツールが観察された**
29 | * **俳優の意図**
30 | * **俳優の帰属**
31 | * **環境とビジネスに与えたダメージ**
32 |
33 | #### 回復:
34 | * **オリジナルで強化した構成に戻す**
35 |
36 | #### CAF セキュリティパースペクティブの強化コンポーネント:
37 | [AWS Cloud Adoption Framework セキュリティの視点] (https://docs.aws.amazon.com/whitepapers/latest/aws-caf-security-perspective/aws-caf-security-perspective.html)
38 | * **指令**
39 | * **探偵**
40 | * **レスポンシブ**
41 | * **予防**
42 |
43 | ! [画像] (/images/aws_caf.png)
44 | * * *
45 |
46 | ### レスポンスステップ
47 | 1. [**準備**] 資産インベントリを作成する
48 | 2. [**準備**] RDS インスタンスインベントリを作成する
49 | 3. [**準備**] RDS セキュリティおよびロギングチェックの確立
50 | 4. [**準備**] RDS のアクセスとログ分析を特定して評価するためのトレーニングプログラムを実装する
51 | 5. [**準備**] エスカレーション手順の特定、文書化、およびテストのエスカレーション手順 [**検出と分析**]
52 | 6. [**検出と分析**] インスタンスチェックの実行
53 | 7. [**検出と分析**] RDS パブリックリソースの CloudTrail を確認する
54 | 8. [**検出と分析**] VPC Flow Logs の確認
55 | 9。 [**検出と分析**] RDS エンドポイント/ホストベースのログを確認する
56 | 10. [**封じ込め**] RDS パブリックエクスポージャーを含める
57 | 11. [**ERADICATION**] 認識されていない、または許可されていないパブリックスナップショットまたはデータベースをすべて削除する
58 | 12. [**準備**] 追加の予防措置:RDS セキュリティチェック
59 | 13. [**準備**] 追加の予防措置:セキュリティコントロールポリシー-RDS 暗号化
60 | 14. [**準備**] 追加の予防措置:AWS Config
61 | 15. [**準備**] 追加の予防措置:全体的なセキュリティ姿勢
62 |
63 | ***対応手順は、[NIST Special Publication 800-61r2 コンピュータセキュリティインシデント処理ガイド] (https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf) のインシデント対応ライフサイクルに従います。
64 |
65 | ! [画像] (/images/nist_life_cycle.png) ***
66 |
67 | ### インシデントの分類と処理
68 | * **戦術、テクニック、手順**: AWS サービスパブリックアクセス
69 | * **カテゴリ**: パブリックアクセス
70 | * **リソース**: RDS
71 | * **指標**: サイバー脅威インテリジェンス、サードパーティ通知、Cloudwatch メトリクス
72 | * **ログソース**: RDS Database Log Files, CloudTrail, CloudWatch
73 | * **チーム**: セキュリティオペレーションセンター (SOC)、フォレンジック調査官、クラウドエンジニアリング
74 |
75 | ## インシデント処理プロセス
76 | ### インシデント対応プロセスには、次の段階があります。
77 | * 準備
78 | * 検出と分析
79 | * 封じ込めと根絶
80 | * 回復
81 | * インシデント後の活動
82 |
83 | ## 準備
84 | この Playbook では、可能な場合は、AWS のセキュリティ評価、監査、強化、インシデント対応に役立つコマンドラインツールである [Prowler] (https://github.com/toniblyx/prowler) を参照し、統合します。
85 |
86 | CIS Amazon Web Services Foundations Benchmark(49チェック)のガイドラインに従い、GDPR、HIPAA、PCI-DSS、ISO-27001、FFIEC、SOC2などに関連する100以上の追加のチェックがあります。
87 |
88 | このツールは、お客様の環境内の現在のセキュリティ状態のスナップショットを迅速に提供します。 代わりに、[AWS Security Hub] (https://aws.amazon.com/security-hub/?aws-security-hub-blogs.sort-by=item.additionalFields.createdDate&aws-security-hub-blogs.sort-order=desc) はコンプライアンススキャンを自動化し、[Prowler と統合] (https://github.com/toniblyx/prowler/blob/b0fd6ce60f815d99bb8461bb67c6d91b6607ae63/README.md#security-hub-integration)
89 |
90 | ### アセットインベントリ
91 | 既存のリソースをすべて特定し、資産インベントリリストとそれぞれの所有者を組み合わせて更新する
92 |
93 | #### RDS インスタンスインベントリ
94 | -RDS インスタンスをインベントリするには、AWS API [describe-db-instances] (https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-instances.html) を使用して、特定のリージョン内のすべてのインスタンスの名前を一覧表示します。`aws rds describe-db-instances —リージョン us-east-1 —query 'dbInstances [*]。 [dbInstance識別子、ReadReplicadbInstanceIdentifiers] '`
95 |
96 | #### RDS のセキュリティとログのチェック
97 | -RDS インスタンスのストレージが暗号化されているかどうかを確認します:`. /prowler-c extra735`
98 | -RDS インスタンスでバックアップが有効になっているかどうかを確認します:`. /prowler-c extra739`
99 | -RDS インスタンスが CloudWatch ログと統合されているかどうかを確認する:`。 /prowler-c extra747`
100 | -RDS インスタンスでマイナーバージョンのアップグレードが有効になっていることを確認します:`。 /prowler-c extra7131`
101 | -RDS インスタンスで [拡張モニタリング] (https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) が有効になっているかどうかを確認します:`。 /prowler-c extra7132`
102 | -RDS セキュリティチェック:`. /prowler-g group13`
103 |
104 | ### トレーニング
105 | -「社内のアナリストが AWS API(コマンドライン環境)、S3、RDS、その他の AWS サービスに慣れるためのトレーニングはどのようなものですか? `
106 | >>>
107 | 脅威検出とインシデント対応の機会には、次のものがあります。\
108 | [AWS RE: INFORCE] (https://reinforce.awsevents.com/faq/)\
109 | [Self-Service Security Assessment] (https://aws.amazon.com/blogs/publicsector/assess-your-security-posture-identify-remediate-security-gaps-ransomware/)
110 | >>>
111 |
112 | -「アカウント内のサービスを変更できるロールはどれですか? `
113 | -`それらのロールが割り当てられているのはどのユーザーですか? 最小特権は守られていますか、それともスーパー管理者ユーザーが存在しますか? `
114 | -「セキュリティアセスメントが環境に対して実行されていますか。「新しい」または「疑わしい」ものを検出するための既知のベースラインはありますか? `
115 |
116 | ### 通信技術
117 | -「チーム/会社内で問題を伝えるためにどのような技術が使われていますか? 自動化されたものはありますか? `
118 | >>>
119 | 電話\
120 | 電子メール\
121 | AWS SES\
122 | AWS SNS\
123 | スラック\
124 | チャイム\
125 | その他?
126 | >>>
127 |
128 | ## 検出
129 |
130 | ### RDS インスタンスチェック
131 |
132 | #### AWS Config
133 | AWS Config には、いくつかの [RDS インスタンスを評価するためのマネージドルール] (https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
134 | * rds-automatic-minor-version-upgrade-enabled
135 | * rds-cluster-deletion-protection-enabled
136 | * rds-cluster-iam-authentication-enabled
137 | * rds-cluster-multi-az-enabled
138 | * rds-enhanced-monitoring-enabled
139 | * rds-instance-deletion-protection-enabled
140 | * rds-instance-iam-authentication-enabled
141 | * rds-instance-public-access-check
142 | * rds-in-backup-Plan
143 | * rds-logging-enabled
144 | * rds-multi-az-support
145 | * rds-resources-protected-by-backup-plan
146 | * rds-snapshots-public-prohibited
147 | * rds-snapshot-encrypted
148 | * rds-storage-encrypted
149 | #### Prowler
150 | -パブリックアクセス可能な RDS インスタンスがないことを確認します:`. /prowler-c extra78`
151 | -RDS スナップショットとクラスタースナップショットがパブリックであるかどうかを確認する:`. /prowler-c extra723`
152 | -外部エンティティと共有されている Amazon S3 バケットや IAM ロールなど、組織内のリソースとアカウントを特定します:`。 /prowler-c extra769`
153 | -インターネットに公開されているリソースを見つける:`. /prowler-g group17`
154 |
155 | ## エスカレーション手順
156 | -「ログ/アラートを監視し、それらを受け取り、それぞれに対して行動しているのは誰ですか? `
157 | -「アラートが検出されたときに通知されるのは誰ですか? `
158 | -「広報と法律がプロセスに関与するのはいつですか? `
159 | -「AWS サポートにヘルプを依頼するのはいつですか? `
160 |
161 | ## 分析
162 | セキュリティインシデントイベント管理(SIEM)ソリューション(Splunk、ELK stack など)にログをエクスポートして、より完全な攻撃タイムライン分析のためにさまざまなログを表示および分析することを強く推奨します。
163 |
164 | ### CloudTrail: RDS Public
165 | 1. [CloudTrail ダッシュボード] (https://console.aws.amazon.com/cloudtrail) に移動します
166 | 1. 左側の余白で [イベント履歴] を選択します。
167 | 1. ドロップダウンで「読み取り専用」から「イベント名」に変更します。
168 | 1. CloudTrail ログで「ModifyDBInstance」、「ModifyDbSnapshotAttribute」、または「ModifyDBClusterSnapshotAttribute」のイベント名を確認し、パブリック IP アドレスから `publilyAccessible` イベントの値を探してください
169 |
170 | ### VPC Flow Logs
171 | VPC Flow Logs は、VPC 内のネットワークインターフェイスとの間で送受信される IP トラフィックに関する情報をキャプチャできる機能です。 これは、CloudTrail 内で検出された IP アドレスがパブリックリソースへの外部接続のタイプを判断する場合に便利です。
172 |
173 | Athena でのクエリを含む詳細な情報と手順については、[VPC Flow Logs 用の AWS ドキュメント] (https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-athena.html) を参照してください。 Athena 分析は別のプレイブックに含まれ、他の関連項目にリンクすることをお勧めします。
174 |
175 | ### エンドポイント/ホストベース
176 | -EC2 オペレーティングシステムとアプリケーションログで、不適切なログイン、不明なソフトウェアのインストール、または認識されないファイルの存在を確認します。
177 |
178 | -サードパーティのホストベースの侵入検知システム(HIDS)ソリューション(OSSEC、Tripwire、Wazuh、[Amazon Inspector] (https://aws.amazon.com/inspector/)、その他) を使用することを強く推奨します。
179 |
180 | ## 封じ込め
181 |
182 | ### RDS パブリックエクスポージャー
183 | VPC 内で DB インスタンスを起動すると、DB インスタンスには VPC 内のトラフィック用のプライベート IP アドレスが割り当てられます。 このプライベート IP アドレスはパブリックにアクセスできません。 パブリックアクセスオプションを使用して、DB インスタンスにプライベート IP アドレスに加えてパブリック IP アドレスがあるかどうかを指定できます。
184 |
185 | 次の図は、[追加の接続設定] セクションの [パブリックアクセス] オプションを示しています。 オプションを設定するには、[接続] セクションの [追加の接続設定] セクションを開きます。
186 |
187 | ! [画像] (/images/VPC-example.png)
188 |
189 | ## 撲滅
190 |
191 | ### RDS 未承認/認識されないリソース
192 | 認識されていない、または許可されていないパブリックスナップショットまたはデータベースを削除する
193 |
194 | 1. AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/rds/ で Amazon RDS コンソールを開きます。
195 | 1. ナビゲーションペインで、[スナップショット] を選択します。
196 | 1. [手動スナップショット] リストが表示されます。
197 | 1. 削除する DB スナップショットを選択します。
198 | 1. [アクション] で、[スナップショットの削除] を選択します。
199 | 1. 確認ページで [Delete] を選択します。
200 |
201 | ## リカバリ
202 | 撲滅のために記載されている手順と同じ手順
203 |
204 | ## 予防措置
205 |
206 | ### RDS セキュリティチェック
207 | -RDS セキュリティチェック:`. /prowler-g group13`
208 |
209 | ### セキュリティコントロールポリシー:RDS 暗号化
210 | [必須の RDS 暗号化を強制する] (https://medium.com/@cbchhaya/aws-scp-to-mandate-rds-encryption-6b4dc8b036a)
211 |
212 | ### AWS Config
213 | [AWS Config] (https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) には、[rds-snapshots-パブリック禁止] (https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html) を含むパブリックアクセスから保護するための複数の自動化されたルールがあります
214 |
215 | ### 全体的なセキュリティポスチャ
216 | 環境に対して [Self-Service Security Assessment] (https://aws.amazon.com/blogs/publicsector/assess-your-security-posture-identify-remediate-security-gaps-ransomware/) を実行して、この Playbook では特定されない他のリスクおよび潜在的に他のパブリックエクスポージャーをさらに特定します。
217 |
218 | ## 学んだ教訓
219 | 「これは、必ず「修正」を必要としないが、運用上およびビジネス上の要件と並行してこのプレイブックを実行する際に知っておくべき重要な、貴社固有のアイテムを追加する場所です。 `
220 |
221 | ## アドレス指定バックログ項目
222 | -インシデントレスポンダーとして、誤って公開されたリソースを緩和する方法に関するRunbookが必要です
223 | -インシデントレスポンダーとして、パブリックリソース(AMI、EBS ボリューム、ECR リポジトリなど)を検出できる必要があります
224 | -インシデントレスポンダーとして、AWS 内で重要な変更を加えることができるロールを知る必要があります
225 | -インシデントレスポンダーとして、すべてのスナップショット(RDS、EBS、ECR)に暗号化が必要であることを確認する必要があります
226 |
227 | ## 現在のバックログアイテム
--------------------------------------------------------------------------------
/docs/ja/ja.Ransom_Response_RDS.md:
--------------------------------------------------------------------------------
1 | # インシデントレスポンス Playbook: RDS の身代金応答
2 | このドキュメントは、情報提供のみを目的として提供されています。 本書は、このドキュメントの発行日時点におけるAmazon ウェブサービス (AWS) の現在の製品提供および慣行を表しており、これらは予告なしに変更される場合があります。 お客様は、本書に記載されている情報、および AWS 製品またはサービスの使用について独自に評価する責任を負うものとします。各製品またはサービスは、明示または黙示を問わず、いかなる種類の保証もなく「現状のまま」提供されます。 このドキュメントは、AWS、その関連会社、サプライヤー、またはライセンサーからの保証、表明、契約上の約束、条件、または保証を作成するものではありません。 お客様に対する AWS の責任と責任は、AWS 契約によって管理され、このドキュメントは AWS とお客様との間のいかなる契約の一部でもなく、変更もありません。
3 |
4 | © 2024 Amazon ウェブサービス, Inc. またはその関連会社。 すべての権利予約。 この作品はクリエイティブ・コモンズ表示 4.0 国際ライセンスの下に提供されています。
5 |
6 | この AWS コンテンツは、http://aws.amazon.com/agreement で提供される AWS カスタマーアグリーメントの条件、またはお客様とアマゾンウェブサービス株式会社、Amazon ウェブサービス EMEA SARL、またはその両方との間のその他の書面による契約に従って提供されます。
7 |
8 | ## 連絡ポイント
9 |
10 | 著者:`著者名`
11 | 承認者:`承認者名`
12 | 最終承認日:
13 |
14 | ## エグゼクティブ・サマリー
15 | このプレイブックでは、Amazon リレーショナルデータベースサービス (RDS) に対する身代金攻撃に対する応答のプロセスの概要を説明します。
16 |
17 | 詳細については、[AWS セキュリティインシデント対応ガイド] (https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) を参照してください。
18 |
19 | ### 目標
20 | Playbook の実行全体を通して、インシデント対応機能の強化についてメモを取って、_***望ましい結果***_ に焦点を当てます。
21 |
22 | #### 決定する:
23 | * **脆弱性が悪用された**
24 | * **エクスプロイトとツールが観察された**
25 | * **俳優の意図**
26 | * **俳優の帰属**
27 | * **環境とビジネスに与えたダメージ**
28 |
29 | #### リカバリ:
30 | * **オリジナルで強化した構成に戻す**
31 |
32 | #### CAF セキュリティパースペクティブの強化コンポーネント:
33 | [AWS Cloud Adoption Framework セキュリティの視点] (https://docs.aws.amazon.com/whitepapers/latest/aws-caf-security-perspective/aws-caf-security-perspective.html)
34 | * **指令**
35 | * **探偵**
36 | * **レスポンシブ**
37 | * **予防**
38 |
39 | ! [画像] (/images/aws_caf.png)
40 | * * *
41 |
42 | ### レスポンスステップ
43 | 1. [**準備**] AWS Config を使用して設定のコンプライアンスを表示する
44 | 2. [**準備**] エスカレーション手順の特定、文書化、およびテストを行う
45 | 3. [**封じ込め**] 影響を受けるリソースをすぐに隔離する
46 | 5. [**検出と分析**] CloudWatch メトリクスを使用して、データが漏洩した可能性があるかどうかを判断する
47 | 6. [**検出と分析**] vpcFlowLogs を使用して外部 IP アドレスからの不適切なデータベースアクセスを特定する
48 | 7. [**リカバリ**] 必要に応じてリカバリ手順を実行する
49 |
50 | ***対応手順は、[NIST Special Publication 800-61r2 コンピュータセキュリティインシデント処理ガイド] (https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf) のインシデント対応ライフサイクルに従います。
51 |
52 | ! [画像] (/images/nist_life_cycle.png) ***
53 |
54 | ### インシデントの分類と処理
55 | * **戦術、テクニック、手順**: 身代金とデータ破壊
56 | * **カテゴリー**: 身代金攻撃
57 | * **リソース**: RDS
58 | * **指標**: サイバー脅威インテリジェンス、サードパーティ通知、Cloudwatch メトリクス
59 | * **ログソース**: RDS Database Log Files、S3 Access Logs、CloudTrail、CloudWatch、AWS Config
60 | * **チーム**: セキュリティオペレーションセンター (SOC)、フォレンジック調査官、クラウドエンジニアリング
61 |
62 | ## インシデント処理プロセス
63 | ### インシデント対応プロセスには、次の段階があります。
64 | * 準備
65 | * 検出と分析
66 | * 封じ込めと根絶
67 | * 回復
68 | * インシデント後の活動
69 |
70 | ## 準備
71 | * セキュリティ体制を評価して、セキュリティギャップを特定して修正する
72 | * AWS はオープンソースのSelf-Service Security Assessment(https://aws.amazon.com/blogs/publicsector/assess-your-security-posture-identify-remediate-security-gaps-ransomware/)ツールを開発しました。このツールは、お客様の AWS のセキュリティ状況に関する貴重な洞察を得るためのポイントインタイム評価を提供します。アカウント。
73 | * サーバー、ネットワークデバイス、ネットワーク/ファイル共有、開発者マシンなど、すべてのリソースの完全な資産インベントリを維持する
74 | * AWS リソースの設定を評価、監査、評価できるサービスである [AWS Config] (https://aws.amazon.com/config/) の使用を検討してください。
75 | * Amazon RDS に保存されている AWS アカウント、ワークロード、データを保護するために [AWS GuardDuty] (https://aws.amazon.com/guardduty/) を実装して、悪意のあるアクティビティや不正な動作を継続的に監視することを検討する
76 | * [DB インスタンスを仮想プライベートクラウド (VPC) で実行する] (https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.html) Amazon VPC サービスに基づいて、ネットワークアクセスコントロールを最大限に高める
77 | * AWS ID およびアクセス管理 (IAM) ポリシーを使用して、Amazon RDS リソースの管理を許可されるユーザーを決定するアクセス権限を割り当てます。 たとえば、IAM を使用して、DB インスタンスの作成、説明、変更、削除、リソースのタグ付け、またはセキュリティグループの変更を許可するユーザーを特定できます。
78 | * セキュリティグループを使用して、DB インスタンス上のデータベースに接続できる IP アドレスまたは Amazon EC2 インスタンスを制御します。 DB インスタンスを最初に作成すると、そのファイアウォールは、関連付けられたセキュリティグループによって指定されたルール以外のデータベースアクセスを禁止します。
79 | * MySQL、MariaDB、PostgreSQL、Oracle、またはMicrosoft SQL Server データベースエンジンを実行している DB インスタンスで [セキュアソケットレイヤー (SSL) またはトランスポートレイヤーセキュリティ (TLS) 接続を使用する] (https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
80 | * [Amazon RDS 暗号化を使用する] (https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) は、保管中の DB インスタンスとスナップショットをセキュリティで保護します。 Amazon RDS 暗号化では、業界標準の AES-256 暗号化アルゴリズムを使用して、DB インスタンスをホストするサーバー上のデータを暗号化します。
81 | * [ネットワーク暗号化を使用する] (https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.Oracle.Options.NetworkEncryption.html) と [透過的なデータ暗号化] (https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.Oracle.Options.AdvSecurity.html) Oracle DB インスタンスで
82 | * DB エンジンのセキュリティ機能を使用して、DB インスタンスのデータベースにログインできるユーザーを制御します。 これらの機能は、データベースがローカルネットワーク上にあるかのように機能します。
83 | * サードパーティ製のホストベースの侵入検知システム(HIDS)ソリューション(OSSEC、Tripwire、Wazuh、[Amazon Inspector] (https://aws.amazon.com/inspector/) など) を用意することを強く推奨
84 | * その他の参考文献と手順については、[Amazon RDS のセキュリティ] (https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.html)
85 |
86 | ### AWS Config を使用して設定のコンプライアンスを表示します。
87 | 1. AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/config/ で AWS Config コンソールを開きます。
88 | 1. AWS マネジメントコンソールメニューで、リージョンセレクターが AWS Config ルールをサポートするリージョンに設定されていることを確認します。 サポートされているリージョンのリストについては、Amazon ウェブサービス全般のリファレンスの「AWS Config リージョンとエンドポイント」を参照してください。
89 | 1. ナビゲーションペインで、[リソース] を選択します。 [リソースインベントリ] ページでは、リソースカテゴリ、リソースタイプ、およびコンプライアンスステータスでフィルタリングできます。 必要に応じて、[削除されたリソースを含める] を選択します。 テーブルには、リソースタイプのリソース識別子と、そのリソースのリソースコンプライアンスステータスが表示されます。 リソース識別子は、リソース ID またはリソース名です。
90 | 1. [リソース識別子] 列からリソースを選択します。
91 | 1. [リソースタイムライン] ボタンを選択します。 設定イベント、コンプライアンスイベント、または CloudTrail イベントでフィルタリングできます。
92 | 1. 特に次のイベントに焦点を当てます。
93 | * rds-automatic-minor-version-upgrade-enabled
94 | * rds-cluster-deletion-protection-enabled
95 | * rds-cluster-iam-authentication-enabled
96 | * rds-cluster-multi-az-enabled
97 | * rds-enhanced-monitoring-enabled
98 | * rds-instance-deletion-protection-enabled
99 | * rds-instance-iam-authentication-enabled
100 | * rds-instance-public-access-check
101 | * rds-in-backup-Plan
102 | * rds-logging-enabled
103 | * rds-multi-az-support
104 | * rds-snapshots-public-prohibited
105 | * rds-snapshot-encrypted
106 | * rds-storage-encrypted
107 |
108 | ## エスカレーション手順
109 | -「EC2 フォレンジックをいつ実施すべきかについてビジネス上の決定が必要です`
110 | -「ログ/アラートを監視し、それらを受け取り、それぞれに対して行動しているのは誰ですか? `
111 | -「アラートが検出されたときに通知されるのは誰ですか? `
112 | -「広報と法律がプロセスに関与するのはいつですか? `
113 | -「AWS サポートにヘルプを依頼するのはいつですか? `
114 |
115 | ## 検出と分析
116 | * [AWS GuardDuty 機械学習] (https://aws.amazon.com/blogs/security/how-you-can-use-amazon-guardduty-to-detect-suspicious-activity-within-your-aws-account/) は、データ漏えいの試みの一環として Amazon リレーショナルデータベースサービス (Amazon RDS) のスナップショットを生成するなど、疑わしい動作を検出できます。
117 | * EC2 オペレーティングシステムとアプリケーションログで、不適切なログイン、不明なソフトウェアのインストール、または認識されないファイルの有無を確認します
118 |
119 | ### [CloudWatch メトリクスを使う] (https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/viewing_metrics_with_cloudwatch.html)
120 | データ漏洩の「スパイク」を探します。 攻撃者がデータ破壊を行い、身代金メモを残した可能性があります。このような場合、悪意のあるアクターと協力してデータ復旧の機会はありません。
121 | 1. CloudWatch コンソールを https://console.aws.amazon.com/cloudwatch/ で開く
122 | 1. ナビゲーションペインで、[メトリック]、[すべてのメトリック] の順に選択します。
123 | 1. [すべてのメトリクス] タブで、インスタンスをデプロイするリージョンを選択します。
124 | 1. [すべてのメトリクス] タブで、検索語句 `networkPacketsOut `を入力し、Enter キーを押します。
125 | 1. 検索の結果の 1 つを選択して、指標を表示します。
126 | 1. 1 つ以上のメトリックをグラフ化するには、各メトリックスの横にあるチェックボックスをオンにします。 すべてのメトリクスを選択するには、テーブルの見出し行のチェックボックスをオンにします。
127 | 1. (オプション) グラフのタイプを変更するには、[グラフオプション] を選択します。 その後、折れ線グラフ、積み上げ面グラフ、棒グラフ、円グラフ、または数値を選択できます。
128 | 1. (オプション)メトリックの期待値を示す異常検出バンドを追加するには、メトリックの横にある「アクション」の下の異常検出アイコンを選択します。
129 |
130 | ### vpcFlowLogs を使用して外部 IP アドレスからの不適切なデータベースアクセスを特定する
131 | 1. [AWS Security Analytics Bootstrap] (https://github.com/awslabs/aws-security-analytics-bootstrap) を使用してログデータを分析する
132 | 1. 特定の IP への、または特定の IP からのすべてのレコードの src_ip、src_port、dst_ip、dst_port の各クワッドのバイト数を含むサマリーを取得します。
133 | ```
134 | vpcflow から byte_count として送信元アドレス、宛先アドレス、送信元ポート、宛先ポート、合計 (数バイト) を選択します。
135 | WHERE (送信元アドレス = '192.0.2.1' または宛先アドレス = '192.0.2.1')
136 | AND date_partition >= '2020/07/01'
137 | AND date_partition <= '2020/07/31'
138 | そして account_partition = '111122223333'
139 | そして region_partition in ('us-east-1', 'us-east-2', 'us-west-2', 'us-west-2')
140 | 送信元アドレス、宛先アドレス、送信元ポート、宛先ポートによるグループ化
141 | バイト数による注文 DESC
142 | ```
143 | 1. その他のクエリ例は、[vpcflow_demo_queries.sql] (https://github.com/awslabs/aws-security-analytics-bootstrap/blob/main/AWSSecurityAnalyticsBootstrap/sql/dml/analytics/vpcflow/vpcflow_demo_queries.sql) で提供されています。
144 |
145 |
146 | ## リカバリ
147 | * 身代金を払わないことをお勧めします
148 | * 身代金を支払うことは、犯罪者が支払いを受けた後に取引を尊重するかどうかについてのギャンブルです
149 | * データのバックアップが存在しない場合は、コストメリット分析を行い、攻撃者への支払いに対するデータ/評判の侵害の価値を比較検討する必要があります
150 | * 身代金を支払うことを選択した場合、攻撃者が自分の会社や他のユーザーに対して操作を継続できるように直接許可します
151 | * https://www.nomoreransom.org/ にアクセスして、データが感染したマルウェアバリアントに対して復号化が可能かどうかを特定する
152 | * [IAM ユーザーキーの削除またはローテーション] (https://console.aws.amazon.com/iam/home#users) と [Root ユーザーキー] (https://console.aws.amazon.com/iam/home#security_credential)。公開されている特定のキーを特定できない場合、アカウント内のすべてのキーをローテーションすることもできます。
153 | * [許可されていない IAM ユーザーを削除する] (https://console.aws.amazon.com/iam/home#users。)
154 | * [不正なポリシーを削除する] (https://console.aws.amazon.com/iam/home#/policies)
155 | * [権限のない役割を削除する] (https://console.aws.amazon.com/iam/home#/roles)
156 | * [一時的な資格情報を取り消す] (https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_disable-perms.html#denying-access-to-credentials-by-issue-time)。 一時的な認証情報は、IAM ユーザーを削除することで取り消すこともできます。 注:IAM ユーザーの削除は実稼働ワークロードに影響を与える可能性があるため、注意して行う必要があります。
157 | * CloudEndure ディザスタリカバリを使用して、ランサムウェア攻撃またはデータ破損の前に最新の復旧ポイントを選択し、AWS でワークロードを復元します。
158 | * 代替データバックアップ戦略を使用する場合は、バックアップが感染していないことを検証し、ランサムウェアイベントの前にスケジュールされた最後のイベントから復元します。
159 | * 認識されていない、または許可されていないパブリックスナップショットまたはデータベースを削除する
160 | * 侵害されたデータベースを削除し、新しい RDS データベースを作成する
161 | * データベースへのパーミッションアクセスを持つ EC2 インスタンスを特定し、それらも調査する
162 |
163 | ## 学んだ教訓
164 | 「これは、必ず「修正」を必要としないが、運用上およびビジネス上の要件と並行してこのプレイブックを実行する際に知っておくべき重要な、貴社固有のアイテムを追加する場所です。 `
165 |
166 | ## アドレス指定バックログ項目
167 | -インシデントレスポンダーとして EC2 フォレンジックを実施するには Runbook が必要です
168 | -インシデントレスポンダーとして、EC2 フォレンジックをいつ実施すべきかについてのビジネス上の決定が必要です
169 | -インシデントレスポンダーとして、使用の意図に関係なく、有効になっているすべてのリージョンでログを有効にする必要があります
170 | -インシデントレスポンダーとして、既存の EC2 インスタンスで暗号マイニングを検出できる必要があります
171 |
172 | ## 現在のバックログアイテム
--------------------------------------------------------------------------------
/docs/ja/ja.Resource_Glossary.md:
--------------------------------------------------------------------------------
1 | # リソース用語集
2 | このドキュメントは、情報提供のみを目的として提供されています。 本書は、このドキュメントの発行日時点におけるAmazon ウェブサービス (AWS) の現在の製品提供および慣行を表しており、これらは予告なしに変更される場合があります。 お客様は、本書に記載されている情報、および AWS 製品またはサービスの使用について独自に評価する責任を負うものとします。各製品またはサービスは、明示または黙示を問わず、いかなる種類の保証もなく「現状のまま」提供されます。 このドキュメントは、AWS、その関連会社、サプライヤー、またはライセンサーからの保証、表明、契約上の約束、条件、または保証を作成するものではありません。 お客様に対する AWS の責任と責任は、AWS 契約によって管理され、このドキュメントは AWS とお客様との間のいかなる契約の一部でもなく、変更もありません。
3 |
4 | © 2024 Amazon ウェブサービス, Inc. またはその関連会社。 すべての権利予約。 この作品はクリエイティブ・コモンズ表示 4.0 国際ライセンスの下に提供されています。
5 |
6 | この AWS コンテンツは、http://aws.amazon.com/agreement で提供される AWS カスタマーアグリーメントの条件、またはお客様とアマゾンウェブサービス株式会社、Amazon ウェブサービス EMEA SARL、またはその両方との間のその他の書面による契約に従って提供されます。
7 |
8 | ## 全体的な参考文献
9 | ### [AWS Cloud Adoption Framework] (https://aws.amazon.com/professional-services/CAF/)
10 | AWS プロフェッショナルサービスは AWS Cloud Adoption Framework (AWS CAF) を作成し、組織がクラウド導入の過程において効率的で効果的な計画を策定し、実行できるように支援しました。 フレームワークが提供するガイダンスとベストプラクティスは、組織全体およびITライフサイクル全体にわたるクラウドコンピューティングに対する包括的なアプローチを構築するのに役立ちます。 AWS CAF を使用すると、クラウドの導入による測定可能なビジネス上のメリットを迅速かつ低リスクで実現できます。
11 | ### [AWS Security Incident Response Guide Wiki] (https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
12 | -[AWS Security Incident Response Guide Downloadable] (https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.pdf)
13 | このガイドでは、お客様の AWS クラウド環境内のセキュリティインシデントへの対応の基本の概要について説明します。 クラウドセキュリティとインシデントレスポンスの概念の概要に焦点を当て、セキュリティの問題に対応しているお客様が利用できるクラウド機能、サービス、メカニズムを特定します。
14 |
15 | このホワイトペーパーは、技術的な役割を担う人々を対象としており、情報セキュリティの一般原則に精通しており、現在のオンプレミス環境におけるインシデント対応に関する基本的な理解を持ち、クラウドサービスに関する知識があることを前提としています。
16 | ### [AWS Security Reference Architecture (AWS SRA)] (https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html)
17 | Amazon ウェブサービス(AWS)セキュリティリファレンスアーキテクチャ(AWS SRA)は、マルチアカウント環境で AWS セキュリティサービスの完全な補完をデプロイするための包括的なガイドラインです。 AWS セキュリティサービスが AWS のベストプラクティスに適合するように、AWS セキュリティサービスの設計、実装、管理を支援するために使用できます。 推奨事項は、AWS セキュリティサービスを含む単一ページのアーキテクチャに基づいて構築されています。このアーキテクチャは、セキュリティ目標の達成にどのように役立つのか、AWS アカウントでの最適なデプロイと管理が可能な場所、その他のセキュリティサービスとのやりとりのあり方などです。 この全体的なアーキテクチャガイダンスは、[AWS セキュリティウェブサイト] (https://docs.aws.amazon.com/security/) にあるような、詳細なサービス固有の推奨事項を補完するものです。
18 |
19 | ## Amazon ダッシュボード
20 | ### [Amazon請求ダッシュボード] (https://console.aws.amazon.com/billing/home #)
21 | ### [Amazon CloudTrail ダッシュボード] (https://console.aws.amazon.com/cloudtrail)
22 | ### [Amazon CloudWatch コンソール] (https://console.aws.amazon.com/cloudwatch/)
23 | ### [Amazon EC2 コンソール] (https://console.aws.amazon.com/ec2/)
24 | ### [Amazon IAM コンソール] (https://console.aws.amazon.com/iam/)
25 | ### [Amazon ネットワークマネージャーダッシュボード] (https://console.aws.amazon.com/networkmanager/home)
26 | ### [Amazonの注文と請求書] (https://console.aws.amazon.com/billing/home?/paymenthistory/)
27 | ### [Amazon S3 コンソール] (https://console.aws.amazon.com/s3/)
28 | ### [Amazon RDS コンソール] (https://console.aws.amazon.com/rds/)
29 | ### [Amazon VPC ダッシュボード] (https://console.aws.amazon.com/vpc/home)
30 | ### [Amazon WAF & Shield console] (https://console.aws.amazon.com/wafv2/shieldv2)
31 |
32 | ## ドキュメントとガイド
33 | ### [Amazon Athena と VPC Flow Logs] (https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html)
34 | ### [Amazon CloudWatch イベント] (https://docs.aws.amazon.com/codepipeline/latest/userguide/create-cloudtrail-S3-source-console.html)
35 | ### [Amazonコンフィグ] (https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
36 | ### [AWS API describe-db-instances] (https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-instances.html)
37 | ### [AWS API list-buckets] (https://docs.aws.amazon.com/cli/latest/reference/s3api/list-buckets.html)
38 | ### [AWS Documentation: 予期しない請求の回避] (https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/checklistforunwantedcharges.html)
39 | ### [AWS Documentation: Amazon S3 ストレージへのパブリックアクセスをブロックする] (https://aws.amazon.com/s3/features/block-public-access/)
40 | ### [AWS Documentation: DDoS 可視性] (https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency/visibility.html)
41 | ### [AWS Documentation: ACL による S3 アクセスの管理] (https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html)
42 | ### [AWS Documentation: IAM ユーザーのための MFA] (https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html)
43 | ### [AWS Documentation: RDS 拡張モニタリング] (https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html)
44 | ### [AWS ドキュメント:AWS Shield Advanced でクレジットをリクエストする] (https://docs.aws.amazon.com/waf/latest/developerguide/request-refund.html)
45 | ### [AWS Documentation: AWS Shield Documentation] (https://docs.aws.amazon.com/waf/latest/developerguide/shield-chapter.html)
46 | ### [AWS Documentation: AWS Shield Advanced ガイド] (https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-ddos.html)
47 | ### [AWS Documentation: すべてのリソースを終了する] (https://aws.amazon.com/premiumsupport/knowledge-center/terminate-resources-account-closure/)
48 | ### [AWS ドキュメント:S3 バケットでのバージョニングの使用] (https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html)
49 | ### [AWS Documentation: VPC フローログ] (https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-athena.html)
50 | ### [必須の RDS 暗号化を強制する] (https://medium.com/@cbchhaya/aws-scp-to-mandate-rds-encryption-6b4dc8b036a)
51 | ### [ユーザーが S3 ブロックパブリックアクセス設定を変更できないようにする] (https://asecure.cloud/a/scp_s3_block_public_access/)
52 |
53 | ## ツール
54 | ### [AWS Cost Anomaly Detection] (https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-ad.html)
55 | AWS Cost Anomaly Detection は、機械学習を使用してコストと使用量を継続的に監視し、異常な支出を検出する AWS コスト管理機能です。 AWS Cost Anomaly Detection の使用には、次の利点があります。
56 | -集約レポートで個別にアラートを受信します。 アラートは E メールまたは Amazon SNS トピックで受信できます。
57 | -機械学習手法を使用して支出パターンを評価し、誤検知アラートを最小限に抑えます。 たとえば、毎週または毎月の季節性と有機的な成長を評価できます。
58 | -コストの増加を引き起こしているアカウント、サービス、リージョン、使用タイプなど、異常の根本原因を分析し、特定します。
59 | -コストを評価する方法を設定します。 すべての AWS サービスを個別に分析するか、メンバーアカウント、コスト配分タグ、またはコストカテゴリ別に分析するかを選択できます。
60 | ### [Amazon Git Secrets] (https://github.com/awslabs/git-secrets)
61 | Git Secrets は、マージ、コミット、コミットメッセージをスキャンして、秘密情報 (つまり、アクセスキー) を調べることができます。 Git Secrets は禁止されている正規表現を検出すると、それらのコミットがパブリックリポジトリに投稿されないように拒否できます。
62 | ### [Amazonインスペクタ] (https://aws.amazon.com/inspector/)
63 | Amazon Inspector は、AWS にデプロイされたアプリケーションのセキュリティとコンプライアンスの向上に役立つ自動セキュリティ評価サービスです。 Amazon Inspector は、アプリケーションの露出、脆弱性、ベストプラクティスからの逸脱について自動的に評価します。
64 | ### [Amazon Macie] (https://aws.amazon.com/macie/)
65 | Amazon Macie は、機械学習とパターンマッチングを使用して AWS の機密データを検出して保護する、完全マネージド型のデータセキュリティおよびデータプライバシーサービスです。 Macie のアラート、または結果を AWS マネジメントコンソールで検索してフィルタリングし、Amazon EventBridge に送信できます。これは、既存のワークフローやイベント管理システムとの統合を容易にするために、以前は Amazon CloudWatch イベントと呼ばれていました。また、AWS Step Functions などの AWS サービスと組み合わせて使用することもできます。自動修復アクションを実行します。
66 | ### [Amazonセキュリティハブ] (https://aws.amazon.com/security-hub/?aws-security-hub-blogs.sort-by=item.additionalFields.createdDate&aws-security-hub-blogs.sort-order=desc)
67 | AWS Security Hub では、AWS アカウント全体のセキュリティアラートとセキュリティ体制を包括的に把握できます。 セキュリティハブを使用すると、Amazon GuardDuty、Amazon Amazon Inspector、Amazon Macie、AWS アイデンティティおよびアクセス管理(IAM)アクセスアナライザー、AWS Systems Manager、AWS ファイアウォールなど、複数の AWS サービスからのセキュリティアラートまたは調査結果を集約、整理、優先順位付けする 1 つの場所が用意されました。マネージャー、および AWS パートナーネットワーク (APN) ソリューションから。
68 | ### [Prowler] (https://github.com/toniblyx/prowler)
69 | Prowler は、AWS のセキュリティ評価、監査、強化、インシデント対応を支援するコマンドラインツールです。 CIS Amazon Web Services Foundations Benchmark(49チェック)のガイドラインに従い、GDPR、HIPAA、PCI-DSS、ISO-27001、FFIEC、SOC2などに関連する100以上の追加のチェックがあります。
70 | ### [セルフサービスセキュリティ評価] (https://aws.amazon.com/blogs/publicsector/assess-your-security-posture-identify-remediate-security-gaps-ransomware/)
71 | Self-Service Security Assessment は、2 つのサブネット、1 つの NAT ゲートウェイ、1 つの Amazon Elastic コンピューティングクラウド(Amazon EC2)インスタンス、および 1 つの Amazon シンプルストレージサービス(Amazon Amazon S3)バケットを含む専用の Amazon 仮想プライベートクラウド(Amazon VPC)を含むシンプルな AWS CloudFormation テンプレートを使用してデプロイされます。 デプロイされると、オープンソースプロジェクト Prowler と ScoutSuite が Amazon EC2 インスタンス内にダウンロードおよびインストールされ、AWS API を使用して AWS アカウントのスキャンを開始し、256 を超えるポイントインタイムチェックを実行します。 このチェックでは、AWS CloudTrail、Amazon CloudWatch、Amazon EC2、Amazon GuardDuty、AWS アイデンティティとアクセス管理(AWS IAM)、Amazon リレーショナルデータベースサービス(Amazon RDS)、Amazon Route 53、Amazon S3 などのサービス全体で現在の AWS 設定を確認し、セキュリティのベストプラクティスに対して評価します。
72 | ## トレーニング
73 | ### [AWS RE: INFORCE] (https://reinforce.awsevents.com/faq/)
74 | AWS Re: InForce は、セキュリティ意識とベストプラクティスの向上に役立つクラウドセキュリティ会議です。 AWS の製品とサービスに焦点を当てた技術コンテンツ、AWS セキュリティのリーダーシップを特集した基調講演、クラウドセキュリティとコンプライアンスに関する知識の拡大に役立つ専門家への直接アクセスについては、ぜひご参加ください。
--------------------------------------------------------------------------------
/docs/ja/ja.Responding_to_SES_Events.md:
--------------------------------------------------------------------------------
1 | # インシデントレスポンス Playbook: 単純な電子メールサービスイベントへの対応
2 |
3 | ## 連絡ポイント
4 |
5 | 著者:`著者名`
6 | 承認者:`承認者名`
7 | 最終承認日:
8 |
9 | ### 目標
10 | Playbook の実行全体を通して、インシデント対応機能の強化についてメモを取って、_***望ましい結果***_ に焦点を当てます。
11 |
12 | #### 決定する:
13 | * **脆弱性が悪用された**
14 | * **エクスプロイトとツールが観察された**
15 | * **俳優の意図**
16 | * **俳優の帰属**
17 | * **環境とビジネスに与えたダメージ**
18 |
19 | #### 回復:
20 | * **オリジナルで強化された構成に戻す**
21 |
22 | #### CAF セキュリティパースペクティブの強化コンポーネント:
23 | [AWS クラウド導入フレームワークセキュリティの視点] (https://docs.aws.amazon.com/whitepapers/latest/aws-caf-security-perspective/aws-caf-security-perspective.html)
24 | * **指令**
25 | * **探偵**
26 | * **レスポンシブ**
27 | * **予防**
28 |
29 | ### レスポンスステップ
30 | 1. [**準備**] IAM に AWS GuardDuty 検出を使用する
31 | 2. [**準備**] エスカレーション手順の特定、文書化、およびテストを行う
32 | 3. [**検出と分析**] 検出を実行し、CloudTrail で認識されない API イベントについて分析する
33 | 4. [**検出と分析**] 検出を実行し、CloudWatch で認識されないイベントについて分析する
34 | 3. [**封じ込めと撲滅**] IAM ユーザーキーを削除またはローテーションする
35 | 4. [**封じ込めと撲滅**] 認識されないリソースを削除またはローテーションする
36 | 5. [**リカバリ**] 必要に応じてリカバリ手順を実行する
37 |
38 | ***対応手順は、[NIST Special Publication 800-61r2 コンピュータセキュリティインシデント処理ガイド] (https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf) のインシデント対応ライフサイクルに従います。
39 |
40 | ### インシデントの分類と処理
41 | * **戦術、テクニック、手順**:
42 | * **カテゴリー**:
43 | * **リソース**: SES
44 | * **指標**:
45 | * **ログソース**:
46 | * **チーム**: セキュリティオペレーションセンター (SOC)、フォレンジック調査官、クラウドエンジニアリング
47 |
48 | ## インシデント処理プロセス
49 | ### インシデント対応プロセスには、次の段階があります。
50 | * 準備
51 | * 検出と分析
52 | * 封じ込めと根絶
53 | * 回復
54 | * インシデント後の活動
55 |
56 | ## エグゼクティブサマリー
57 | このプレイブックでは、AWS シンプルな E メールサービス (SES) に対する攻撃に対する応答のプロセスの概要を説明します。 このガイドと組み合わせて、[Amazon SES 送信レビュープロセスに関するよくある質問] (https://docs.aws.amazon.com/ses/latest/DeveloperGuide/faqs-enforcement.html) で、強制措置に対する回答と SES の使用に対する回答を確認してください。
58 |
59 | 詳細については、[AWS セキュリティインシデント対応ガイド] (https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) を参照してください。
60 |
61 | ## 準備-一般
62 | * セキュリティ体制を評価して、セキュリティギャップを特定して修正する
63 | * AWS は新しいオープンソース [セルフサービスセキュリティ評価] (https://aws.amazon.com/blogs/publicsector/assess-your-security-posture-identify-remediate-security-gaps-ransomware/) ツールを開発しました。このツールは、お客様の AWS のセキュリティ状況に関する貴重な洞察を得るためのポイントインタイム評価を提供します。アカウント。
64 | * サーバー、ネットワークデバイス、ネットワーク/ファイル共有、開発者マシンなど、すべてのリソースの完全な資産インベントリを維持する
65 | * Amazon SES に保存されている AWS アカウント、ワークロード、データを保護するために [AWS GuardDuty] (https://aws.amazon.com/guardduty/) を実装して、悪意のあるアクティビティや不正な動作を継続的に監視することを検討する
66 | * アカウントの有効期限と必須の資格情報のローテーションを含む [CIS AWS Foundations] (https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls.html) を実装する
67 | * **多要素認証 (MFA) を強制**
68 | * パスワードの複雑さの要件を強制し、有効期限を設定する
69 | * [IAM 認証情報レポート] (https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html) を実行して、アカウント内のすべてのユーザーと、パスワード、アクセスキー、MFA デバイスなどのさまざまな認証情報のステータスを一覧表示します。
70 | * [AWS IAM アクセスアナライザー] (https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) を使用して、外部エンティティと共有される IAM ロールなど、組織内のリソースとアカウントを特定します。 これにより、セキュリティ上のリスクであるリソースとデータへの意図しないアクセスを特定できます。
71 |
72 | ## 準備-SES 固有
73 | * 送信承認ポリシーを使用して、誰がメールを送信できるのか、どこから送信できるかを制御する
74 | * https://docs.aws.amazon.com/ses/latest/dg/sending-authorization.html
75 | * 設定セットを使用して、メッセージの送信を許可する IP アドレスと ID を制御する
76 | * https://docs.aws.amazon.com/ses/latest/dg/using-configuration-sets.html
77 | * Amazon SES に専用 IP アドレスを使用することを検討する
78 | * https://docs.aws.amazon.com/ses/latest/dg/dedicated-ip.html
79 | * Amazon SES でのメール送信と購読の他、メールの抑制のために独自のリストを管理する
80 | * https://docs.aws.amazon.com/ses/latest/dg/lists-and-subscriptions.html
81 | * リアルタイム通知のために Amazon SES イベントパブリッシングをセットアップする
82 | * https://docs.aws.amazon.com/ses/latest/dg/monitor-sending-using-event-publishing-setup.html
83 | * Amazon SES で最低権限の ID およびアクセス管理を使用する
84 | * https://docs.aws.amazon.com/ses/latest/dg/control-user-access.html
85 | * セキュリティとアクセスに焦点を当て、SES のベストプラクティスを確認します。
86 | * https://docs.aws.amazon.com/ses/latest/DeveloperGuide/best-practices.html (クラシック)
87 | * https://docs.aws.amazon.com/ses/latest/DeveloperGuide/control-user-access.html (クラシック)
88 | * 自分のドメインに SPF、DKIM、および DMARC を設定して、フィッシングやなりすましを防止する
89 | * https://docs.aws.amazon.com/ses/latest/dg/email-authentication-methods.html
90 |
91 | ### AWS GuardDuty 検出の可能性
92 | 次の結果は IAM エンティティとアクセスキーに固有であり、常に [Resource Type] が AccessKey になります。 調査結果の重要度と詳細は、発見のタイプによって異なります。 各検索タイプの詳細については、[GuardDuty IAM 検索タイプ] (https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html) ウェブページを参照してください。
93 |
94 | * クレデンシャルアクセス:iamuser/anomalousBehavior
95 | * defenseeVasion: iamuser/anomalousBehavior
96 | * Discovery: iamuser/anomalousBehav
97 | * exfiltration: iamuser/anomalousBehav
98 | * インパクト:iamuser/anomalousBehavior
99 | * initialAccess/anomalousBehavior
100 | * pentest: iamuser/Kalilinux
101 | * pentest: iamuser/ParrotLinux
102 | * pentest: iamuser/PentoolLinux
103 | * 永続性:iamuser/anomalousBehavior
104 | * ポリシー:iamuser/rootCredentialUsage
105 | * PrivilegeEscalation: iamuser/anomalousBeh
106 | * recon: iMUSER/maliciousipCaller
107 | * recon: iamuser/maliciousipCaller.Custom
108 | * recon: iamuser/toripCaller
109 | * ステルス:iamuser/CloudTrailloggingDisabled
110 | * ステルス:iamuser/passwordPolicyChange
111 | * UnauthorizedAccess: iamuser/consoleLoginSuccess.B
112 | * UnauthorizedAccess: iamuser/instanceCreentiExfiltation. outsideAWS
113 | * 無許可アクセス:iamuser/maliciousipCaller
114 | * 不正アクセス:iamuser/maliciousipCaller.Custom
115 | * UnauthorizedAccess: iamuser/toripCaller
116 |
117 | ## エスカレーション手順
118 | -「EC2フォレンジックを実施すべきかについてビジネス上の決定が必要です`
119 | -「ログ/アラートを監視し、それらを受け取り、それぞれに対して行動しているのは誰ですか? `
120 | -「アラートが検出されたときに通知されるのは誰ですか? `
121 | -「広報と法律がプロセスに関与するのはいつですか? `
122 | -「AWS サポートにヘルプを依頼するのはいつですか? `
123 |
124 | ## 検出と分析
125 | ### CloudTrail
126 | Amazon SES は AWS CloudTrail と統合されています。AWS CloudTrail は、Amazon SES のユーザー、ロール、または AWS サービスによって実行されるアクションの記録を提供するサービスです。 CloudTrail は、Amazon SES の API 呼び出しをイベントとしてキャプチャします。 キャプチャされた呼び出しには、Amazon SES コンソールからの呼び出しと Amazon SES API オペレーションへのコード呼び出しが含まれます。
127 |
128 | SES に関連するアカウントの変更を検索するための特定の CloudTrail `EventName` イベントを次に示します。
129 |
130 | * DeleteIDentity
131 | * アイデンティティポリシーの削除
132 | * DeleteReceiptFilter
133 | * deleteReceipTrule
134 | * DeleteReceipTruleSet
135 | * DeleteVerifiedEmailAddress
136 | * getSendQuota
137 | * PutidentityPolicy
138 | * updateReceipTrule
139 | * verifyDomaindKIM
140 | * VerifyDomainID
141 | * メールアドレスの確認
142 | * 確認メールアイデンティティ
143 |
144 | [CloudTrail イベント履歴でイベントを表示する] (https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)
145 |
146 | ### その他の探偵コントロール
147 | * SES イベント(送信、バウンス、苦情など)を記録して監視する
148 | * https://docs.aws.amazon.com/ses/latest/dg/monitor-sending-activity.html
149 | * https://aws.amazon.com/blogs/messaging-and-targeting/handling-bounces-and-complaints/
150 | * 送信者評価メトリックを監視する
151 | * https://docs.aws.amazon.com/ses/latest/dg/monitor-sender-reputation.html
152 | * SES メトリクスの適切な CloudWatch アラームまたはダッシュボードをセットアップする
153 | * https://docs.aws.amazon.com/ses/latest/dg/security-monitoring-overview.html
154 |
155 | ## 封じ込めと根絶
156 | * [IAM ユーザーキーの削除またはローテーション] (https://console.aws.amazon.com/iam/home#users) と [ルートユーザーキー] (https://console.aws.amazon.com/iam/home#security_credential)。公開されている特定のキーを特定できない場合、アカウント内のすべてのキーをローテーションすることもできます。
157 | * [許可されていない IAM ユーザーを削除する] (https://console.aws.amazon.com/iam/home#users。)
158 | * [不正なポリシーを削除する] (https://console.aws.amazon.com/iam/home#/policies)
159 | * [権限のない役割を削除する] (https://console.aws.amazon.com/iam/home#/roles)
160 | * [一時的な資格情報を取り消す] (https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_disable-perms.html#denying-access-to-credentials-by-issue-time)。 一時的な認証情報は、IAM ユーザーを削除することで取り消すこともできます。
161 | * 注:IAM ユーザーの削除は実稼働ワークロードに影響を与える可能性があるため、注意して行う必要があります。
162 |
163 | ## リカバリ
164 | * 最小権限のアクセスポリシーで新しい IAM ユーザーを作成する
165 | *「準備-SES 特定」のセクションにあるステップとリソースを実装する
166 | * SES イベント(送信、バウンス、苦情など)を記録して監視する
167 | * https://docs.aws.amazon.com/ses/latest/dg/monitor-sending-activity.html
168 | * https://aws.amazon.com/blogs/messaging-and-targeting/handling-bounces-and-complaints/
169 | * 送信者評価メトリックを監視する
170 | * https://docs.aws.amazon.com/ses/latest/dg/monitor-sender-reputation.html
171 | * SES メトリクスの適切な CloudWatch アラームまたはダッシュボードをセットアップする
172 | * https://docs.aws.amazon.com/ses/latest/dg/security-monitoring-overview.html
173 |
174 | ## 学んだ教訓
175 | 「これは、必ず「修正」を必要としないが、このプレイブックを運用上およびビジネス上の要件と並行して実行するときに知っておくべき重要なあなたの会社固有のアイテムを追加する場所です。 `
176 |
177 | ## アドレス指定バックログ項目
178 |
179 | ## 現在のバックログアイテム
--------------------------------------------------------------------------------
/docs/ja/ja.rationalization_of_security_incident_handling.md:
--------------------------------------------------------------------------------
1 | # セキュリティインシデントアラートの合理化
2 | このドキュメントは、情報提供のみを目的として提供されています。 本書は、このドキュメントの発行日時点におけるAmazon ウェブサービス (AWS) の現在の製品提供および慣行を表しており、これらは予告なしに変更される場合があります。 お客様は、本書に記載されている情報、および AWS 製品またはサービスの使用について、独自の評価を行う責任を負うものとします。各製品またはサービスは、明示または黙示を問わず、いかなる種類の保証もなく「現状のまま」提供されます。 このドキュメントは、AWS、その関連会社、サプライヤー、またはライセンサーからの保証、表明、契約上の約束、条件、または保証を作成するものではありません。 お客様に対する AWS の責任と責任は、AWS 契約によって管理され、このドキュメントは AWS とお客様との間のいかなる契約の一部でもなく、変更もありません。
3 |
4 | © 2024 Amazon ウェブサービス株式会社またはその関連会社。 すべての権利予約。 この作品はクリエイティブ・コモンズ表示 4.0 国際ライセンスの下に提供されています。
5 |
6 | この AWS コンテンツは、http://aws.amazon.com/agreement で提供される AWS カスタマーアグリーメントの条件、またはお客様とアマゾンウェブサービス株式会社、Amazon ウェブサービス EMEA SARL、またはその両方との間のその他の書面による契約に従って提供されます。
7 |
8 | >「ペーパークリップとダイヤモンドを同等の活力で守れば、すぐにペーパークリップが増え、ダイヤモンドも少なくなるだろう」と元米国国務長官のディーン・ラスクに帰属
9 |
10 | アラートは、セキュリティコントロールの開発中のワークロードの脅威モデリングによって決定されます。 アラートの使用はレスポンシブコントロールによって定義されますが、その定義は、ディレクティブ、予防、ディテクティブ、レスポンシブなど、セキュリティの観点全体に依存します。
11 |
12 | ## 定義
13 |
14 | ### 脅威モデリング:
15 |
16 | * **ワークロード**: 何を守ろうとしているのか
17 | * **脅威**: おまえが恐れていること
18 | * **影響**: 脅威がワークロードを満たしたときにビジネスにどのような影響が及ぶか
19 | * **脆弱性**: 脅威を促進できるのは何ですか
20 | * **緩和**: 脆弱性を補うためにどのような管理が行われていますか
21 | * **確率**: 緩和策を導入して脅威が発生する可能性はどれくらいですか
22 |
23 | **脅威の優先順位付けは、影響と確率の要因です。 **
24 |
25 | ### セキュリティコントロール:
26 |
27 | * **指令**コントロールは、環境が運用するガバナンス、リスク、コンプライアンスモデルを確立します。
28 | * **予防**コントロールはワークロードを保護し、脅威と脆弱性を軽減します。
29 | * **Detective** コントロールは、AWS でのデプロイの運用に関する完全な可視性と透明性を提供します。
30 | * **Responsive**コントロールは、セキュリティベースラインからの潜在的な逸脱の修復を促進します。
31 |
32 |
33 | ! [画像] (/images/image-caf-sec.png)
34 |
35 | ## アラートの疲労を最小限に抑え、セキュリティイベントの処理を改善するには、脅威モデリングコンテキストで次の点を考慮する必要があります。
36 |
37 | * ビジネスに対するワークロードの関連性 (*)。
38 | * 各ワークロードコンポーネントのデータ分類 (*)。
39 | * STRIDE(なりすまし、改ざん、情報開示、否認、サービス拒否、特権の昇格)など一貫して使用される方法論
40 | * クラウドセキュリティの準備と成熟度。
41 | * インシデント対応と脅威ハンティング能力。
42 | * 自動修復機能。
43 | * インシデントハンドリングの自動化成熟度。
44 |
45 |
46 | (*) ***ワークロードの関連性とデータ分類***は、企業のリスクフレームワークイニシアチブによって定義されています。 例:
47 |
48 | ### ワークロードの関連性:
49 |
50 | **高い**:大きな金銭的損失とイメージ認識の損傷、長期的なビジネスへの影響、低い回復の成功
51 | **中**:持続可能な金銭的損失とイメージ認識損害、短期的なビジネスインパクト、高い回復成功
52 | **低い**:測定可能な金銭的損失や画像認識損害、ビジネスへの影響なし、回復は適用されない
53 |
54 | ### データ分類:
55 |
56 | **秘密**:大きな金銭的損失と画像認識損傷、長期的なビジネスインパクト、低い回復成功
57 | **機密**:持続可能な金銭的損失とイメージ認識損害、短期的なビジネスインパクト、高い回復成功
58 | **未分類**:測定可能な金銭的損失や画像認識損害、ビジネスへの影響なし、回復は適用されない
59 |
60 |
61 | ## アラートの優先順位付けの目的は、それらを適切なキューに送信することです。
62 |
63 | * アラートトリアージキュー
64 | * 脅威ハンティングキュー
65 | * アーカイブキュー
66 |
67 |
68 | アラートの終了場所を定義するプロセスは、以前に列挙したすべての要素によって異なります。 基本的なキューイングの決定は次のとおりです。
69 |
70 | ### アラートトリアージキュー:
71 |
72 | 1. 業界規制、法定コンプライアンス、ビジネス要件を含むがこれらに限定されない、特定のリスクフレームワークのマンデート。 このシナリオでは、ワークロードの関連性が**高い**か、データは**秘密**に分類されます。
73 | 2. 正式なインシデント対応プロセスを開始するための特定の脅威モデル要件。
74 | 3. ワークロードが**中**または**高** の関連性またはデータ分類が**秘密**または**機密**であるアラートで、自動修復が失敗しました。
75 |
76 | ### **脅威ハンティングキュー**:
77 |
78 | 1. **中**または**高**関連性またはデータ分類が**秘密**または**機密**であるワークロードの自動修復が成功しました。
79 | 2. 関連性が低い**、またはデータ分類が**未分類**のワークロードの自動修復に失敗しました。
80 |
81 | ### アーカイブキュー:
82 |
83 | 1. 関連性が低い**、またはデータ分類が**未分類**のワークロードで自動修復が成功しました。
--------------------------------------------------------------------------------
/docs/rationalization_of_security_incident_handling.md:
--------------------------------------------------------------------------------
1 | # Rationalization of security incident alerting
2 | This document is provided for informational purposes only. It represents the current product offerings and practices from Amazon Web Services (AWS) as of the date of issue of this document, which are subject to change without notice. Customers are responsible for making their own independent assessment of the information in this document and any use of AWS products or services, each of which is provided “as is” without warranty of any kind, whether express or implied. This document does not create any warranties, representations, contractual commitments, conditions, or assurances from AWS, its affiliates, suppliers, or licensors. The responsibilities and liabilities of AWS to its customers are controlled by AWS agreements, and this document is not part of, nor does it modify, any agreement between AWS and its customers.
3 |
4 | © 2024 Amazon Web Services, Inc. or its affiliates. All Rights Reserved. This work is licensed under a Creative Commons Attribution 4.0 International License.
5 |
6 | This AWS Content is provided subject to the terms of the AWS Customer Agreement available at http://aws.amazon.com/agreement or other written agreement between the Customer and either Amazon Web Services, Inc. or Amazon Web Services EMEA SARL or both.
7 |
8 | > “If you protect your paper clips and diamonds with equal vigor, you’ll soon have more paper clips and fewer diamonds.” attributed to former US Secretary of State Dean Rusk
9 |
10 | Alerts are determined by the threat modeling of a workload during the development of security controls. Alert usage is defined by Responsive controls, however, its definition relies on the whole security perspective: Directive, Preventative, Detective, and Responsive.
11 |
12 | ## Definitions
13 |
14 | ### Threat modeling:
15 |
16 | * **Workload**: what you are trying to protect
17 | * **Threat**: what you fear happening
18 | * **Impact**: how business is affected when threat meets workload
19 | * **Vulnerability**: what can facilitate the threat
20 | * **Mitigation**: what controls are in place to compensate for vulnerability
21 | * **Probability**: how likely is for the threat to happen with mitigations in place
22 |
23 | **Prioritization of threats is a factor of impact and probability.**
24 |
25 | ### Security controls:
26 |
27 | * **Directive** controls establish the governance, risk, and compliance models the environment will operate within.
28 | * **Preventive** controls protect your workloads and mitigate threats and vulnerabilities.
29 | * **Detective** controls provide full visibility and transparency over the operation of your deployments in AWS.
30 | * **Responsive** controls drive remediation of potential deviations from your security baselines.
31 |
32 |
33 | 
34 |
35 | ## To minimize alert fatigue and better handling of security events, the threat modeling context should take into account:
36 |
37 | * Workload relevance (*) to the business.
38 | * Data classification (*) of each workload component.
39 | * Methodology consistently used such as STRIDE (Spoofing, Tampering, Info Disclosure, Repudiation, Denial of Service and Elevation of Privilege)
40 | * Cloud security readiness and maturity.
41 | * Incident Response and Threat Hunting capacity.
42 | * Auto-remediation capabilities.
43 | * Incident handling automation maturity.
44 |
45 |
46 | (*) ***Workload relevance and data classification*** are defined by the corporation’s risk framework initiative. Examples:
47 |
48 | ### Workload relevance:
49 |
50 | **High**: major monetary loss and image perception damage, long term business impact, low recovery success
51 | **Medium**: sustainable monetary loss and image perception damage, short term business impact, high recovery success
52 | **Low**: no measurable monetary loss and image perception damage, no business impact, recovery is not applicable
53 |
54 | ### Data classification:
55 |
56 | **Secret**: major monetary loss and image perception damage, long term business impact, low recovery success
57 | **Confidential**: sustainable monetary loss and image perception damage, short term business impact, high recovery success
58 | **Unclassified**: no measurable monetary loss and image perception damage, no business impact, recovery is not applicable
59 |
60 |
61 | ## The goal of alert prioritization is to send them to the appropriate queue:
62 |
63 | * Alert triage queue
64 | * Threat hunting queue
65 | * Archive queue
66 |
67 |
68 | The process to define where the alert will end up is dependent on all the factors enumerated previously. A basic queuing decision is as follows:
69 |
70 | ### Alert triage queue:
71 |
72 | 1. Specific risk framework mandate, including but not limited to, industry regulation, statutory compliance, business requirement. In this scenario, the workload has **high** relevance or data is classified as **secret**.
73 | 2. Specific threat model requirement to start formal incident response process.
74 | 3. Auto-remediation failed for alerts where workload has **medium** or **high** relevance or data classification is **secret** or **confidential**.
75 |
76 | ### **Threat hunting queue**:
77 |
78 | 1. Auto-remediation successful for workload with **medium** or **high** relevance or data classification is **secret** or **confidential**.
79 | 2. Auto-remediation failed for workload with **low** relevance or data classification is **unclassified**.
80 |
81 | ### Archive queue:
82 |
83 | 1. Auto-remediation succeeded for workload with **low** relevance or data classification is **unclassified**.
84 |
--------------------------------------------------------------------------------
/docs/zh/zh.AWS_Help.md:
--------------------------------------------------------------------------------
1 | # 响应 Amazon Bedrock 安全事件的安全手册
2 | 本文档仅供参考。 它代表了截至本文档发布之日亚马逊网络服务 (AWS) 目前提供的产品和做法,如有更改,恕不另行通知。 客户有责任对本文档中的信息以及对 AWS 产品或服务的任何使用进行独立评估,每种产品或服务均按 “原样” 提供,不提供任何形式的明示或暗示担保。 本文档不设定 AWS、其关联公司、供应商或许可方的任何担保、陈述、合同承诺、条件或保证。 AWS 对其客户的责任和责任由 AWS 协议控制,本文档不是 AWS 与其客户之间任何协议的一部分,也不会对其进行修改。
3 |
4 | © 2024 亚马逊网络服务公司或其附属公司。 版权所有。 本作品采用知识共享署名 4.0 国际许可协议进行许可。
5 |
6 | 本 AWS 内容的提供受到 http://aws.amazon.com/agreement 上的 AWS 客户协议条款或客户与亚马逊网络服务公司或亚马逊网络服务 EMEA SARL 或两者之间的其他书面协议的约束。
7 |
8 | ## 联系人
9 |
10 | 作者:`作者姓名`\
11 | 审批人:`审批人姓名`\
12 | 最后批准日期:
13 |
14 | ## 执行摘要
15 |
16 | 作为我们对客户的持续承诺的一部分,AWS 正在提供这个
17 | 安全事件响应手册,描述了向 AWS Support 请求安全事件帮助所需的步骤。
18 |
19 | ! [图片] (/images/nist_life_cycle.png)
20 |
21 | *AWS 事件响应的各个方面*
22 | ## 准备
23 |
24 | 为了快速有效地执行事件响应活动,让组织中的人员、流程和技术做好准备至关重要。 查看 [*AWS 安全事件响应指南*] (https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/preparation.html),并实施必要的步骤来帮助确保所有三个域做好准备。
25 |
26 | ## 如何联系 AWS 支持部门寻求帮助
27 |
28 | 如果您怀疑自己的 AWS 账户或组织中的凭证遭到泄露,请务必立即通知 AWS。 以下是与 AWS Support 合作的步骤:
29 |
30 | ### 提交 AWS 支持案例
31 |
32 | -登录您的 AWS 账户:
33 | -这是第一个受到安全事件影响的用于验证 AWS 账户所有权的 AWS 账户。
34 | -注意:如果您无法访问账户,请使用 [此表格] (https://support.aws.amazon.com/#/contacts/aws-account-support/) 提交支持请求。
35 | -选择 “*服务*”、“*支持中心*”、“*创建案例*”。
36 | -选择问题类型 “*账户和账单” *。
37 | -选择受影响的服务和类别:
38 | -示例:
39 | -服务:账户
40 | -类别:安全
41 | -选择严重性:
42 | -企业支持或入口客户:*关键业务风险问题*。
43 | -业务支持客户:*紧急业务风险问题*。
44 | -基本和开发者支持客户:*一般问题*。
45 | -要了解更多信息,您可以 [比较 AWS 支持计划] (https://aws.amazon.com/premiumsupport/plans/)。
46 | -描述您的问题或问题:
47 | -详细描述您遇到的安全问题、受影响的资源以及业务影响。
48 | -首次识别安全事件的时间。
49 | -迄今为止的事件时间表摘要。
50 | -您收集的工件(屏幕截图、日志文件)。
51 | -您怀疑遭到泄露的 IAM 用户或角色的 ARN。
52 | -受影响资源和业务影响的描述。
53 | -贵组织中的参与程度(例如:“此安全事件具有首席执行官和董事会的知名度”)。
54 | -可选:添加其他问题联系人。
55 | -选择 “*联系我们*”。
56 | -首选联系语言(可能视供应情况而定)
57 | -首选联系方式:网络、电话或聊天(推荐)
58 | -可选:其他案例联系人
59 | -*点击 “提交” *
60 |
61 | -**升级**:请尽快通知您的 AWS 账户团队,以便他们动用必要的资源并根据需要进行上报。
62 |
63 | **注意:** 请务必确认为每个 AWS 账户定义了 “备用安全联系人”。 欲了解更多详情,请参阅 [this
64 | 文章] (https://aws.amazon.com/blogs/security/update-the-alternate-security-contact-across-your-aws-accounts-for-timely-security-notifications/)。
--------------------------------------------------------------------------------
/docs/zh/zh.Amazon_Q.md:
--------------------------------------------------------------------------------
1 | # 事件响应手册:响应 Amazon Q 安全事件
2 |
3 | 本文档仅供参考。 它代表了截至本文档发布之日亚马逊网络服务 (AWS) 目前提供的产品和做法,如有更改,恕不另行通知。 客户有责任对本文档中的信息以及对 AWS 产品或服务的任何使用进行独立评估,每种产品或服务均按 “原样” 提供,不附带任何形式的明示或暗示担保。 本文档不设定 AWS、其关联公司、供应商或许可方的任何担保、陈述、合同承诺、条件或保证。 AWS 对其客户的责任和责任由 AWS 协议控制,本文档不是 AWS 与其客户之间任何协议的一部分,也不会对其进行修改。
4 |
5 | © 2024 亚马逊网络服务公司或其附属公司。 保留所有权利。 本作品采用知识共享署名 4.0 国际许可协议进行许可。
6 |
7 | 本 AWS 内容的提供受到 http://aws.amazon.com/agreement 上的 AWS 客户协议条款或客户与亚马逊网络服务公司或亚马逊网络服务 EMEA SARL 或两者之间的其他书面协议的约束。
8 |
9 | ## 联系人
10 |
11 | 作者:`作者姓名`\
12 | 审批人:`审批人姓名`\
13 | 最后批准日期:
14 |
15 | ## 执行摘要
16 | 本手册概述了调查涉及 Amazon Q 的安全事件的示例流程和查询。
17 |
18 | ## 准备
19 | 本手册在可能的情况下引用并集成了 [Prowler] (https://github.com/toniblyx/prowler),后者是一个命令行工具,可帮助您进行 AWS 安全评估、审计、强化和事件响应。
20 |
21 | ### 目标
22 | 在执行剧本的整个过程中,请专注于_***期望的结果***_,记下增强事件响应能力的笔记。
23 |
24 | #### 确定:
25 | * **漏洞被利用**
26 | * **观察到的漏洞和工具**
27 | ***演员的意图**
28 | * **演员的归因**
29 | ***对环境和企业造成的损害**
30 |
31 | #### 恢复:
32 | ***恢复原始和强化配置**
33 |
34 | #### 增强 CAF 安全透视组件:
35 | [AWS 云采用框架 AWS Framework 安全视角] (https://docs.aws.amazon.com/whitepapers/latest/aws-caf-security-perspective/aws-caf-security-perspective.html)
36 | * **指令**
37 | * **侦探**
38 | * **响应式**
39 | * **预防性**
40 |
41 | ! [图片] (/images/aws_caf.png)
42 | * *
43 |
44 | ### 事件分类和处理
45 | * **战术、技巧和程序**:Amazon Q
46 | * **类别**:日志分析
47 | * **资源**:Amazon Q
48 | * **指标**:网络威胁情报、第三方通知
49 | * **日志来源**:CloudTrail
50 | * **团队**:安全运营中心 (SOC)、取证调查员、云工程
51 |
52 | ## 事件处理流程
53 | ### 事件响应过程分为以下几个阶段:
54 | * 准备
55 | * 检测与分析
56 | * 遏制和根除
57 | * 恢复
58 | * 事后活动
59 |
60 | ### 响应步骤
61 | 1。 [**准备工作**]
62 | 2。 [**准备工作**]
63 | 3。 [**准备工作**]
64 | 4。 [**检测和分析**] 针对无法识别的 API 事件执行检测和分析 CloudTrail
65 | 5。 [**检测和分析**] 对 CloudWatch 执行检测并分析 CloudWatch 中是否存在无法识别的事件
66 | 6。 [**遏制和清除**] 删除或轮换 IAM 用户密钥
67 | 7。 [**遏制和根除**] 删除或轮换无法识别的资源
68 |
69 | ## 准备
70 | * 评估您的安全态势,以识别和修复安全漏洞
71 | * AWS 开发了一种新的开源 Selfersive Security Assement 工具,该工具为客户提供时间点评估,以获得有关其 AWS 账户安全状况的宝贵见解。
72 | * 维护所有资源的完整资产清单,包括服务器、网络设备、网络/文件共享和开发者机器
73 | * 考虑实施 AWS GuardDuty 来持续监控恶意活动和未经授权的行为,从而保护您的 AWS 账户、工作负载和存储在 Amazon SES 中的数据
74 | * 实施 CIS AWS Foundations,包括账户到期和强制证书轮换
75 | * 强制执行多因素身份验证 (MFA)
76 | * 强制执行密码复杂性要求并确定到期时间
77 | * 运行 IAM Credential Report 以列出您账户中的所有用户及其各种证书的状态,包括密码、访问密钥和 MFA 设备
78 | * 使用 AWS IAM Access Analyzer 识别您的组织和账户中的资源,例如与外部实体共享的 IAM 角色。 这使您可以识别对您的资源和数据的意外访问,这是一种安全风险
79 | * 考虑实施 AWS GuardDuty 来持续监控恶意活动和未经授权的行为,从而保护您的 AWS 账户和工作负载。
80 |
81 | ## 上报程序
82 | -“我需要就何时进行 EC2 取证做出业务决定”
83 | -`谁在监视日志/警报,接收它们并对每个日志/警报采取行动? `
84 | -`当发现警报时,谁会收到通知? `
85 | -`公共关系和法律部门何时参与这一进程? `
86 | -“你什么时候会联系 AWS 支持寻求帮助? `
87 |
88 | ## Amazon Q Model
89 |
90 | Amazon Q 的多个组件/服务遭到入侵:
91 |
92 | * 聊天 — Amazon Q 用英语回答有关 AWS 的自然语言问题,包括有关 AWS 服务选择、AWS 命令行界面 (AWS CLI) 使用、文档和最佳实践的问题。 Amazon Q 以信息摘要或分步说明作为回应,并包含指向其信息源的链接。
93 | * 记忆 — Amazon Q 使用您的对话情境为对话期间的未来回复提供信息。
94 | * 代码改进和建议 — 在 IDE 中,Amazon Q 可以回答有关软件开发的问题,改进您的代码并生成新代码。
95 | * 疑难解答和支持 — Amazon Q 可以帮助您理解 AWS 管理控制台中的错误,并允许访问实时的 AWS 支持代理来解决您的 AWS 问题和问题。
96 | * 客户反馈 — Amazon Q 使用您通过反馈表提交的信息和反馈来提供支持或帮助解决技术问题。
97 |
98 | ## 检测和分析
99 |
100 | ### 注意事项和注意事项
101 |
102 | * Q 并非在所有地区都可用(2024-05-22)。 有关当前区域的可用性,请参阅 [开发者指南] (https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/regions.html)
103 | * 模型调用日志目前不是 Q 的功能。有计划在将来添加它。 这是区域级别的设置,不是默认设置
104 | * 终端:
105 | * Q 业务(开发人员):qbusiness.amazonaws.com
106 | * Q Chat:q.amazonaws.com
107 |
108 | ### 事件名称
109 |
110 | 下表中列出的事件名称是调查涉及 Q 的安全事件期间在 CloudTrail 中常见的事件类型的快速参考。在表中列出的事件中,在正常使用模型期间记录的最常见的事件名称是:
111 |
112 | * `获取对话`
113 | * `开始对话`
114 | * `getIndex`
115 | * `ListRetrievers`
116 | * `getApplications`
117 |
118 | | **活动名称** | **描述** |
119 | |:------------------------------------------------------------------
120 | | ***一般权限*** |---|
121 | | `getConversation` | 授予获取与 Amazon Q 的特定对话相关的个人消息的权限 |
122 | | `getTroubleShootingResults` | 授予通过 Amazon Q 获取疑难解答结果的权限 |
123 | | `sendMessage` | 授予向 Amazon 发送消息的权限 Q |
124 | | `startConversation` | 授予与 Amazon 开始对话的权限 Q |
125 | | “startTroubleShootingAnalysis” | StartTroubleShootingAnalysis授予使用 Amazon Q 开始故障排除分析的权限
126 | | `startTroubleShootingResolutingResolutingExplantion` | 授予开始向亚马逊解释疑难解答的权限 Q |
127 | |---|---|
128 | | ***创建应用程序*** |--------|
129 | | `createApplication` | 授予创建应用程序的权限 |
130 | | `deleteApplication` | 授予删除应用程序的权限 |
131 | | `getApplication` | 授予获取应用程序的权限 |
132 | | `ListApplications` | 授予列出应用程序的权限|
133 | | `updateApplication` | 授予更新应用程序的权限 |
134 | |---|---|
135 | | ***创建索引*** |--------|
136 | | `createIndex` | 授予为给定应用程序创建索引的权限 |
137 | | `deleteIndex` | 授予删除索引的权限 |
138 | | `getIndex` | 授予获取索引的权限|
139 | | `listIndices` | 授予列出应用程序索引的权限 |
140 | | `updateIndex` | 授予更新索引的权限 |
141 | |---|---|
142 | | ***创建检索器*** |--------|
143 | | `createRetriever` | 授予为给定应用程序创建检索器的权限 |
144 | | `deletereRetriever` | 授予删除检索器的权限 |
145 | | `getRetriever` | 授予获取寻回犬的权限 |
146 | | `listRetrievers` | 授予列出应用程序检索器的权限 |
147 | | `updateRetriever` | 授予更新寻回犬的权限 |
148 | |---|---|
149 | | ***连接数据源*** |--------|
150 | | `createDataSource` | 授予为给定应用程序和索引创建数据源的权限 |
151 | | `deleteDataSource` | 授予删除数据源的权限 |
152 | | `getDataSource` | 授予获取数据源的权限 |
153 | | `listDataSources` | 授予列出应用程序和索引的数据源的权限 |
154 | | `updateDataSource` | 授予更新数据源的权限 |
155 | | `startDataSourceSyncJobs` | 授予启动数据源同步作业的权限 |
156 | | `stopdataSourceSyncJobs` | 授予停止数据源同步作业的权限 |
157 | | `listDataSourceSyncJobs` | 授予获取数据源同步任务历史记录的权限 |
158 | |---|---|
159 | | ***上传文件*** |--------|
160 | | `batchputDocument` | 授予批量放置文档的权限 |
161 | | `batchDeleteDocument` | 授予批量删除文档的权限 |
162 | |---|---|
163 | | ***聊天和对话管理*** |--------|
164 | | `聊天` | 授予使用应用程序聊天的权限|
165 | | `ChatSync` | 授予使用应用程序同步聊天的权限 |
166 | | `DeleteConversation` | 授予删除对话的权限 |
167 | | `ListConversations` | 授予列出应用程序所有对话的权限 |
168 | | `ListMessages` | 授予列出所有消息的权限 |
169 | |---|---|
170 | | ***用户和群组管理*** |--------|
171 | | `createUser` | 授予创建用户的权限 |
172 | | `deleteUser` | 授予删除用户的权限 |
173 | | `getUser` | 授予获取用户的权限 |
174 | | `updateUser` | 授予更新用户的权限 |
175 | | `putGroup` | 授予放置一组用户的权限 |
176 | | `deleteGroup` | 授予删除群组的权限 |
177 | | `getGroup` | 授予获取群组的权限 |
178 | | `列表组` | 授予列出群组的权限 |
179 | |---|---|
180 | | ***插件*** |----------|
181 | | `createPlugin` | 授予为给定应用程序创建插件的权限 |
182 | | `deletePlugin` | 授予删除插件的权限 |
183 | | `getPlugin` | 授予获取插件的权限 |
184 | | `updatePlugin` | 授予更新插件的权限 |
185 | |---|---|
186 | | ***管理员控件和护栏*** |--------|
187 | | `updateChatControlsConfiguration` | 授予更新应用程序聊天控件配置的权限 |
188 | | `deleteChatControlsConfiguration` | 授予删除应用程序聊天控件配置的权限 |
189 | | `getChatControlsConfiguration` | 授予获取应用程序聊天控件配置的权限 |
190 |
191 | ### CloudTrail 中的数据平面事件
192 |
193 | 默认情况下,CloudTrail 不记录数据事件。 下图显示了作为数据事件记录到 CloudTrail 的 Amazon Q API 操作。 数据事件类型(控制台)列显示了 CloudTrail 控制台中的相应选择。 Amazon Q 资源类型列显示您为记录资源的数据事件而指定的 resources.type 值。 更多信息可在 [Q 用户指南] (https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/logging-using-cloudtrail.html) 中找到。
194 |
195 | **亚马逊 Q 企业应用程序**:AWS:: qBusiness:: 应用程序
196 | * 列出 DatasourceSyncJobs
197 | * 启动 DataSourceSyncJob
198 | * 停止数据源同步作业
199 | * 批处理文档
200 | * 批量删除文档
201 | * 推送反馈
202 | * ChatSync
203 | * 删除对话
204 | * 列出对话
205 | * 列出消息
206 | * 列表组
207 | * DeleteGroup
208 | * getGroup
209 | * putGroup
210 | * 创建用户
211 | * 删除用户
212 | * getUser
213 | * updateUser
214 | * 列出文档
215 |
216 | **亚马逊 Q 企业数据资源**:AWS:: qBusiness:: dataSource
217 | * 列出 DatasourceSyncJobs
218 | * 启动 DataSourceSyncJob
219 | * 停止数据源同步作业
220 |
221 | **亚马逊 Q 商业指数**: AWS:: qBusiness:: Index
222 | * DeleteGroup
223 | * getGroup
224 | * putGroup
225 | * 列表组
226 | * 列出文档
227 | * 批处理文档
228 | * 批量删除文档
229 |
230 | ### 分析
231 |
232 | 如果发生事件,除了调查泄露指标、威胁行为者、时间范围等外,在确认这是与 Amazon Q 资源有关的事件后,还有一些其他问题需要考虑:
233 |
234 | 1。 创建和删除了哪些资源?
235 | 2。 使用了哪些插件?
236 | 3。 在安全事件发生期间,Q 可以访问哪些应用程序?
237 | 4。 Q 访问过这些应用程序吗?
238 | 5。 是否有任何类型的文件上传到 Q?
239 | 6。 Q 可以访问任何 IDE 环境吗?
240 |
241 | ## 遏制和根除
242 |
243 | * [删除或轮换 IAM 用户密钥] (https://console.aws.amazon.com/iam/home#users) 和 [Root 用户密钥] (https://console.aws.amazon.com/iam/home#security_credential);如果您无法识别已公开的特定密钥,则可能希望轮换账户中的所有密钥
244 | * [删除未经授权的 IAM 用户] (https://console.aws.amazon.com/iam/home#users。)
245 | * [删除未经授权的政策] (https://console.aws.amazon.com/iam/home#/policies)
246 | * [删除未经授权的角色] (https://console.aws.amazon.com/iam/home#/roles)
247 | * [撤销临时证书] (https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_disable-perms.html#denying-access-to-credentials-by-issue-time)。 也可以通过删除 IAM 用户来撤销临时证书。
248 | * 注意:删除 IAM 用户可能会影响生产工作负载,因此应谨慎行事
249 | * [轮换 SMTP 凭证] (https://aws.amazon.com/premiumsupport/knowledge-center/ses-create-smtp-credentials/)
250 | * [如何删除 Amazon Q 应用程序] (https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/supported-app-actions.html)
251 | * [如何删除 Amazon Q Retriever] (https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/supported-native-retriever-actions.html)
252 | * [如何删除 Amazon Q Kenra Retriever] (https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/supported-kendra-retriever-actions.html)
253 | * [如何删除上传的文档] (https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/delete-doc-upload.html)
254 | * [如何删除 Amazon Q 数据源] (https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/supported-datasource-actions.html)
255 | * [如何删除亚马逊网络体验] (https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/supported-exp-actions.html)
256 |
257 | ## 恢复
258 |
259 | * 使用最低权限访问策略创建新 IAM 用户
260 |
261 |
262 | ## 数据保护和 IAM 政策
263 |
264 | ### 数据保护:
265 |
266 | * 切勿将机密或敏感信息(例如客户的电子邮件地址)放入标签或自由格式的文本字段(例如 “姓名” 字段)中。 这包括您使用控制台、API、AWS CLI 或 AWS 软件开发工具包使用 Amazon Q 或其他 AWS 服务时。 您在标签或用于名称的自由格式文本字段中输入的任何数据都可用于计费或诊断日志。
267 | * Amazon Q 将您的问题、答案和其他上下文(例如控制台元数据和代码)存储在您的 IDE 中,以生成对问题的回复。
268 | * Amazon Q,数据被发送到并存储在美国地区。 与 Amazon Q 对话期间收集的数据存储在美国东部(弗吉尼亚北部)区域。 故障排除控制台错误会话期间收集的数据存储在美国西部(俄勒冈)区域。
269 |
270 | ### IAM 权限:
271 |
272 | * “AmazonqFullAccess” 托管策略提供完全访问权限,允许与 Amazon Q 进行互动。默认情况下,所有管理员和高级用户都有访问权限,但对于其他用户和角色,客户需要附加 AWS Q 托管策略。 可以基于 Amazon Q 操作来限制权限。
273 | * 要在 AWS 控制台中提问 Amazon Q 问题,IAM 身份需要权限才能执行以下操作:
274 | * 开始对话 [示例:“Q: 开始对话”]
275 | * 发送消息
276 |
277 | * 要解决 Amazon Q 的控制台错误,IAM 身份需要权限才能执行以下操作:
278 | * 开始疑难解答分析
279 | * 获取疑难解答结果
280 | * 开始疑难解答分析
281 |
282 | * 如果附加的策略未明确允许其中一项操作,则在您尝试使用 Amazon Q 时会返回 IAM 权限错误。
283 |
284 |
285 | ## 吸取的教训
286 | “这里是添加贵公司特有的项目的地方,这些项目不一定需要 “修复”,但在执行本手册时要根据运营和业务要求了解这些内容。 `
287 |
288 | ## 已解决的待办事项列表
289 |
290 | ## 当前待办事项列表
--------------------------------------------------------------------------------
/docs/zh/zh.Bedrock_Response.md:
--------------------------------------------------------------------------------
1 | # 响应 Amazon Bedrock 安全事件的安全手册
2 | 本文档仅供参考。 它代表了截至本文档发布之日亚马逊网络服务 (AWS) 目前提供的产品和做法,如有更改,恕不另行通知。 客户有责任对本文档中的信息以及对 AWS 产品或服务的任何使用进行独立评估,每种产品或服务均按 “原样” 提供,不提供任何形式的明示或暗示担保。 本文档不设定 AWS、其关联公司、供应商或许可方的任何担保、陈述、合同承诺、条件或保证。 AWS 对其客户的责任和责任由 AWS 协议控制,本文档不是 AWS 与其客户之间任何协议的一部分,也不会对其进行修改。
3 |
4 | © 2024 亚马逊网络服务公司或其附属公司。 保留所有权利。 本作品采用知识共享署名 4.0 国际许可协议进行许可。
5 |
6 | 本 AWS 内容的提供受到 http://aws.amazon.com/agreement 上的 AWS 客户协议条款或客户与亚马逊网络服务公司或亚马逊网络服务 EMEA SARL 或两者之间的其他书面协议的约束。
7 |
8 | ## 联系人
9 |
10 | 作者:`作者姓名`\
11 | 审批人:`审批人姓名`\
12 | 最后批准日期:
13 |
14 | ## 执行摘要
15 |
16 | 作为我们对客户的持续承诺的一部分,AWS 正在提供这个
17 | 安全事件响应手册,描述了所需的步骤
18 | 调查 Amazon Bedrock 成为您的 AWS 账户内未经授权使用的来源或目标的安全事件。 本文档的目的是就您怀疑发生安全事件后应采取的措施提供规范性指导。
19 |
20 | ! [图片] (/images/nist_life_cycle.png)
21 |
22 | *AWS 事件响应的各个方面*
23 |
24 | ## 准备
25 |
26 | 为了快速有效地执行事件响应活动,让组织中的人员、流程和技术做好准备至关重要。 查看 [*AWS 安全事件响应指南*] (https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/preparation.html),并实施必要的步骤来帮助确保所有三个域做好准备。
27 |
28 | ## 如何联系 AWS 支持部门寻求帮助
29 |
30 | 如果您怀疑自己的 AWS 账户或组织中的凭证遭到泄露,请务必立即通知 AWS。 以下是与 AWS Support 合作的步骤:
31 |
32 | ### 提交 AWS 支持案例
33 |
34 | -登录您的 AWS 账户:
35 | -这是第一个受到安全事件影响的用于验证 AWS 账户所有权的 AWS 账户。
36 | -注意:如果您无法访问账户,请使用 [此表格] (https://support.aws.amazon.com/#/contacts/aws-account-support/) 提交支持请求。
37 | -选择 “*服务*”、“*支持中心*”、“*创建案例*”。
38 | -选择问题类型 “*账户和账单” *。
39 | -选择受影响的服务和类别:
40 | -示例:
41 | -服务:账户
42 | -类别:安全
43 | -选择严重性:
44 | -企业支持或入口客户:*关键业务风险问题*。
45 | -业务支持客户:*紧急业务风险问题*。
46 | -描述您的问题或问题:
47 | -详细描述您遇到的安全问题、受影响的资源以及业务影响。
48 | -首次识别安全事件的时间。
49 | -迄今为止的事件时间表摘要。
50 | -您收集的工件(屏幕截图、日志文件)。
51 | -您怀疑遭到泄露的 IAM 用户或角色的 ARN。
52 | -受影响资源和业务影响的描述。
53 | -贵组织中的参与程度(例如:“此安全事件具有首席执行官和董事会的知名度”)。
54 | -可选:添加其他问题联系人。
55 | -选择 “*联系我们*”。
56 | -首选联系语言(可能视供应情况而定)
57 | -首选联系方式:网络、电话或聊天(推荐)
58 | -可选:其他案例联系人
59 | -*点击 “提交” *
60 |
61 | -**升级**:请尽快通知您的 AWS 账户团队,以便他们动用必要的资源并根据需要进行上报。
62 |
63 | **注意:** 请务必确认为每个 AWS 账户定义了 “备用安全联系人”。 欲了解更多详情,请参阅 [this
64 | 文章] (https://aws.amazon.com/blogs/security/update-the-alternate-security-contact-across-your-aws-accounts-for-timely-security-notifications/)。
65 |
66 |
67 | ## Amazon Bedrock
68 |
69 | Amazon Bedrock 受到多个组件/服务的威胁:
70 |
71 | * 模型-可以是领先的 AI 初创公司的基础模型,也可以是定制模型
72 | * 推理-根据提供给模型的输入生成输出的过程
73 | * 知识库-允许您将数据源积累到信息存储库中
74 | * 代理-帮助您的最终用户根据组织数据和用户输入完成操作
75 |
76 | 当 AWS 账户(授权或未授权)中的用户访问 Bedrock 时,他们最终会通过模型、知识库或代理进行访问。 发出的任何提示及其响应都将在模型调用日志中发布,前提是该日志是之前设置的 (https://docs.aws.amazon.com/bedrock/latest/userguide/model-invocation-logging.html)。 欲了解更多信息,请在此处查看 Amazon Bedrock 的用户指南:https://docs.aws.amazon.com/bedrock/
77 |
78 | 下图描绘了提示、[代理] (https://docs.aws.amazon.com/bedrock/latest/userguide/agents-how.html) 和知识库之间的关系,可能是可视化数据流的好方法(摘自 [用户指南] (https://docs.aws.amazon.com/bedrock/latest/userguide/what-is-bedrock.html))
79 |
80 | ! [构建时 API 操作期间的代理构建] (/images/bedrock-01.png)
81 |
82 |
83 | ## 检测
84 |
85 | ### 注意事项和注意事项
86 |
87 | * 基岩并非在所有地区都可用(2024-06-04)。 有关当前地区的可用性,请参阅 [链接] (https://docs.aws.amazon.com/bedrock/latest/userguide/bedrock-regions.html)
88 | * 需要模型调用日志才能查看发送给模型的提示和响应。 这是区域级别的设置,不是默认设置
89 | * 对于 CloudTrail,EventSource = bedrock.amazonaws.com
90 | * ***invokeModel*** API 是一个**只读**事件
91 |
92 | ### 事件名称
93 |
94 | 下表中列出的事件名称是调查涉及 Bedrock 的安全事件期间通常在 CloudTrail 中发现的事件类型的快速参考。 在表中列出的事件名称中,在正常使用模型期间记录的最常见的事件名称是:
95 |
96 | * `获取基础模型可用性`
97 | * `invokeModel`
98 | * `使用响应流调用模型`
99 |
100 | | **活动名称** | **只读** | **描述** |
101 | |:----------------------------------------------------------------------------------
102 | | ***与模特相关的事件*** |---|---|
103 | | `getFoundationModelaVailability` | TRUE | 检索基础模型的可用性 |
104 | | `getuseCaseForModelAccess` | TRUE | 检索指定模型的用例 |
105 | | `invokeModel` | TRUE | 使用请求正文中提供的输入调用指定的 Bedrock 模型来运行推理 |
106 | | `invokeModelWithResponseStream` | TRUE | 使用请求正文中提供的输入使用分块调用指定的 Bedrock 模型来运行推理 |
107 | | `listCustomModels` | TRUE | 列出已创建的 Bedrock 自定义模型 |
108 | | `listFoundationModels` | TRUE | 列出可以使用的基础模型 |
109 | | `listProvisionedModelThroughputs` | TRUE | 列出模型的预配置容量 |
110 | |---|---|---|
111 | | ***与模型调用日志相关的事件*** |---|---|
112 | | `deleteModelinvocationLoggingConfiguration` | FALSE | 删除现有的调用日志配置 |
113 | | `getModelinvocationLoggingConfiguration` | TRUE | 检索现有的调用日志配置 |
114 | | `putModelinvocationLoggingConfiguration` | FALSE | 创建现有的调用日志配置 |
115 | |---|---|---|
116 | | ***与知识库相关的事件*** |---|---|
117 | | `AssociateAgentKnowledgebase` | FALSE | 此操作记录代理创建期间或创建代理之后知识库的关联 |
118 | | `createDataSource` | FALSE | 创建数据源 |
119 | | `CreateKnowledgebase` | FALSE | 创建知识库 |
120 | | `deleteKnowledgebase` | FALSE | 删除知识库 |
121 | | `getDataSource` | TRUE | 获取有关数据源的信息 |
122 | | `getKnowledgebase` | TRUE | 检索现有的知识库 |
123 | | `ListDataSources` | TRUE | 列出可用的数据源 |
124 | | `ListKnowledgebases` | TRUE | 列出现有知识库 |
125 | |---|---|---|
126 | | ***与代理相关的事件*** |---|---|
127 | | `createAgent` | FALSE | 创建一个新的代理和一个指向草稿代理版本的测试代理别名 |
128 | | `createAgentactionGroup` | FALSE | 为代理创建操作组。 操作组表示代理可以通过定义代理可以调用的 API 和调用它们的逻辑来为客户执行的操作 |
129 | | `createAgentalias` | FALSE | 为代理创建新别名 |
130 | | `deleteAgent` | FALSE | 删除之前创建的代理 |
131 | | `getAgent` | TRUE | 检索现有代理 |
132 | | `getAgentalias` | TRUE | 检索现有的别名 |
133 | | `invokeAgent` | FALSE | 发送提示代理处理和回复 |
134 | | `listagentActionGroups` | TRUE | 列出代理的操作组以及有关每个操作组的信息 |
135 | | `listagentaliases` | TRUE | 列出代理的别名以及每个代理的相关信息 |
136 | | `listagentKnowledgebases` | TRUE | 列出与代理相关的知识库以及有关每个代理的信息 |
137 | | `ListAgents` | TRUE | 列出现有代理 |
138 | | `listagentVersions` | TRUE | 列出代理的版本以及有关每个版本的信息 |
139 | | `PrepareAgent` | FALSE | 准备现有的 Amazon Bedrock Agent 以接收运行时请求 |
140 | |---|---|---|
141 | | ***与招聘相关的事件*** |---|---|
142 | | `getingestionJob` | TRUE | 获取有关摄取作业的信息,其中将数据源添加到知识库中 |
143 | | `listingestionJobs` | TRUE | 列出数据源的摄取任务以及每个采集任务的相关信息 |
144 | | `startingestionJob` | FALSE | 开始摄取作业,将数据源添加到知识库中 |
145 | |---|---|---|
146 | | ***与 RAG 相关的事件*** |---|---|
147 | | `Retrieve` | TRUE | 从知识库中检索提取的数据(被视为数据事件,不会显示在 CloudTrail 中)|
148 | | `RetrieveAndGenerate` | FALSE | 发送用户输入以执行检索和生成(被视为数据事件,不会显示在 CloudTrail 中)|
149 |
150 | ### 基岩使用截图
151 |
152 | 下面的屏幕截图可以为事件响应者提供视觉帮助,帮助他们解释调查期间发现的事件。 下面的每张图片都表示所采取的与记录的事件名称相匹配的操作
153 |
154 | ---
155 |
156 | **获取基础模型可用性**
157 |
158 | 展开屏幕截图
159 | -
160 | 此事件是在浏览到 Amazon Bedrock 主页面时首次记录的
161 |
162 | ! [getFoundationModelaVailability] (/images/bedrock-02.png)
163 |
164 |
165 |
166 | ---
167 |
168 | **列出基础模型**和**列出自定义模型**
169 |
170 | 展开屏幕截图
171 | -
172 | 浏览到 “基础模型” 和 “自定义模型” 页面时会记录这些事件
173 |
174 | ! [列表基础模型和列表自定义模型] (/images/bedrock-03.png)
175 |
176 |
177 |
178 | ---
179 |
180 | **InvokeModel**
181 |
182 | 展开屏幕截图
183 | -
184 | 调用模型时会记录此事件。
185 |
186 | ! [模型调用示例] (/images/bedrock-04.png)
187 |
188 | 模型调用的 CloudTrail 事件记录示例:
189 |
190 | ! [适用于 InvokeModel 的 CloudTrail] (/images/bedrock-05.png)
191 |
192 |
193 |
194 | ---
195 |
196 | **invokeModel**-其他示例
197 |
198 | 展开屏幕截图
199 | -
200 | 下图提供了有关如何记录 `invokeModel` 事件名称的其他示例。
201 | 第一张图片显示了各种模型调用方法之间的区别:
202 | (a) 使用知识库调用模型
203 | (b) 直接调用模型
204 | (c) 使用代理调用模型
205 |
206 | 请注意,显示的*用户名*会有所不同,具体取决于模型的调用方式
207 |
208 | ! [代理和知识库模型调用] (/images/bedrock-06.png)
209 |
210 | 使用 CloudTrail 中 “InvokeModel” 事件记录的两张并排屏幕截图突出显示了这种差异
211 | 左图 = 直接调用模型
212 | 右图 = 使用知识库调用模型
213 |
214 | ! [适用于 InvokeModel 的 CloudTrail] (/images/bedrock-07.png)
215 |
216 |
217 |
218 |
219 | ---
220 |
221 | **invokeModel**或**invokeModelwithResponseStream**-提示和响应
222 |
223 | 展开屏幕截图
224 | -
225 | 当 “invokeModel” 和 “invokeModelWithResponseStream” 事件显示在 CloudTrail 中时,模型调用日志(配置后)还会显示与每个 “invokeModel” 事件相对应的提示和响应。 下图取自已发送到 S3 的模型调用日志,其中包含使用的提示以及模型的输出或响应(下方有 Athena DDL):
226 |
227 | ! [S3 模型调用示例] (/images/bedrock-09.png)
228 |
229 |
230 |
231 | ---
232 |
233 | **putModelIncationLogging配置**
234 |
235 | 展开屏幕截图
236 | -
237 | 在 AWS 账户中配置模型调用日志时,会记录此事件
238 |
239 | ! [配置模型调用日志] (/images/bedrock-10.png)
240 |
241 |
242 |
243 | ---
244 |
245 | **创建知识库**
246 |
247 | 展开屏幕截图
248 | -
249 | 创建知识库时会记录以下 CloudTrail 事件记录。 事件记录包括发出请求的身份和知识库的名称。 可以在使用 `invokeModel` 捕获模型调用的后续日志中引用知识库的名称
250 |
251 | ! [创建知识库] (/images/bedrock-11.png)
252 |
253 |
254 |
255 | ---
256 |
257 | **CreateAgent**
258 |
259 | 展开屏幕截图
260 | -
261 | 下图描绘了使用控制台创建代理的过程。 记录的结果事件名称是 `createAgent`
262 |
263 | ! [创建代理] (/images/bedrock-12.png)
264 |
265 |
266 |
267 | ---
268 |
269 | **检索**和**检索并生成**
270 |
271 | 展开屏幕截图
272 | -
273 | 测试知识库时,下图中显示了 “检索” 和 “检索并生成” 事件名称的示例。 请注意,“检索” 仅测试从知识库中检索数据,而 “RetrieveAndGenerate” 测试从知识库中检索数据并生成响应:
274 |
275 | ! [检索和检索并生成] (/images/bedrock-13.png)
276 |
277 |
278 |
279 | ---
280 |
281 | ### Athena DDL
282 |
283 | 使用下面的 DDL 代码,根据存储在 Amazon S3 存储桶中的模型调用日志在 Athena 中创建表。 确保使用正确的 S3 URI 作为代码片段末尾的存储段位置:
284 |
285 | ```
286 | 创建外部表 bedrock_model_invocation_metadata_unfilter (
287 | 架构类型字符串,
288 | 架构版本字符串,
289 | 时间戳字符串,
290 | 账户 ID 字符串,
291 | 身份结构,
292 | 区域字符串,
293 | requestId 字符串,
294 | 操作字符串,
295 | modelID 字符串,
296 | 错误代码字符串,
297 | 输入结构 ,
301 | 输出结构
309 | )
310 | 行格式 SERDE 'org.openx.data.jsonserde.jsonSerde'
311 | 位置 's3:////'
312 | ```
313 |
314 | ## 已解决的待办事项列表
315 | -作为事件响应者,我需要能够监控所有关键的 Bedrock 事件
316 | -作为一名事件响应者,我需要一本关于大规模查询 Bedrock Cloudtrail 事件的剧本
317 |
318 | ## 当前待办事项列表
--------------------------------------------------------------------------------
/docs/zh/zh.Cryptojacking.md:
--------------------------------------------------------------------------------
1 | # 业务中断和影响力 PlayBook-比特币挖矿
2 | 本文档仅供参考。 它代表了截至本文档发布之日 Amazon Web Services (AWS) 提供的当前产品和实践,这些产品和做法如有更改,恕不另行通知。 客户有责任对本文档中的信息以及对 AWS 产品或服务的任何使用情况进行自己的独立评估,每种产品或服务都是 “按原样” 提供的,无论是明示还是暗示的担保。 本文档不创建 AWS、其附属公司、供应商或许可方的任何担保、陈述、合同承诺、条件或保证。 AWS 对客户的责任和责任受 AWS 协议的控制,本文档既不是 AWS 与其客户之间的任何协议的一部分,也不修改。
3 |
4 | © 2024 Amazon 网络服务公司或其附属公司。 保留所有权利。 本作品根据知识共享署名 4.0 国际许可协议进行许可。
5 |
6 | 提供此 AWS 内容须遵守 http://aws.amazon.com/agreement 提供的 AWS 客户协议的条款或客户与 Amazon Web Services, Inc. 或 Amazon 网络服务 EMEA SARL 或两者之间的其他书面协议。
7 |
8 | ## PlayBook 研讨会
9 | 可以从 [AWS 事件响应行动手册研讨会] 下载比特币挖矿的研讨会和相关行动手册(https://github.com/aws-samples/aws-incident-response-playbooks-workshop/blob/main/playbooks/crypto_mining/EC2_crypto_mining.md)
--------------------------------------------------------------------------------
/docs/zh/zh.Playbook_Creation_Process.md:
--------------------------------------------------------------------------------
1 | # PlayBook:PlayBook /Runbook 创建过程
2 | 本文档仅供参考。 它代表了截至本文档发布之日 Amazon Web Services (AWS) 提供的当前产品和实践,这些产品和做法如有更改,恕不另行通知。 客户有责任对本文档中的信息以及对 AWS 产品或服务的任何使用情况进行自己的独立评估,每种产品或服务都是 “按原样” 提供的,无论是明示还是暗示的担保。 本文档不创建 AWS、其附属公司、供应商或许可方的任何担保、陈述、合同承诺、条件或保证。 AWS 对客户的责任和责任受 AWS 协议的控制,本文档既不是 AWS 与其客户之间的任何协议的一部分,也不修改。
3 |
4 | © 2024 Amazon 网络服务公司或其附属公司。 保留所有权利。 本作品根据知识共享署名 4.0 国际许可协议进行许可。
5 |
6 | 提供此 AWS 内容须遵守 http://aws.amazon.com/agreement 提供的 AWS 客户协议的条款或客户与 Amazon Web Services, Inc. 或 Amazon 网络服务 EMEA SARL 或两者之间的其他书面协议。
7 |
8 | ## 联系点
9 |
10 | 作者:`作者姓名`\
11 | 批准者:`批准者姓名`\
12 | 最后批准日期:2024 年 3 月 25 日
13 |
14 | ## NIST 800-61r2 阶段
15 |
16 | 准备
17 |
18 | ## 执行摘要
19 | 本行动手册概述了创建新的游戏手册/运行手册、将文档从草稿过渡到已批准以及使用 GitLab 重新验证要求的过程。
20 |
21 | 如需创建更高级的行动手册,请参考 [AWS 事件响应行动手册研讨会](https://gitlab.aws.dev/fredski/aws-incident-response-playbooks-workshop/-/blob/main/playbooks/crypto_mining/EC2_crypto_mining.md)
22 |
23 | ## 指导
24 |
25 | > 维护我们的运行手册以深入了解并快速向客户交付结果非常重要。 Per Matthew Helmke “作为更广泛的实践的一部分,Runbook 帮助我们,所有这些做法都旨在建立可靠性。 使运行手册保持最新是站点可靠性工程的重要组成部分。”
26 | (< https://www.gremlin.com/blog/ensuring-runbooks-are-up-to-date/ >)
27 |
28 | 我们的团队使用 Github 来管理文档。 看 [参考文献] (.. /playbook_creation_Process.md/ #references) 来查看我们的流程流程的一些缩写步骤。
29 |
30 | ## 新PlayBook /Runbook
31 |
32 | ### GUI 程序
33 |
34 | * 为流程跟踪创建问题
35 | * 创建一个新的源分支进行工作
36 | * 导航到分支的根
37 | * 选择 “Web IDE” 按钮
38 | * 要创建项目,请突出显示左边距文件夹并选择下拉箭头以获取选项
39 | * 选择 “新建文件”
40 | * 注意:从现有剧本中复制内容以进行格式化可能会有所帮助
41 | * 我们的文档使用 [GitHub 调味降价](https://github.github.com/gfm/)
42 |
43 | * 确保遵守我们的图书馆的标准命名约定
44 | * 游戏手册:`# PlayBook:PlayBook /Runbook `
45 | * 工具指南:`# 工具:ToolName`
46 | * 这是文档中唯一使用标题 1 (H1) 的时间
47 |
48 | * 创建指向相关问题的链接
49 | * 示例:`关联问题:(. /问题/1) `
50 |
51 | * 完成文档后:
52 | * 添加指向问题中文档的链接作为评论
53 | * 在问题中添加标签 “REVEW”
54 | * 在 “客户通信方法” 中发布包含问题链接的消息,并请求审核/评论。
55 |
56 | * 为了使 PlayBook 获得批准,必须至少两 (2) 名团队成员在相关问题中查看并添加了他们的姓名和评论
57 |
58 | * 更新和实施对文档的任何建议或更正
59 |
60 | * 一旦您的文档经过审核并进行了所有更正,请提交您的文档以便审批流程最终完成。
61 |
62 | * 进入问题并将受让人更改为批准人
63 | * 进入这个问题
64 | * 将已提交批准的标签添加到您的问题中
65 | * 在 “受让人” 旁边的右边栏中选择 “编辑”
66 | * 将受让人更改为 “批准者”
67 | * 向 “批准者” 发送说明,让他知道文档已准备好进行最终审查
68 | * 批准后,在自述文件/剧本中添加指向该文档/剧本的链接
69 | * 示例:`[PlayBook 创建过程] (. /docs/PlayBook_creation_Process.md) `
70 | * 提交合并请求
71 |
72 | * 注意:请记住,合并请求之前的所有步骤都必须在你的工作分支内完成
73 |
74 | * 此任务的 SLA 为提交文档后的 7 个日历日。
75 | * 如果在 SLA 期限内没有收到任何回复以供批准,请通过向 “用户 A”、“用户 B”、“用户 C” 发送铃声说明来上报。
76 |
77 | ### CLI 程序
78 |
79 | 待定
80 |
81 | ## PlayBook /Runbook 更新
82 |
83 | ### 程序
84 |
85 | * 为流程跟踪创建问题
86 | * 创建一个新的源分支进行工作
87 | * 导航到分支的根
88 | * 选择 “Web IDE” 按钮
89 | * 打开一个新问题以跟踪更改的进度
90 | * 删除所有现有标签
91 | * 添加标签草稿
92 | * 创建指向相关问题的链接
93 | * 你可以将你的问题附加到列表中
94 | * 示例:(问题 1)、(问题 1)、(问题 3)
95 |
96 | * 完成文档后:
97 | * 添加指向问题中文档的链接作为评论
98 | * 在问题中添加标签 “REVEW”
99 | * 在 “客户通信机制” 中发布包含问题链接的消息,并请求审核/评论。
100 |
101 | * 为了使 PlayBook 获得批准,必须至少两 (2) 名团队成员在相关问题中查看并添加了他们的姓名和评论
102 |
103 | * 更新和实施对文档的任何建议或更正
104 |
105 | * 一旦您的文档经过审核并进行了所有更正,请提交您的文档以便审批流程最终完成。
106 |
107 | * 进入问题并将受让人更改为批准人
108 | * 进入这个问题
109 | * 将已提交批准的标签添加到您的问题中
110 | * 在 “受让人” 旁边的右边栏中选择 “编辑”
111 | * 将受让人更改为 “批准者”
112 | * 在 Chime 中发送注释给 “批准者”,让他们知道文档已准备好进行最终审查
113 | * 批准后,在自述文件/剧本中添加指向该文档/剧本的链接
114 | * 示例:`[PlayBook 创建过程] (. /docs/PlayBook_creation_Process.md) `
115 | * 提交合并请求
116 |
117 | * 注意:请记住,合并请求之前的所有步骤都必须在你的工作分支内完成
118 |
119 | * 此任务的 SLA 为提交文档后的 7 个日历日。
120 | * 如果在 SLA 期限内没有收到任何回复以供批准,请通过向 “用户 A”、“用户 B”、“用户 C” 发送备注进行上报
121 |
122 | ### CLI 程序
123 |
124 | 待定
125 |
126 | ## 审批流程
127 |
128 | ### 任务所有者:
129 |
130 | 团队所有者
131 |
132 | ### 服务级别协议
133 |
134 | -作者提交后 7 个日历日
135 |
136 | ### 程序
137 |
138 | * 在 GitHub 中查看文档和相关问题
139 |
140 | * 从文档标题中删除 “评论”
141 |
142 | * 删除声明这是文档中的草稿行动手册
143 |
144 | * 在联系点下
145 | -将您的名称添加/更新到审批人中
146 | -在批准文档时添加/更新 “最后批准日期” 为 YYYY/MM/DD
147 |
148 | * 将问题重新分配给申请者
149 | * 在该问题中添加注释说明该手册已获批准,然后继续处理合并请求
150 |
151 | ## 参考
152 |
153 | ### 使用 GitHub:创建问题
154 |
155 | 我们使用问题跟踪正在进行和已完成的工作。 此外,这有助于团队在审核和批准流程中过渡。 这也允许审阅者的评论解决存储库对象中的任何内容,作为我们的文档栏提取过程的一部分。
156 |
157 | * 图形用户界面:GUI 允许您从 Web 浏览器与 GitHub 交互以与此存储库进行交互
158 | 1. 使用您喜欢的 Web 浏览器导航到 GitHub 存储库
159 | 1. 从顶部菜单中选择问题来打开问题
160 | 1. 选择 “新问题”
161 | 1. 添加标题和说明你正在处理的内容
162 | 1. 分配给自己(这将允许在以后的步骤中进行跟踪)
163 | 1. 对于里程碑,选择 “此处的客户里程碑”
164 | 1. 对于标签,请选择适合您的问题的任何选项
165 | * 对于新文档,请确保选择 “草稿”
166 | 1. 选择 “提交问题”
167 | 1. 在新的问题页面上,在右边栏中的锁定问题 > 编辑 > 锁定
168 |
169 | * 命令行界面:CLI 允许您以命令行形式与 GitHub 进行交互
170 |
171 | ### 使用 GitHub:创建一个分支以在其中工作
172 |
173 | 我们在个别分支机构工作,因此正在进行的工作不会干扰其他分支机构的实时工作。
174 |
175 | * 图形用户界面:GUI 允许你通过 Web 浏览器与 [GitHub 交互以与此存储库进行交互] (https://docs.github.com/en/github/collaborating-with-pull-requests/proposing-changes-to-your-work-with-pull-requests/creating-and-deleting-branches-within-your-repository)
176 |
177 | * 命令行界面:CLI 允许您以命令行形式与 GitHub 进行交互
178 |
179 | ### 使用 GitHub:创建合并请求
180 |
181 | 合并请求允许在与父存储库合并之前进行辅助栏提升者审查。
182 |
183 | * [图形用户界面] (https://docs.github.com/en/github/collaborating-with-pull-requests/incorporating-changes-from-a-pull-request/about-pull-request-merges)
184 |
185 | * 命令行界面:CLI 允许您以命令行形式与 GitHub 进行交互
186 |
187 | ## 积压项目
--------------------------------------------------------------------------------
/docs/zh/zh.Playbook_Development_Guide.md:
--------------------------------------------------------------------------------
1 | # Playbook 开发指南
2 | 本文档仅供参考。 它代表了截至本文档发布之日 Amazon Web Services (AWS) 提供的当前产品和实践,这些产品和做法如有更改,恕不另行通知。 客户有责任对本文档中的信息以及对 AWS 产品或服务的任何使用情况进行自己的独立评估,每种产品或服务都是 “按原样” 提供的,无论是明示还是暗示的担保。 本文档不创建 AWS、其附属公司、供应商或许可方的任何担保、陈述、合同承诺、条件或保证。 AWS 对客户的责任和责任受 AWS 协议的控制,本文档既不是 AWS 与其客户之间的任何协议的一部分,也不修改。
3 |
4 | © 2024 Amazon 网络服务公司或其附属公司。 保留所有权利。 本作品根据知识共享署名 4.0 国际许可协议进行许可。
5 |
6 | 提供此 AWS 内容须遵守 http://aws.amazon.com/agreement 提供的 AWS 客户协议的条款或客户与 Amazon Web Services, Inc. 或 Amazon 网络服务 EMEA SARL 或两者之间的其他书面协议。
7 |
8 | ## PlayBook 作为代码:
9 |
10 | * 游戏手册应以降价格式存储在 git 存储库中。
11 | * 为每个 PlayBook 创建一个易于打印的自包含版本,以便与那些无权访问 git 存储库的人共享。
12 | * 建议允许事件响应团队成员将 git 项目分支并克隆到他们的本地环境,例如 PC、VDI 或笔记本电脑。
13 | * 在对分支进行改进时,请将其提交审核、批准并合并到主分支机构中。
14 | * git 项目将托管文档和代码。
15 | * 考虑使用 CD/CI 管道来促进行动手册的治理和部署。
16 |
17 | ## PlayBook 结构:
18 |
19 | 1. ** 威胁 **:描述行动手册已解决的威胁
20 | 2. **Endgam**:根据 _ [* AWS 云采用框架 (CAF) *] 的安全视角描述行动手册的预期结果(https://docs.aws.amazon.com/whitepapers/latest/aws-caf-security-perspective/aws-caf-security-perspective.html)_)和业界接受的安全模式,例如漏洞评估和影响分析。
21 | 3. ** 响应步骤 **:根据 * [_NIST 800-61r2-计算机安全事件响应指南 _] (https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf) * 提供按时间顺序对事件作出响应的逐步程序。 请参阅图 A。
22 | 4. ** 模拟 ** [**CODE **]:提供分步过程来生成触发启动响应的警报所需的指标。
23 | 5. ** 事件分类、处理和检测 **:按 [*_MITRE ATT&CK_* 企业策略] (https://attack.mitre.org/tactics/enterprise/) 对行动手册进行分类,列举运行行动手册所需的工具,列举用于检测生成警报的指标(又名调查结果),日志生成指标和促进分析所需的来源以及所涉团队.
24 | 6. ** 事件处理流程 **:响应的每个学科应遵循的规范性指导。 这些不是按时间顺序排列的执行顺序,它们是在进行 **3 时参考的。 响应步骤 **。 在整个响应过程中,必须记录所有执行的操作,并将所有收集的证据集中在已知存储库中,并根据事件响应团队 RACI 提供适当的权利。 同样至关重要的是,在响应期间拥有合适的沟通渠道,并具有集中编排能力,这将使事件响应团队成员能够专注于自己的专长范围内的任务。 集中编排功能将保持适当的沟通流动,并确保所有需要的活动都在业务知识和批准的情况下进行。
25 | 1. ** 分析-警报验证 **:警报通知的内容需要直接对照源生成指标(即 “地面真相”)进行验证。 这是必需的,原因至少有两个。 首先,一般来说,随着原始指标流过不同的系统而转变,直到它们到达事件响应小组,这可能导致意外修改重大事件数据。 其次,通知可能是由于机器或人为配置错误而生成的。
26 | 2. ** 分析-警报分类 **:根据警报提供的指标,搜索用于生成这些指标的日志构建上下文以便进行分析。
27 | 3. ** 分析-范围 **:在可用和警报相关的日志源中搜索证据,以确定演员在事件生命周期内执行的活动。
28 | 4. ** 分析-影响 **:确定哪些工作负载和组件受到参与者的活动及其程度的影响。 制定假设以与更大的事件响应团队讨论,以确定对业务的影响并确定后续步骤的优先顺序。
29 | 5. ** 遏制:** 确定在进展或分析阶段结束期间事件的遏制策略。 适当的策略取决于范围和影响,并得到工作负载所有者的批准。 遏制活动应与受影响工作负载的威胁模型和事件响应期间的实际情境保持一致。 应该提供一些不同的或补充的遏制选项,以尽量减少可能的附带影响,例如停机时间、数据销毁等遏制措施。 在此阶段,必须在收集证据过程中给予应有的谨慎。 尽管在分析过程中开始取证数据聚合,例如 CloudTrail 日志、VPC Flow 日志和 GuardDuty 日志,但这是快照和备份的最合适时间,因为服务已重新配置以防止进一步活动,例如 EC2 实例快照、RDS 数据库备份和 Lambda 触发器移除。
30 | 6. ** 根除和恢复 **:对手提供的资源被禁用或完全删除,并确定所有受影响资源的漏洞和配置问题。 在工作负载所有者批准后,所有资源都会正确重新配置,并应用安全更新,以降低相同或类似漏洞获得成功的可能性。 已完成对工作负载安全状况的重新评估。 在应用配置更改和安全更新之后,如果工作负载的安全态势仍对业务构成不可接受的风险程度,则应起草中长期架构更改建议,并提交由负责任和负责任的团队评估。
31 | 7. ** 事故后活动 **:在完成之前的所有阶段之后,将以 “经验教训” 课程的形式对事件进行深入分析。 公布了事件响应时间表,并讨论了重点放在为加强应对下一次安全事件的准备而需要做出的更改。 在此阶段,事件响应小组的重点是加强指令、预防、检测和响应控制(参见图 B),不仅针对受影响的工作负载,而且针对企业拥有的所有工作负载。
32 |
33 | ! [图片] (/images/nist_life_cycle.png)
34 |
35 | ** 图 A-事件响应生命周期 **
36 |
37 |
38 | ! [图片] (/images/image-caf-sec.png)
39 |
40 | ** 图 B-AWS 云采用框架的安全视角 **
41 |
42 | ## 开发过程:
43 |
44 | 1. 选择游戏手册将要解决的威胁,然后在 ``1 中描述它。 威胁部分 ```。 根据需要提供尽可能多的参考资料,以帮助剧本读者理解它。
45 | 2. 查看行动手册模板部分 ``2。 终局部分 ```并进行更改或保持原样。 它们基于 AWS 安全和行业模式,例如 [CAF 的安全视角] (https://docs.aws.amazon.com/whitepapers/latest/aws-caf-security-perspective/aws-caf-security-perspective.html)、[AWS 架构完善框架的安全支柱] (https://d1.awsstatic.com/whitepapers/architecture/AWS-Security-Pillar.pdf)、[AmazonWeb 服务:安全流程概述] (https://d0.awsstatic.com/whitepapers/aws-security-whitepaper.pdf)、[AWS 安全事件响应指南] (https://d1.awsstatic.com/whitepapers/aws_security_incident_response.pdf) 和 [NIST Special Publication 800-61r2 Computer Security Incident Handling Guide] (https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)。
46 | 3. 填写 ``5 部分。 事件分类、处理和检测 ```,并提供适当的信息。 如果在构建剧本的其他部分的过程中,你最终发现了新的指标、你可能想要使用的其他工具等,你可以稍后回到本部分。
47 | 4. 定义触发威胁指标的步骤。 记录流程、AWS 资源、IAM 委托人、所需的策略和代码,例如 AWS CLI 命令、基于 AWS 开发工具包的代码,最好包装在 shell 脚本或支持的语言代码程序中。 添加屏幕截图,说明使用 CloudWatch Insights 或 Athena 等分析工具生成的模拟活动生成的各种日志。
48 | 5. 在 ``3 节下制定应对步骤。 响应步骤 ``部分突出显示每个步骤所属的 NIST IR 生命周期阶段。 应按照与受影响工作负载的威胁模型相一致的时间顺序列举这些步骤。 在剧本中明确指出,按时间顺序排列的顺序不是不可变的,可以根据事件的上下文进行更改。 建议任何偏离既定执行命令的行为都必须经过先前批准的审查程序,以尽量减少可能进一步损害受影响工作量的行动的风险。
49 | 6. 在第 `6 节中创建支持 NIST IR 生命周期每个阶段的 AWS CLI 命令和 Athena 查询。 事件处理过程 ```。 一系列查询和命令应从一般角度满足每个阶段的要求,并以屏幕截图的形式记录其输出。 这些命令使用类似或等于事件响应者权利的角色针对受影响的帐户运行。 查询将针对使用 Athena 的相关日志存储库运行,最低限度为 CloudTrail 和 VPC Flow 日志。 如果需要分析的日志无法通过 Athena 获得,请使用可用的分析工具,例如 SIEM 或大数据解决方案。
--------------------------------------------------------------------------------
/docs/zh/zh.RDS_Public_Access.md:
--------------------------------------------------------------------------------
1 | # 事件响应行动手册:公共资源曝光-RDS
2 | 本文档仅供参考。 它代表了截至本文档发布之日 Amazon Web Services (AWS) 提供的当前产品和实践,这些产品和做法如有更改,恕不另行通知。 客户有责任对本文档中的信息以及对 AWS 产品或服务的任何使用情况进行自己的独立评估,每种产品或服务都是 “按原样” 提供的,无论是明示还是暗示的担保。 本文档不创建 AWS、其附属公司、供应商或许可方的任何担保、陈述、合同承诺、条件或保证。 AWS 对客户的责任和责任受 AWS 协议的控制,本文档既不是 AWS 与其客户之间的任何协议的一部分,也不修改。
3 |
4 | © 2024 Amazon 网络服务公司或其附属公司。 保留所有权利。 本作品根据知识共享署名 4.0 国际许可协议进行许可。
5 |
6 | 提供此 AWS 内容须遵守 http://aws.amazon.com/agreement 提供的 AWS 客户协议的条款或客户与 Amazon Web Services, Inc. 或 Amazon 网络服务 EMEA SARL 或两者之间的其他书面协议。
7 |
8 | ## 联系点
9 |
10 | 作者:`作者姓名`\
11 | 批准者:`批准者姓名`\
12 | 最后批准日期:
13 |
14 | ## 执行摘要
15 | 本行动手册概述了识别公共资源所有者的过程,确定谁可能在公开时访问了这些资源,确定撤销对资源的访问权限的影响,以及确定公共可访问性的根本原因。
16 |
17 | ## 潜在的妥协指标
18 | -来自 AWS 服务仪表板的公共访问警告
19 | -CloudTrail 事件名称 “可公开访问”
20 | -安全研究员关于公开访问资源的通知
21 | -从公共互联网协议 (IP) 地址中删除资源
22 |
23 | ### 目标
24 | 在整个行动手册的执行过程中,重点关注 _*** 预期结果 ***_,记下增强事件响应能力的注意事件。
25 |
26 | #### 确定:
27 | * ** 漏洞被利用 **
28 | * ** 观察到的漏洞和工具 **
29 | * ** 演员的意图 **
30 | * ** 演员的归因 **
31 | * ** 对环境和业务造成的损害 **
32 |
33 | #### 恢复:
34 | * ** 返回原始和强化配置 **
35 |
36 | #### 增强 CAF 安全视角组件:
37 | [AWS Cloud Adoption Framework 安全角度] (https://docs.aws.amazon.com/whitepapers/latest/aws-caf-security-perspective/aws-caf-security-perspective.html)
38 | * ** 指令 **
39 | * ** 侦探 **
40 | * ** 响应 **
41 | * ** 预防性 **
42 |
43 | ! [图片] (/images/aws_caf.png)
44 | * * *
45 |
46 | ### 响应步骤
47 | 1. [** 准备 **] 创建资产库存
48 | 2. [** 准备 **] 创建 RDS 实例清单
49 | 3. [** 准备 **] 建立 RDS 安全性和日志记录检查
50 | 4. [** 准备 **] 实施培训计划来识别和评估 RDS 访问和日志分析
51 | 5. [** 准备 **] 识别、记录和测试上报程序 [** 检测和分析 **]
52 | 6. [** 检测和分析 **] 执行实例检查
53 | 7. [** 检测和分析 **] 查看 RDS 公共资源的 CloudTrail
54 | 8. [** 检测和分析 **] 查看 VPC Flow Logs
55 | 9. [** 检测和分析 **] 查看 RDS 端点/基于主机的日志
56 | 10. [** 包含 **] 包含 RDS 公开曝光
57 | 11. [**ERADICATION**] 删除任何无法识别或未经授权的公共快照或数据库
58 | 12. [** 准备 **] 其他预防措施:RDS 安全检查
59 | 13. [** 准备 **] 其他预防措施:安全控制策略-RDS 加密
60 | 14. [** 准备 **] 其他预防措施:AWS Config
61 | 15. [** 准备 **] 其他预防措施:总体安全状况
62 |
63 | *** 响应步骤遵循 [NIST Special Publication 800-61r2 Computer Security Incident Handling Guide] 中的事件响应生命周期(https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)
64 |
65 | ! [图片] (/images/nist_life_cycle.png) ***
66 |
67 | ### 事件分类和处理
68 | * ** 策略、技术和程序 **:AWS 服务公共访问
69 | * ** 类别 **:公共访问
70 | * ** 资源 **:RDS
71 | * ** 指标 **:网络威胁情报、第三方通知、Cloudwatch 指标
72 | * ** 日志源 **:RDS Database Log Files、CloudTrail、CloudWatch
73 | * ** 团队 **:安全运营中心 (SOC)、法医调查员、云工程
74 |
75 | ## 事件处理流程
76 | ### 事件响应流程有以下几个阶段:
77 | * 准备
78 | * 检测和分析
79 | * 遏制和根除
80 | * 恢复
81 | * 事件后活动
82 |
83 | ## 准备
84 | 本行动手册在可能的情况下引用并集成了 [Prowler] (https://github.com/toniblyx/prowler),这是一种命令行工具,可以帮助您进行 AWS 安全评估、审计、强化和事件响应。
85 |
86 | 它遵循 CIS Amazon Web Services Foundations Benchmark 指南(49 个支票),并有 100 多项额外支票,包括与 GDPR、HIPAA、PCI-DSS、ISO-27001、FFIEC、SOC2 和其他相关的支票。
87 |
88 | 此工具提供了客户环境中当前安全状态的快速快照。 作为替代方案,[AWS Security Hub] (https://aws.amazon.com/security-hub/?aws-security-hub-blogs.sort-by=item.additionalFields.createdDate&aws-security-hub-blogs.sort-order=desc) 提供了自动合规性扫描,并可以 [与 Prowler 集成] (https://github.com/toniblyx/prowler/blob/b0fd6ce60f815d99bb8461bb67c6d91b6607ae63/README.md#security-hub-integration)
89 |
90 | ### 资产库存
91 | 确定所有现有资源并拥有更新的资产库存清单以及每个资源的拥有者
92 |
93 | #### RDS 实例清单
94 | -要清点 RDS 实例,请使用 AWS API [描述数据库实例] (https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-instances.html) 列出给定区域中所有实例的名称:`aws rds 描述数据库实例 — 区域 us-east-1 — 查询 'dbInstance [*]。 [dbInstance标识符,ReadReplicadbInstance 标识符] '`
95 |
96 | #### RDS 安全性和日志记录检查
97 | -检查 RDS 实例存储是否已加密:`。 /prowler-c extra735`
98 | -检查 RDS 实例是否启用了备份:`。 /prowler-c extra739`
99 | -检查 RDS 实例是否与 CloudWatch 日志集成:`。 /prowler-c extra747`
100 | -确保 RDS 实例启用次要版本升级:`。 /prowler-c extra7131`
101 | -检查 RDS 实例是否已启用 [增强监控] (https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html):`。 /prowler-c extra7132`
102 | -RDS 安全检查:`。 /prowler-g group13`
103 |
104 | ### 训练
105 | -“为了熟悉 AWS API(命令行环境)、S3、RDS 和其他 AWS 服务,公司内的分析师提供了哪些培训? `
106 | >>>
107 | 威胁检测和事件响应的机会包括:\
108 | [AWS RE: INFORCE] (https://reinforce.awsevents.com/faq/)\
109 | [Self-Service Security Assessment] (https://aws.amazon.com/blogs/publicsector/assess-your-security-posture-identify-remediate-security-gaps-ransomware/)
110 | >>>
111 |
112 | -“哪些角色能够对账户中的服务进行更改? `
113 | -“哪些用户分配了这些角色? 遵守的权限最少吗?还是存在超级管理员用户? `
114 | -“是否针对您的环境进行了安全评估,您是否有已知的基准来检测 “新” 或 “可疑” 事物? `
115 |
116 | ### 通信技术
117 | -“团队/公司内部使用什么技术来沟通问题? 有什么自动化的吗? `
118 | >>>
119 | 电话\
120 | 电子邮件\
121 | AWS SES\
122 | AWS SNS\
123 | Slack\
124 | Chime\
125 | 其他?
126 | >>>
127 |
128 | ## 检测
129 |
130 | ### RDS 实例检查
131 |
132 | #### AWS Config
133 | AWS Config 有几个 [用于评估 RDS 实例的托管规则] (https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
134 | * rds-automatic-minor-version-upgrade-enabled
135 | * rds-cluster-deletion-protection-enabled
136 | * rds-cluster-iam-authentication-enabled
137 | * rds-cluster-multi-az-enabled
138 | * rds-enhanced-monitoring-enabled
139 | * rds-instance-deletion-protection-enabled
140 | * rds-instance-iam-authentication-enabled
141 | * rds-instance-public-access-check
142 | * rds-in-backup-plan
143 | * rds-logging-enabled
144 | * rds-multi-az-support
145 | * rds-resources-protected-by-backup-plan
146 | * rds-snapshots-public-prohibited
147 | * rds-snapshot-encrypted
148 | * rds-storage-encrypted
149 | #### Prowler
150 | -确保没有公共可访问 RDS 实例:`。 /prowler-c 额外 78`
151 | -检查 RDS 快照和群集快照是否公开:`。 /prowler-c extra723`
152 | -确定组织和账户中与外部实体共享的资源(例如 Amazon S3 存储桶或 IAM 角色)中与外部实体共享的资源:`。 /prowler-c extra769`
153 | -查找暴露在互联网上的资源:`。 /prowler-g group17`
154 |
155 | ## 上报程序
156 | -“谁在监控日志/警报,接收日志/警报并对其采取行动? `
157 | -“发现警报后谁会收到通知? `
158 | -“什么时候公共关系和法律参与这一过程? `
159 | -“你什么时候联系 AWS Support 寻求帮助? `
160 |
161 | ## 分析
162 | 强烈建议将日志导出到安全事件事件管理 (SIEM) 解决方案(例如 Splunk、ELK stack 等),以帮助查看和分析各种日志,以进行更完整的攻击时间表分析。
163 |
164 | ### CloudTrail:RDS 公共
165 | 1. 导航到你的 [CloudTrail 控制面板](https://console.aws.amazon.com/cloudtrail)
166 | 1. 在左边栏中选择 “事件历史记录”
167 | 1. 在下拉菜单中,从 “只读” 更改为 “事件名称”
168 | 1. 查看 CloudTrail 日志以获取事件名称 “修改 DBInstance`、“修改 DBSnapshot属性” 或 “修改 DBCluster Snapshot属性”,然后查找来自公有 IP 地址的 “可公开访问” 事件的值
169 |
170 | ### VPC Flow Logs
171 | VPC Flow Logs 是一项功能,使您能够捕获有关进出 VPC 中网络接口的 IP 流量的信息。 这对于在 CloudTrail 中发现的 IP 地址非常有用,以确定与任何公共资源的外部连接类型。
172 |
173 | 有关更多信息和步骤,包括使用 Athena 进行查询,请参阅 [VPC Flow Logs 的 AWS 文档] (https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-athena.html)。 建议将 Athena 分析纳入单独的手册中,并与其他相关项目链接。
174 |
175 | ### 端点/基于主机
176 | -查看 EC2 操作系统和应用程序日志是否存在不当登录、安装未知软件或是否存在无法识别的文件。
177 |
178 | -强烈建议使用基于主机的第三方入侵检测系统 (HIDS) 解决方案(例如 OSSEC、Tripwire、Wazuh、[Amazon Inspector](https://aws.amazon.com/inspector/)等)
179 |
180 | ## 遏制
181 |
182 | ### RDS 公开曝光
183 | 当您在 VPC 内启动数据库实例时,该数据库实例具有用于 VPC 内流量的私有 IP 地址。 此私有 IP 地址不可公开访问。 您可以使用公共访问选项来指定数据库实例除了私有 IP 地址之外是否还具有公有 IP 地址。
184 |
185 | 下图显示了 “附加连接配置” 部分中的 “公共访问” 选项。 要设置该选项,请打开连接部分中的其他连接配置部分。
186 |
187 | ! [图片] (/images/VPC-example.png)
188 |
189 | ## 根除
190 |
191 | ### RDS 未经授权/无法识别的资源
192 | 删除任何未识别或未经授权的公共快照或数据
193 |
194 | 1. 登录 AWS 管理控制台并通过 https://console.aws.amazon.com/rds/ 打开 Amazon RDS 控制台
195 | 1. 在导航窗格中,选择快照。
196 | 1. 此时将显示手动快照列表。
197 | 1. 选择要删除的数据库快照。
198 | 1. 对于操作,请选择删除快照。
199 | 1. 在确认页面上选择删除。
200 |
201 | ## 恢复
202 | 与为根除所列的程序相同
203 |
204 | ## 预防性行动
205 |
206 | ### RDS 安全检查
207 | -RDS 安全检查:`。 /prowler-g group13`
208 |
209 | ### 安全控制策略:RDS 加密
210 | [强制执行强制性 RDS 加密] (https://medium.com/@cbchhaya/aws-scp-to-mandate-rds-encryption-6b4dc8b036a)
211 |
212 | ### AWS Config
213 | [AWS Config] (https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 有多个自动化规则来防止公共访问,包括 [rds-snapshots-public-prohibited] (https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html)
214 |
215 | ### 整体安全态势
216 | 针对环境执行 [Self-Service Security Assessment](https://aws.amazon.com/blogs/publicsector/assess-your-security-posture-identify-remediate-security-gaps-ransomware/),以进一步识别本手册中未发现的其他风险和其他潜在的公众风险。
217 |
218 | ## 吸取的教训
219 | “这里可以添加特定于贵公司的物品,这些物品不一定需要 “修复”,但在与运营和业务要求同时执行本行动手册时也很重要。 `
220 |
221 | ## 已解决积压项目
222 | -作为事件响应者,我需要一本关于如何减少错误公开的资源的运行手册
223 | -作为事件响应者,我需要能够检测公共资源(AMI、EBS 卷、ECR 回购等)
224 | -作为事件响应者,我需要知道哪些角色能够在 AWS 中进行重大更改
225 | -作为事件响应者,我需要确保所有快照(RDS、EBS、ECR)都需要加密
226 |
227 | ## 当前积压项目
--------------------------------------------------------------------------------
/docs/zh/zh.Ransom_Response_EC2_Linux.md:
--------------------------------------------------------------------------------
1 | # 事件响应行动手册:EC2 Linux/Unix 的赎金响应
2 | 本文档仅供参考。 它代表了截至本文档发布之日 Amazon Web Services (AWS) 提供的当前产品和实践,这些产品和做法如有更改,恕不另行通知。 客户有责任对本文档中的信息以及对 AWS 产品或服务的任何使用情况进行自己的独立评估,每种产品或服务都是 “按原样” 提供的,无论是明示还是暗示的担保。 本文档不创建 AWS、其附属公司、供应商或许可方的任何担保、陈述、合同承诺、条件或保证。 AWS 对客户的责任和责任受 AWS 协议的控制,本文档既不是 AWS 与其客户之间的任何协议的一部分,也不修改。
3 |
4 | © 2024 Amazon 网络服务公司或其附属公司。 保留所有权利。 本作品根据知识共享署名 4.0 国际许可协议进行许可。
5 |
6 | 提供此 AWS 内容须遵守 http://aws.amazon.com/agreement 提供的 AWS 客户协议的条款或客户与 Amazon Web Services, Inc. 或 Amazon 网络服务 EMEA SARL 或两者之间的其他书面协议。
7 |
8 | ## 联系点
9 |
10 | 作者:`作者姓名`
11 | 批准者:`批准者姓名`
12 | 最后批准日期:
13 |
14 | ## 执行摘要
15 | 本行动手册概述了应对针对 EC2 实例的赎金攻击的流程。
16 |
17 | 有关更多信息,请查看 [AWS 安全事件响应指南] (https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
18 |
19 | ### 目标
20 | 在整个行动手册的执行过程中,重点关注 _*** 预期结果 ***_,记下增强事件响应能力的注意事件。
21 |
22 | #### 确定:
23 | * ** 漏洞被利用 **
24 | * ** 观察到的漏洞和工具 **
25 | * ** 演员的意图 **
26 | * ** 演员的归因 **
27 | * ** 对环境和业务造成的损害 **
28 |
29 | #### 恢复:
30 | * ** 返回原始和强化配置 **
31 |
32 | #### 增强 CAF 安全视角组件:
33 | [AWS Cloud Adoption Framework 安全角度] (https://docs.aws.amazon.com/whitepapers/latest/aws-caf-security-perspective/aws-caf-security-perspective.html)
34 | * ** 指令 **
35 | * ** 侦探 **
36 | * ** 响应 **
37 | * ** 预防性 **
38 |
39 | ! [图片] (/images/aws_caf.png)
40 | * * *
41 |
42 | ### 响应步骤
43 | 1. [** 准备 **] 使用 AWS Config 查看配置合规性
44 | 2. [** 准备 **] 识别、记录和测试上报程序
45 | 3. [** 检测和分析 **] 使用 CloudWatch 指标确定数据是否已泄露
46 | 4. [** 检测和分析 **] 使用 vpcFlowLogs 识别来自外部 IP 地址的不当数据库访问
47 | 5. [** 包含 **] 立即隔离受影响的资源
48 | 6. [** 根除 **] 从网络中移除任何受损的系统。
49 | 7. [** 根除 **] 基于网络 IOC 强制执行 NACL 以防止进一步流量
50 | 8. [** 根除 **] 其他感兴趣的物品
51 | 9. [** RECOVERY**] 酌情执行恢复程序
52 |
53 |
54 | *** 响应步骤遵循 [NIST Special Publication 800-61r2 Computer Security Incident Handling Guide] 中的事件响应生命周期(https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)
55 |
56 | ! [图片] (/images/nist_life_cycle.png) ***
57 |
58 | ### 事件分类和处理
59 | * ** 策略、技术和程序 **:赎金和数据销毁
60 | * ** 类别 **:赎金攻击
61 | * ** 资源 **:EC2
62 | * ** 指标 **:网络威胁情报、第三方通知、Cloudwatch 指标
63 | * ** 日志源 **:CloudTrail、CloudWatch、AWS Config
64 | * ** 团队 **:安全运营中心 (SOC)、法医调查员、云工程
65 |
66 | ## 事件处理流程
67 | ### 事件响应流程有以下几个阶段:
68 | * 准备
69 | * 检测和分析
70 | * 遏制和根除
71 | * 恢复
72 | * 事件后活动
73 |
74 | ## 准备
75 | * 评估账户的安全状况,以识别和补救安全漏洞
76 | * AWS 开发了一种新的开源 Self-Service Security Assessment (https://aws.amazon.com/blogs/publicsector/assess-your-security-posture-identify-remediate-security-gaps-ransomware/) 工具,该工具为客户提供了时间点评估,以获得对其 AWS 安全状况的宝贵见解帐户
77 | * 维护所有资源的完整资产清单,包括域控制器、Microsoft Windows EC2 实例、Microsoft Windows 服务器和数据库,以及与外部身份提供商的任何集成
78 | * 使用诸如 [Amazon Inspector] 之类的实用程序对房东进行反复性漏洞分析 (https://aws.amazon.com/blogs/security/how-to-visualize-multi-account-amazon-inspector-findings-with-amazon-elasticsearch-service/)
79 | * 执行 EC2 实例的备份
80 | * 考虑使用 [AWS Backup] (https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) 或 [AWS CloudEndure] (https://aws.amazon.com/cloudendure-disaster-recovery/)
81 | * [使用文件历史记录备份文件] (https://support.microsoft.com/en-us/windows/file-history-in-windows-5de0e203-ebae-05ab-db85-d5aa0a199255)
82 | * 验证备份并确保感染没有传播到备份中
83 | * 定期备份重要文件。 使用 3-2-1 规则。 将数据的三个备份保存在两种不同的存储类型上,至少有一个异地备份
84 | * 将最新更新应用于操作系统和应用程序
85 | * 教育员工,以便他们能够识别社交工程和矛头网络钓鱼攻击
86 | * 阻止已知的勒索软件文件类型
87 | * 使用 [Systems Manager 和 Amazon Inspector] (https://aws.amazon.com/blogs/security/how-to-patch-inspect-and-protect-microsoft-windows-workloads-on-aws-part-1/) 检查 EC2 实例是否包含任何常见漏洞和风险 (CVE)
88 | * 在所有系统上启用恶意软件检测和防病毒软件-首选商业、订阅付费端点检测和响应 (EDR) 解决方案。
89 | * 示例指南可以在如何安装和使用 Linux 恶意软件检测 (LMD) 以 ClamAV 作为防病毒引擎 (https://www.tecmint.com/install-linux-malware-detect-lmd-in-rhel-centos-and-fedora/)
90 | * 加固面向互联网的资产,并确保它们具有最新的安全更新。 使用威胁和漏洞管理定期审核这些资产,以了解漏洞、错误配置和可疑活动。
91 | * 实践最低特权原则并保持凭证卫生。 避免使用域范围内的管理员级服务帐户。 强制执行强大的随机、即时的本地管理员密码。
92 | * 监控暴力尝试。 检查过度失败的身份验证尝试(/var/log/auth.log 或 /var/log/secure)/var/log/auth.log
93 | * 监控清除事件日志
94 | * 打开篡改保护功能以防止攻击者停止安全服务
95 | * 确定高度特权的帐户在哪里登录并公开凭据。
96 | * 使用终端安全客户端,例如 [Wazuh] (https://documentation.wazuh.com/current/getting-started/components/index.html)
97 | * 使用文件完整性监视器(例如 [Tripwire] (https://github.com/Tripwire/tripwire-open-source) 来检测对关键文件的更改
98 |
99 | ### 使用 AWS Config 查看配置合规性:
100 | 1. 登录 AWS 管理控制台并通过 https://console.aws.amazon.com/config/ 打开 AWS Config 控制台
101 | 1. 在 AWS 管理控制台菜单中,验证区域选择器是否设置为支持 AWS Config 规则的区域。 有关受支持区域的列表,请参阅 Amazon Web 服务通用参考中的 AWS Config 区域和终端节点
102 | 1. 在导航窗格中,选择资源。 在资源库存页面上,您可以按资源类别、资源类型和合规性状态进行筛选。 如果适当,选择包括已删除的资 该表显示了资源类型的资源标识符以及该资源的资源合规性状态。 资源标识符可能是资源 ID 或资源名称
103 | 1. 从资源标识符列中选择资源
104 | 1. 选择资源时间轴按钮。 您可以按配置事件、合规性事件或 CloudTrail 事件进行筛选
105 | 1. 特别关注以下活动:
106 | * ebs-in-backup-plan
107 | * ebs-optimized-instance
108 | * ebs-snapshot-public-restorable-check
109 | * ec2-ebs-encryption-by-default
110 | * ec2-imdsv2-check
111 | * ec2-instance-detailed-monitoring-enabled
112 | * ec2-instance-managed-by-systems-manager
113 | * ec2-instance-multiple-eni-check
114 | * ec2-instance-no-public-ip
115 | * 附加了 ec2-instance-profile-attached
116 | * ec2-managedinstance-applications-blacklisted
117 | * ec2-managedinstance-applications-required
118 | * ec2-managedinstance-association-compliance-status-check
119 | * ec2-managedinstance-inventory-blacklisted
120 | * ec2-managedinstance-patch-compliance-status-check
121 | * ec2-managedinstance-platform-check
122 | * ec2-security-group-attached-to-eni
123 | * ec2-stopped-instance
124 | * ec2-volume-inuse-check
125 |
126 | ## 上报程序
127 | -“我需要就什么时候进行 EC2 取证作出业务决定 `
128 | -“谁在监控日志/警报,接收日志/警报并对其采取行动? `
129 | -“发现警报后谁会收到通知? `
130 | -“什么时候公共关系和法律参与这一过程? `
131 | -“你什么时候联系 AWS Support 寻求帮助? `
132 |
133 | ## 检测和分析
134 | ### [使用 CloudWatch Metrics] (https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/viewing_metrics_with_cloudwatch.html)
135 | 寻找数据泄露 “尖峰”。 攻击者可能会执行数据销毁并留下赎金票据,在这些情况下,与恶意行为者合作没有恢复数据的机会
136 | 1. 在 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台
137 | 1. 在导航窗格中,选择量度,然后选择所有量度
138 | 1. 在所有指标选项卡上,选择实例部署在其中的区域
139 | 1. 在所有指标选项卡上,输入搜索词 `NetworkPacketsOut` 然后按 Enter
140 | 1. 选择搜索结果之一以查看指标
141 | 1. 要绘制一个或多个指标的图表,请选中每个指标旁边的复选框。 要选择所有指标,请选中表格标题行中的复选框
142 | 1. (可选)要更改图表的类型,请选择图表选项。 然后,您可以在折线图、堆积面积图、条形图、饼图或数字之间进行选择
143 | 1. (可选)要添加显示指标预期值的异常检测范围,请选择指标旁边的 “操作” 下的异常检测图标
144 |
145 | ### 使用 VPCFlowLogs 识别来自外部 IP 地址的不当数据库访问
146 | 1. 使用 [AWS Security Analytics Bootstrap 程序] (https://github.com/awslabs/aws-security-analytics-bootstrap) 分析日志数据
147 | 1. 获取摘要,其中包含往返特定 IP 的所有记录中的每条 src_ip、src_port、dst_port 四边形的字节数
148 | ``
149 | 从 vpcflow 中选择源地址、目标地址、源端口、目标端口、总和(numbytes)作为 byte_count
150 | 哪里(源地址 = '192.0.2.1' 或目的地地址 = '192.0.2.1')
151 | 和日期 _ 分区 >= '2020/07/01'
152 | 和日期 _ 分区 <= '2020/07/31'
153 | 和账户分区 = '111122223333'
154 | 和区域分区('us-east-1'、'us-east-2'、'us-west-2'、'us-west-2'、'us-west-2')
155 | 按源地址、目标地址、源端口、目标端口进行分组
156 | 按 byte_count 订购 DESC
157 | ``
158 | 1. [vpcflow_demo_queries.sql](https://github.com/awslabs/aws-security-analytics-bootstrap/blob/main/AWSSecurityAnalyticsBootstrap/sql/dml/analytics/vpcflow/vpcflow_demo_queries.sql)中提供了其他示例查询
159 |
160 | ## 遏制
161 | ### 立即隔离受影响的资源
162 | ** 注意 **:确保您拥有请求上报和批准的流程,以隔离资源,以确保首先就隔离将如何影响当前运营和收入来源进行业务影响分析。
163 | 1. 确定实例是属于 Auto Scaling 组还是附加到负载均衡器
164 | * AutoScaling 组:从组中分离实例
165 | * 弹性负载均衡器:从 ELB 中注销实例,然后从目标组中删除实例
166 | 1. 创建一个阻止所有入口和出口流量的 * 新 * 安全组;确保删除出口流量的默认 `允许 all` 规则
167 | 1. 将 *new* 安全组附加到受影响的实例
168 |
169 | ## 根除
170 | ### 从网络中移除任何受损的系统。
171 | * 遵循监管要求或公司内部政策以确定是否需要 EC2 实例的取证
172 | * 如果需要对实例进行取证或需要恢复数据,请遵循 [Playbook:EC2 取证] (. /docs/EC2_Fransics.md)
173 |
174 | ### 基于网络 IOC 强制执行 NACL 以防止进一步的流量
175 | 1. 打开 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)
176 | 1. 在导航窗格中,选择 Network ACLs
177 | 1. 选择创建 Network ACL
178 | 1. 在创建 Network ACL 对话框中,可以选择命名您的网络 ACL,然后从 VPC 列表中选择 VPC 的 ID。 然后选择是,创建
179 | 1. 在详细信息窗格中,根据需要添加的规则类型,选择 “入站规则” 或 “出站规则” 选项卡,然后选择 “编辑”
180 | 1. 在规则 # 中,输入规则编号(例如 100)。 网络 ACL 中必须尚未使用规则编号。 我们按顺序处理规则,从最低的数字开始
181 | * 我们建议您在规则编号(例如 100、200、300)之间保留空白,而不是使用顺序编号(101、102、103)。 这使得添加新规则变得更容易,而无需重新编号现有规则
182 | 1. 从 “类型” 列表中选择一个规则。 例如,要为 HTTP 添加规则,请选择 HTTP。 要添加 allow all TCP 流量的规则,请选择所有 TCP。 对于其中一些选项(例如 HTTP),我们为您填写端口。 要使用未列出的协议,请选择自定义协议规则
183 | 1. (可选)如果要创建自定义协议规则,请从协议列表中选择协议的编号和名称。 有关更多信息,请参阅 IANA 协议编号列表
184 | 1. (可选)如果您选择的协议需要端口号,请输入以连字符分隔的端口号或端口范围(例如,49152-65535)。
185 | 1. 在 “源” 或 “目标” 字段中(取决于这是入站规则还是出站规则),输入规则应用的 CIDR 范围
186 | 1. 从 “允许/拒绝” 列表中,选择允许以允许指定的流量,或者选择拒绝拒绝指定的流量
187 | 1. (可选)要添加另一个规则,请选择添加另一个规则,然后根据需要重复之前的步骤
188 | 1. 完成后,选择 “保存”
189 | 1. 在导航窗格中,选择 Network ACLs,然后选择网络 ACL
190 | 1. 在详细信息窗格的子网关联选项卡上,选择编辑。 选中要与网络 ACL 关联的子网对应的 “关联” 复选框,然后选择 “保存”
191 |
192 | ### 其他感兴趣的物品
193 | * 理查德·霍恩(Richard Horne)的 [No Strings on Me: Linux and Ransomware](https://www.sans.org/reading-room/whitepapers/tools/strings-me-linux-ransomware-39870)中的表 1 确定了要监控的多个指标,包括:
194 | * 可能在 /tmp 目录内创建和运行进程
195 | * 以前有外部网络连接请求的终端上从未见过的新过程
196 | * 在同一目录树中多次重命名文件
197 | * 在子进程之前终止父进程的大型进程树
198 | * 权限升级或尝试获得 sudo 访问权限
199 | * 使用字符串 cmd 尝试在感染之前或感染期间对通信进行编码
200 | * 使用熵生成的文件名或快速连续的文件名
201 | * 修改启动选项
202 | * 尝试使用找到熵的 DNS 名称或直接使用裸 IP 进行通信
203 | * 在非基于用户的主目录中创建 .sh 文件
204 | * 使用 chmod cmd 将可执行文件更改为过于宽容的权限
205 | * 更改分布 Yum 或 Apt 仓库
206 | * 快速连续的目录枚举
207 | * 短期或持续时间内存使用量高
208 | * 重点放在典型的日常运营范围之外的异常值和事件
209 | * 外部和内部网络通信
210 | * 使用 wget 或 curl cmds
211 | * 枚举共享 Web、数据库或文件存储目录树
212 | * 用奇数文件扩展名创建的文件
213 | * 在单个目录中进行多次修改
214 | * 多个目录中同一文件的多个副本
215 | * 可能要求加密库
216 | * 使用通配符或未经确认从目录中删除文件
217 | * 使用 chmod 与通配符(或 chmod 777)
218 |
219 | ## 恢复
220 | * 建议不要支付赎金
221 | * 支付赎金是一场赌博,罪犯在收到付款后是否会兑现交易
222 | * 如果不存在数据备份,那么您应该进行成本效益分析,并权衡数据/声誉损失与向攻击者付款的价值
223 | * 如果你选择支付赎金,你可以直接让攻击者继续对你的公司或其他人进行操作
224 | * 访问 https://www.nomoreransom.org/ 以确定是否可用于受感染的数据的恶意软件变体的解密
225 | * [删除或轮换 IAM 用户密钥] (https://console.aws.amazon.com/iam/home#users) 和 [Root 用户密钥] (https://console.aws.amazon.com/iam/home#security_credential);如果您无法识别已公开的特定密钥或密钥,则可能希望轮换账户中的所有密钥
226 | * [删除未经授权的 IAM 用户] (https://console.aws.amazon.com/iam/home#users。)
227 | * [删除未经授权的政策] (https://console.aws.amazon.com/iam/home#/policies)
228 | * [删除未经授权的角色] (https://console.aws.amazon.com/iam/home#/roles)
229 | * [吊销临时证书] (https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_disable-perms.html#denying-access-to-credentials-by-issue-time)。 也可以通过删除 IAM 用户来吊销临时证书。 注意:删除 IAM 用户可能会影响生产工作负载,应谨慎完成 * 在勒索软件攻击或数据损坏之前,使用 CloudEndure 灾难恢复选择最新的恢复点,以恢复 AWS 上的工作负载
230 | * 如果使用备用数据备份策略,请验证备份没有被感染并从勒索软件事件发生之前的最后一个计划事件中恢复
231 | * 从受信任的 AMI 创建新的 EC2 实例
232 | * 使用 CloudEndure 灾难恢复在勒索软件攻击或数据损坏之前选择最新的恢复点,以恢复 AWS 上的工作负载
233 | * 如果使用备用数据备份策略,请验证备份没有被感染并从勒索软件事件发生之前的最后一个计划事件中恢复
234 |
235 | ## 吸取的教训
236 | “这里可以添加特定于贵公司的物品,这些物品不一定需要 “修复”,但在与运营和业务要求同时执行本行动手册时也很重要。 `
237 |
238 | ## 已解决积压项目
239 | -作为事件响应者,我需要一本运行手册来进行 EC2 取证
240 | -作为事件响应者,我需要就应该何时进行 EC2 取证作出业务决策
241 | -作为事件响应者,我需要在所有已启用的区域启用日志记录,无论使用意图如何
242 | -作为事件响应者,我需要能够检测我现有 EC2 实例上的加密挖矿
243 |
244 | ## 当前积压项目
--------------------------------------------------------------------------------
/docs/zh/zh.Ransom_Response_RDS.md:
--------------------------------------------------------------------------------
1 | # 事件响应行动手册:RDS 的赎金响应
2 | 本文档仅供参考。 它代表了截至本文档发布之日 Amazon Web Services (AWS) 提供的当前产品和实践,这些产品和做法如有更改,恕不另行通知。 客户有责任对本文档中的信息以及对 AWS 产品或服务的任何使用情况进行自己的独立评估,每种产品或服务都是 “按原样” 提供的,无论是明示还是暗示的担保。 本文档不创建 AWS、其附属公司、供应商或许可方的任何担保、陈述、合同承诺、条件或保证。 AWS 对客户的责任和责任受 AWS 协议的控制,本文档既不是 AWS 与其客户之间的任何协议的一部分,也不修改。
3 |
4 | © 2024 Amazon 网络服务公司或其附属公司。 保留所有权利。 本作品根据知识共享署名 4.0 国际许可协议进行许可。
5 |
6 | 提供此 AWS 内容须遵守 http://aws.amazon.com/agreement 提供的 AWS 客户协议的条款或客户与 Amazon Web Services, Inc. 或 Amazon 网络服务 EMEA SARL 或两者之间的其他书面协议。
7 |
8 | ## 联系点
9 |
10 | 作者:`作者姓名`
11 | 批准者:`批准者姓名`
12 | 最后批准日期:
13 |
14 | ## 执行摘要
15 | 本行动手册概述了针对 Amazon 关系数据库服务 (RDS) 的赎金攻击的响应流程
16 |
17 | 有关更多信息,请查看 [AWS 安全事件响应指南] (https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
18 |
19 | ### 目标
20 | 在整个行动手册的执行过程中,重点关注 _*** 预期结果 ***_,记下增强事件响应能力的注意事件。
21 |
22 | #### 确定:
23 | * ** 漏洞被利用 **
24 | * ** 观察到的漏洞和工具 **
25 | * ** 演员的意图 **
26 | * ** 演员的归因 **
27 | * ** 对环境和业务造成的损害 **
28 |
29 | #### 恢复:
30 | * ** 返回原始和强化配置 **
31 |
32 | #### 增强 CAF 安全视角组件:
33 | [AWS Cloud Adoption Framework 安全角度] (https://docs.aws.amazon.com/whitepapers/latest/aws-caf-security-perspective/aws-caf-security-perspective.html)
34 | * ** 指令 **
35 | * ** 侦探 **
36 | * ** 响应 **
37 | * ** 预防性 **
38 |
39 | ! [图片] (/images/aws_caf.png)
40 | * * *
41 |
42 | ### 响应步骤
43 | 1. [** 准备 **] 使用 AWS Config 查看配置合规性
44 | 2. [** 准备 **] 识别、记录和测试上报程序
45 | 3. [** 包含 **] 立即隔离受影响的资源
46 | 5. [** 检测和分析 **] 使用 CloudWatch 指标确定数据是否已泄露
47 | 6. [** 检测和分析 **] 使用 vpcFlowLogs 识别来自外部 IP 地址的不当数据库访问
48 | 7. [** RECOVERY**] 酌情执行恢复程序
49 |
50 | *** 响应步骤遵循 [NIST Special Publication 800-61r2 Computer Security Incident Handling Guide] 中的事件响应生命周期(https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)
51 |
52 | ! [图片] (/images/nist_life_cycle.png) ***
53 |
54 | ### 事件分类和处理
55 | * ** 策略、技术和程序 **:赎金和数据销毁
56 | * ** 类别 **:赎金攻击
57 | * ** 资源 **:RDS
58 | * ** 指标 **:网络威胁情报、第三方通知、Cloudwatch 指标
59 | * ** 日志源 **:RDS Database Log Files、S3 Access Logs、CloudTrail、CloudWatch、AWS Config
60 | * ** 团队 **:安全运营中心 (SOC)、法医调查员、云工程
61 |
62 | ## 事件处理流程
63 | ### 事件响应流程有以下几个阶段:
64 | * 准备
65 | * 检测和分析
66 | * 遏制和根除
67 | * 恢复
68 | * 事件后活动
69 |
70 | ## 准备
71 | * 评估你的安全态势以识别和补救安全漏洞
72 | * AWS 开发了一种新的开源 Self-Service Security Assessment (https://aws.amazon.com/blogs/publicsector/assess-your-security-posture-identify-remediate-security-gaps-ransomware/) 工具,该工具为客户提供了时间点评估,以获得对其 AWS 安全状况的宝贵见解账户。
73 | * 维护所有资源的完整资产清单,包括服务器、网络设备、网络/文件共享和开发人员机器
74 | * 考虑使用 [AWS Config] (https://aws.amazon.com/config/),这是一项使您能够评估、审计和评估 AWS 资源配置的服务
75 | * 考虑实施 [AWS GuardDuty] (https://aws.amazon.com/guardduty/) 以持续监控恶意活动和未经授权的行为,以保护存储在 Amazon RDS 中的 AWS 账户、工作负载和数据
76 | * [基于 Amazon VPC 服务在虚拟私有云 (VPC) 中运行数据库实例] (https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.html),以实现最大限度的网络访问控制
77 | * 使用 AWS 身份和访问管理 (IAM) 策略分配权限,以确定允许谁管理 Amazon RDS 资源。 例如,您可以使用 IAM 来确定允许谁创建、描述、修改和删除数据库实例、标记资源或修改安全组。
78 | * 使用安全组控制哪些 IP 地址或 Amazon EC2 实例可以连接到数据库实例上的数据库。 首次创建数据库实例时,其防火墙会阻止任何数据库访问,除非通过关联安全组指定的规则进行访问。
79 | * [对运行 MySQL、MariaDB、PostgreSQL、Oracle 或 Microsoft SQL Server 数据库引擎的数据库实例使用安全套接字层 (SSL) 或传输层安全性 (TLS) 连接] (https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
80 | * [使用 Amazon RDS 加密] (https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) 保护静态数据库实例和快照。 Amazon RDS 加密使用行业标准 AES-256 加密算法对托管数据库实例的服务器上的数据加密
81 | * [使用网络加密] (https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.Oracle.Options.NetworkEncryption.html) 和 [透明数据加密] (https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.Oracle.Options.AdvSecurity.html) 使用 Oracle 数据库实例
82 | * 使用数据库引擎的安全功能来控制谁可以登录数据库实例上的数据库。 这些功能就像数据库在本地网络上一样工作。
83 | * 强烈建议使用基于主机的第三方入侵检测系统 (HIDS) 解决方案(例如 OSSEC、Tripwire、Wazuh、[Amazon Inspector] (https://aws.amazon.com/inspector/))
84 | * [Amazon RDS 中的安全性](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.html)中提供了其他参考和步骤
85 |
86 | ### 使用 AWS Config 查看配置合规性:
87 | 1. 登录 AWS 管理控制台并在 https://console.aws.amazon.com/config/ 打开 AWS Config 控制台
88 | 1. 在 AWS 管理控制台菜单中,验证区域选择器是否设置为支持 AWS Config 规则的区域。 有关受支持区域的列表,请参阅 Amazon Web 服务通用参考中的 AWS Config 区域和终端节点
89 | 1. 在导航窗格中,选择资源。 在资源库存页面上,您可以按资源类别、资源类型和合规性状态进行筛选。 如果适当,选择包括已删除的资 该表显示了资源类型的资源标识符以及该资源的资源合规性状态。 资源标识符可能是资源 ID 或资源名称
90 | 1. 从资源标识符列中选择资源
91 | 1. 选择资源时间轴按钮。 您可以按配置事件、合规性事件或 CloudTrail 事件进行筛选
92 | 1. 特别关注以下活动:
93 | * rds-automatic-minor-version-upgrade-enabled
94 | * rds-cluster-deletion-protection-enabled 了
95 | * rds-cluster-iam-authentication-enabled
96 | * rds-cluster-multi-az-enabled
97 | * rds-enhanced-monitoring-enabled
98 | * rds-instance-deletion-protection-enabled
99 | * rds-instance-iam-authentication-enabled
100 | * rds-instance-public-access-check
101 | * rds-in-backup-plan
102 | * rds-logging-enabled
103 | * rds-multi-az-support
104 | * rds-snapshots-public-prohibited
105 | * rds-snapshot-encrypted
106 | * rds-storage-encrypted
107 |
108 | ## 上报程序
109 | -“我需要就什么时候进行 EC2 取证作出业务决定 `
110 | -“谁在监控日志/警报,接收日志/警报并对其采取行动? `
111 | -“发现警报后谁会收到通知? `
112 | -“什么时候公共关系和法律参与这一过程? `
113 | -“你什么时候联系 AWS Support 寻求帮助? `
114 |
115 | ## 检测和分析
116 | * [AWS GuardDuty 机器学习] (https://aws.amazon.com/blogs/security/how-you-can-use-amazon-guardduty-to-detect-suspicious-activity-within-your-aws-account/) 可以检测可疑行为,包括作为数据泄露尝试的一部分生成亚马逊关系数据库服务 (Amazon RDS) 快照
117 | * 查看 EC2 操作系统和应用程序日志是否存在不当登录、安装未知软件或是否存在无法识别的文件
118 |
119 | ### [使用 CloudWatch 指标] (https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/viewing_metrics_with_cloudwatch.html)
120 | 寻找数据泄露 “尖峰”。 攻击者可能会执行数据销毁并留下赎金票据,在这些情况下,与恶意行为者合作没有恢复数据的机会
121 | 1. 在 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台
122 | 1. 在导航窗格中,选择量度,然后选择所有量度
123 | 1. 在所有指标选项卡上,选择实例部署在其中的区域
124 | 1. 在所有指标选项卡上,输入搜索词 `NetworkPacketsOut` 然后按 Enter
125 | 1. 选择搜索结果之一以查看指标
126 | 1. 要绘制一个或多个指标图表,请选中每个指标旁边的复选框。 要选择所有指标,请选中表格标题行中的复选框
127 | 1. (可选)要更改图表的类型,请选择图表选项。 然后,您可以在折线图、堆积面积图、条形图、饼图或数字之间进行选择
128 | 1. (可选)要添加显示指标预期值的异常检测范围,请选择指标旁边的 “操作” 下的异常检测图标
129 |
130 | ### 使用 VPCFlowLogs 识别来自外部 IP 地址的不当数据库访问
131 | 1. 使用 [AWS Security Analytics Bootstrap 程序] (https://github.com/awslabs/aws-security-analytics-bootstrap) 分析日志数据
132 | 1. 获取摘要,其中包含往返特定 IP 的所有记录中的每条 src_ip、src_port、dst_port 四边形的字节数
133 | ``
134 | 从 vpcflow 中选择源地址、目标地址、源端口、目标端口、总和(numbytes)作为 byte_count
135 | 哪里(源地址 = '192.0.2.1' 或目的地地址 = '192.0.2.1')
136 | 和日期 _ 分区 >= '2020/07/01'
137 | 和日期 _ 分区 <= '2020/07/31'
138 | 和账户分区 = '111122223333'
139 | 和区域分区('us-east-1'、'us-east-2'、'us-west-2'、'us-west-2'、'us-west-2')
140 | 按源地址、目标地址、源端口、目标端口进行分组
141 | 按 byte_count 订购 DESC
142 | ``
143 | 1. [vpcflow_demo_queries.sql](https://github.com/awslabs/aws-security-analytics-bootstrap/blob/main/AWSSecurityAnalyticsBootstrap/sql/dml/analytics/vpcflow/vpcflow_demo_queries.sql)中提供了其他示例查询
144 |
145 |
146 | ## 恢复
147 | * 建议不要支付赎金
148 | * 支付赎金是一场赌博,罪犯在收到付款后是否会兑现交易
149 | * 如果不存在数据备份,那么您应该进行成本效益分析,并权衡数据/声誉损失与向攻击者付款的价值
150 | * 如果你选择支付赎金,你可以直接让攻击者继续对你的公司或其他人进行操作
151 | * 访问 https://www.nomoreransom.org/ 以确定是否可用于受感染的数据的恶意软件变体的解密
152 | * [删除或轮换 IAM 用户密钥] (https://console.aws.amazon.com/iam/home#users) 和 [Root 用户密钥] (https://console.aws.amazon.com/iam/home#security_credential);如果您无法识别已公开的特定密钥或密钥,则可能希望轮换账户中的所有密钥
153 | * [删除未经授权的 IAM 用户] (https://console.aws.amazon.com/iam/home#users。)
154 | * [删除未经授权的政策] (https://console.aws.amazon.com/iam/home#/policies)
155 | * [删除未经授权的角色] (https://console.aws.amazon.com/iam/home#/roles)
156 | * [吊销临时证书] (https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_disable-perms.html#denying-access-to-credentials-by-issue-time)。 也可以通过删除 IAM 用户来吊销临时证书。 注意:删除 IAM 用户可能会影响生产工作负载,应谨慎完成
157 | * 使用 CloudEndure 灾难恢复在勒索软件攻击或数据损坏之前选择最新的恢复点,以恢复 AWS 上的工作负载
158 | * 如果使用备用数据备份策略,请验证备份没有被感染并从勒索软件事件发生之前的最后一个计划事件中恢复
159 | * 删除任何未识别或未经授权的公共快照或数据库
160 | * 删除受损的数据库并创建新的 RDS 数据库
161 | * 确定有权访问数据库的 EC2 实例并调查这些实例
162 |
163 | ## 吸取的教训
164 | “这里可以添加特定于贵公司的物品,这些物品不一定需要 “修复”,但在与运营和业务要求同时执行本行动手册时也很重要。 `
165 |
166 | ## 已解决积压项目
167 | -作为事件响应者,我需要一本运行手册来进行 EC2 取证
168 | -作为事件响应者,我需要就应该何时进行 EC2 取证作出业务决策
169 | -作为事件响应者,我需要在所有已启用的区域启用日志记录,无论使用意图如何
170 | -作为事件响应者,我需要能够检测我现有 EC2 实例上的加密挖矿
171 |
172 | ## 当前积压项目
--------------------------------------------------------------------------------
/docs/zh/zh.Ransom_Response_S3.md:
--------------------------------------------------------------------------------
1 | # 事件响应行动手册:S3 的赎金响应
2 | 本文档仅供参考。 它代表了截至本文档发布之日 Amazon Web Services (AWS) 提供的当前产品和实践,这些产品和做法如有更改,恕不另行通知。 客户有责任对本文档中的信息以及对 AWS 产品或服务的任何使用情况进行自己的独立评估,每种产品或服务都是 “按原样” 提供的,无论是明示还是暗示的担保。 本文档不创建 AWS、其附属公司、供应商或许可方的任何担保、陈述、合同承诺、条件或保证。 AWS 对客户的责任和责任受 AWS 协议的控制,本文档既不是 AWS 与其客户之间的任何协议的一部分,也不修改。
3 |
4 | © 2024 Amazon 网络服务公司或其附属公司。 保留所有权利。 本作品根据知识共享署名 4.0 国际许可协议进行许可。
5 |
6 | 提供此 AWS 内容须遵守 http://aws.amazon.com/agreement 提供的 AWS 客户协议的条款或客户与 Amazon Web Services, Inc. 或 Amazon 网络服务 EMEA SARL 或两者之间的其他书面协议。
7 |
8 | ## 联系点
9 |
10 | 作者:`作者姓名`
11 | 批准者:`批准者姓名`
12 | 最后批准日期:
13 |
14 | ### 目标
15 | 在整个行动手册的执行过程中,重点关注 _*** 预期结果 ***_,记下增强事件响应能力的注意事件。
16 |
17 | #### 确定:
18 | * ** 漏洞被利用 **
19 | * ** 观察到的漏洞和工具 **
20 | * ** 演员的意图 **
21 | * ** 演员的归因 **
22 | * ** 对环境和业务造成的损害 **
23 |
24 | #### 恢复:
25 | * ** 返回原始和强化配置 **
26 |
27 | #### 增强 CAF 安全视角组件:
28 | [AWS Cloud Adoption Framework 安全角度] (https://docs.aws.amazon.com/whitepapers/latest/aws-caf-security-perspective/aws-caf-security-perspective.html)
29 | * ** 指令 **
30 | * ** 侦探 **
31 | * ** 响应 **
32 | * ** 预防性 **
33 |
34 | ! [图片] (/images/aws_caf.png)
35 | * * *
36 |
37 | ### 响应步骤
38 | 1. [** 准备 **] 使用 AWS Config 查看配置合规性
39 | 2. [** 准备 **] 识别、记录和测试上报程序
40 | 3. [** 检测和分析 **] 执行检测和分析 CloudTrail 以查找无法识别的 API
41 | 4. [** RECOVERY**] 酌情执行恢复程序
42 |
43 | *** 响应步骤遵循 [NIST Special Publication 800-61r2 Computer Security Incident Handling Guide] 中的事件响应生命周期(https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)
44 |
45 | ! [图片] (/images/nist_life_cycle.png) ***
46 |
47 | ### 事件分类和处理
48 | * ** 策略、技术和程序 **:赎金和数据销毁
49 | * ** 类别 **:赎金攻击
50 | * ** 资源 **:S3
51 | * ** 指标 **:网络威胁情报、第三方通知、Cloudwatch 指标
52 | * ** 日志源 **:S3 服务器日志、S3 Access Logs、CloudTrail、CloudWatch、AWS Config
53 | * ** 团队 **:安全运营中心 (SOC)、法医调查员、云工程
54 |
55 | ## 事件处理流程
56 | ### 事件响应流程有以下几个阶段:
57 | * 准备
58 | * 检测和分析
59 | * 遏制和根除
60 | * 恢复
61 | * 事件后活动
62 |
63 | ## 执行摘要
64 | 本行动手册概述了针对 AWS 简单存储服务 (S3) 的赎金攻击的响应流程。
65 |
66 | 有关更多信息,请查看 [AWS 安全事件响应指南] (https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
67 |
68 | ## 准备
69 | * 评估你的安全态势以识别和补救安全漏洞
70 | * AWS 开发了一种新的开源 [Self-Service Security Assessment] (https://aws.amazon.com/blogs/publicsector/assess-your-security-posture-identify-remediate-security-gaps-ransomware/) 工具,该工具为客户提供了时间点评估,以获得对其 AWS 安全状况的宝贵见解账户。
71 | * 维护所有资源的完整资产清单,包括服务器、网络设备、网络/文件共享和开发人员机器
72 | * 考虑使用 [AWS Config] (https://aws.amazon.com/config/),这是一项使您能够评估、审计和评估 AWS 资源配置的服务
73 | * 考虑实施 [AWS GuardDuty] (https://aws.amazon.com/guardduty/) 以持续监控恶意活动和未经授权的行为,以保护存储在 Amazon S3 中的 AWS 账户、工作负载和数据
74 | * Darkbit 提供了一个 [AWS S3 数据丢失防护] (https://darkbit.io/blog/simple-dlp-for-amazon-s3) 的示例,可用于识别未经授权的对象复制。 还可以根据您的业务使用案例在模式中添加其他特定操作
75 | * 使用 IAM 角色管理权限
76 | * 实现最低权限且不允许 s3:* 权限
77 | * 实施 [CIS AWS Foundations] (https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls.html),包括账户到期和强制性证书轮换
78 | * 强制执行多因素身份验证 (MFA)
79 | * 强制执行密码复杂性要求并确定到期期
80 | * 运行 [IAM Credential Report] (https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html) 以列出账户中的所有用户及其各种证书的状态,包括密码、访问密钥和 MFA 设备
81 | * 使用 [AWS IAM Access Analyzer] (https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 识别组织和账户中的资源,例如与外部实体共享的 Amazon S3 存储桶或 IAM 角色。 这使您可以识别对资源和数据的意外访问权限,这是一种安全风险
82 | * [启用 S3 Object Versioning] (https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) 以允许恢复修改过的对象
83 | * 要设置保留的版本数,请设置生命周期策略 (http://docs.aws.amazon.com/AmazonS3/latest/dev/intro-lifecycle-rules.html) 以应用于非当前版本
84 | * [启用 S3 MFA delete] (https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html) 以防止攻击者禁用版本控制和覆盖存储桶中的所有对象
85 | * 考虑使用 [S3 Object Lock 定] (https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html),以便您可以使用一次写入多读 (WORM) 模型存储对象。 对象锁定可以帮助防止对象在固定时间内或无限期地被删除或覆盖。
86 | * 在对象锁定合规性模式 * 中,* 受保护的对象版本不能被任何用户覆盖或删除,包括 AWS 账户中的根用户。 当对象处于合规性模式下锁定时,其保留模式不能更改,也不能缩短其保留期。 合规模式 * 确保在保留期内不能覆盖或删除对象版本。
87 | * 考虑使用 [S3 Intelligent Tiering] (https://aws.amazon.com/blogs/aws/new-automatic-cost-optimization-for-amazon-s3-via-intelligent-tiering/) 进行对象备份和成本优化
88 | * 使用并定期审核存储桶策略
89 | * 只公开需要的东西,并确保所有对象都通过私有的方式受到保护
90 | * 考虑使用 [AWS Key Management Service (KMS)] (https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 密钥加密所有对象并防止攻击者应用其加密密钥
91 | * 考虑使用 [AWS S3 阻止公共访问功能] (https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) 来减少对象的意外暴露
92 | * 启用包含敏感或关键信息的 [S3 存储桶和对象的 CloudTrail 事件日志记录] (https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html)。 默认情况下,CloudTrail 跟踪不记录数据事件,但是您可以配置跟踪记录指定的 S3 存储桶的数据事件,或者为 AWS 账户中的所有 Amazon S3 存储桶记录数据事件。
93 | * 启用 [S3 存储桶的 CloudTrail 服务器级别日志记录] (https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html) 和包含敏感或关键信息的对象。 服务器访问日志记录提供对存储桶发出的请求的详细记录
94 | * 对于关键任务数据上传,请考虑 [启用复制] (http://docs.aws.amazon.com/AmazonS3/latest/dev/crr.html)-同一区域或跨区域。 跨区域复制通过在另一个区域维护第二个副本,从而防止应用程序缺陷和操作员错误
95 | * 采取措施 [防止任何新凭据公开](http://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html)
96 | * 虽然我们不能推荐特定的第三方解决方案,但也有我们的合作伙伴(包括 Veritas 和 CommVault)以及其他备份软件提供商的产品,它们具有将 S3 中的对象备份到 S3 内外的托管备份存储位置备份的本机能力
97 |
98 | ### 使用 AWS Config 查看配置合规性:
99 | 1. 登录 AWS 管理控制台,然后通过 https://console.aws.amazon.com/config/ 打开 AWS Config 控制台
100 | 1. 在 AWS 管理控制台菜单中,验证区域选择器是否设置为支持 AWS Config 规则的区域。 有关受支持区域的列表,请参阅 Amazon Web 服务通用参考中的 AWS Config 区域和终端节点
101 | 1. 在导航窗格中,选择资源。 在资源库存页面上,您可以按资源类别、资源类型和合规性状态进行筛选。 如果适当,选择包括已删除的资 该表显示了资源类型的资源标识符以及该资源的资源合规性状态。 资源标识符可能是资源 ID 或资源名称
102 | 1. 从资源标识符列中选择资源
103 | 1. 选择资源时间轴按钮。 您可以按配置事件、合规性事件或 CloudTrail 事件进行筛选
104 | 1. 特别关注以下活动:
105 | * s3-account-level-public-access-blocks
106 | * s3-account-level-public-access-blocks-periodic
107 | * s3-bucket-blacklisted-actions-prohibited
108 | * s3-bucket-default-lock-enabled
109 | * s3-bucket-level-public-access-prohibited
110 | * s3-bucket-logging-enabled
111 | * s3-bucket-policy-grantee-check
112 | * s3-bucket-policy-not-more-permissive
113 | * s3-bucket-public-read-prohibited
114 | * s3-bucket-public-write-prohibited
115 | * s3-bucket-replication-enabled 功能
116 | * s3-bucket-server-side-encryption-enabled
117 | * s3-bucket-ssl-requests-only
118 | * s3-bucket-versioning-enabled
119 | * s3-default-encryption-kms
120 |
121 | ## 上报程序
122 | -“我需要就什么时候进行 S3 取证作出商业决定 `
123 | -“谁在监控日志/警报,接收日志/警报并对其采取行动? `
124 | -“发现警报后谁会收到通知? `
125 | -“什么时候公共关系和法律参与这一过程? `
126 | -“你什么时候联系 AWS Support 寻求帮助? `
127 |
128 | ## 检测和分析
129 | * S3 对象被删除或删除整个 S3 存储桶
130 | * 注意:对于数据销毁事件,可能会提供也可能不提供赎金票据。 另外,请确保您检查 CloudWatch 指标和 CloudTrail S3 事件,以验证是否发生了数据泄露,是否在赎金或数据销毁攻击之间划分
131 | * S3 对象使用不属于客户所有的账户中的密钥加密
132 | * 赎金票据可以作为存储桶内的对象或通过电子邮件提供给客户
133 | * 检查 CloudTrail 日志中是否存在未经批准的活动,例如创建未经授权的 IAM 用户、策略、角色或临时安全证书
134 | * 查看 CloudTrail 是否有无法识别的 API 调用。 具体来说,查找以下事件:
135 | * DeleteBucket
136 | * DeleteBucketCors
137 | * DeleteBucketEncryption
138 | * DeleteBucketLifecycle
139 | * DeleteBucketPolicy
140 | * DeleteBucketReplication
141 | * DeleteBucketTagging
142 | * DeleteBucketPublicAccessBlock
143 | * 如果启用了 S3 服务器访问日志,则从同一远程 IP 和请求者查找高顺序的 `REST.COPY.OBJECT_GET`。
144 | * 查看您的 CloudTrail 日志,查看您的 AWS 账户是否有任何未经授权的 AWS 使用情况,例如未经授权的 EC2 实例、Lambda 函数或 EC2 竞价出价。 您还可以通过登录 AWS 管理控制台并查看每个服务页面来检查使用情况。 也可以检查账单控制台中的 “账单” 页面是否意外使用
145 | * 请记住,任何地区都可能发生未经授权的使用情况,并且您的主机一次只能向您显示一个区域。 要在区域之间切换,您可以使用控制台屏幕右上角的下拉菜单
146 |
147 | ## 恢复
148 | * 建议不要支付赎金
149 | * 支付赎金是一场赌博,罪犯在收到付款后是否会兑现交易
150 | * 如果不存在数据备份,那么您应该进行成本效益分析,并权衡数据/声誉损失与向攻击者付款的价值
151 | * 如果你选择支付赎金,你可以直接让攻击者继续对你的公司或其他人进行操作
152 | * 访问 https://www.nomoreransom.org/ 以确定是否可用于受感染的数据的恶意软件变体的解密
153 | * [删除或轮换 IAM 用户密钥] (https://console.aws.amazon.com/iam/home#users) 和 [Root 用户密钥] (https://console.aws.amazon.com/iam/home#security_credential);如果您无法识别已公开的特定密钥或密钥,则可能希望轮换账户中的所有密钥
154 | * [删除未经授权的 IAM 用户] (https://console.aws.amazon.com/iam/home#users。)
155 | * [删除未经授权的政策] (https://console.aws.amazon.com/iam/home#/policies)
156 | * [删除未经授权的角色] (https://console.aws.amazon.com/iam/home#/roles)
157 | * [吊销临时证书] (https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_disable-perms.html#denying-access-to-credentials-by-issue-time)。 也可以通过删除 IAM 用户来吊销临时证书。 注意:删除 IAM 用户可能会影响生产工作负载,应谨慎完成 * 在勒索软件攻击或数据损坏之前,使用 CloudEndure 灾难恢复选择最新的恢复点,以恢复 AWS 上的工作负载
158 | * 如果使用备用数据备份策略,请验证备份没有被感染并从勒索软件事件发生之前的最后一个计划事件中恢复
159 | * 在尝试恢复数据或对象之前,执行 Protect 下的过程
160 | * [删除删除标记] (https://docs.aws.amazon.com/AmazonS3/latest/userguide/RemDelMarker.html) 用于版本控制对象
161 | * 重新创建删除的存储桶
162 | * [使用 S3 Intelligent Tiering 还原对象] (https://aws.amazon.com/blogs/aws/new-automatic-cost-optimization-for-amazon-s3-via-intelligent-tiering/) 对象备份或复制区域存储桶
163 | * 注意:S3 目前没有 “取消删除” 功能,并且 AWS 无法恢复已删除的数据。 在当前数据存储合规性和法规的时代,例如 GDPR (https://gdpr-info.eu/) 和 CCPA (https://oag.ca.gov/privacy/ccpa),Amazon S3 无法继续存储已从客户账户中明确删除的客户数据。 删除对象后,无论向 AWS 报告意外删除的速度如何,AWS 都无法再恢复对象
164 |
165 | ## 吸取的教训
166 | “这里可以添加特定于贵公司的物品,这些物品不一定需要 “修复”,但在与运营和业务要求同时执行本行动手册时也很重要。 `
167 |
168 | ## 已解决积压项目
169 | -作为事件响应者,我需要一本运行手册来进行 S3 取证
170 | -作为事件响应者,我需要就何时进行 S3 取证作出业务决策
171 | -作为事件响应者,我需要在所有已启用的区域启用日志记录,无论使用意图如何
172 |
173 | ## 当前积压项目
--------------------------------------------------------------------------------
/docs/zh/zh.Resource_Glossary.md:
--------------------------------------------------------------------------------
1 | # 资源词汇表
2 | 本文档仅供参考。 它代表了截至本文档发布之日 Amazon Web Services (AWS) 提供的当前产品和实践,这些产品和做法如有更改,恕不另行通知。 客户有责任对本文档中的信息以及对 AWS 产品或服务的任何使用情况进行自己的独立评估,每种产品或服务都是 “按原样” 提供的,无论是明示还是暗示的担保。 本文档不创建 AWS、其附属公司、供应商或许可方的任何担保、陈述、合同承诺、条件或保证。 AWS 对客户的责任和责任受 AWS 协议的控制,本文档既不是 AWS 与其客户之间的任何协议的一部分,也不修改。
3 |
4 | © 2024 Amazon 网络服务公司或其附属公司。 保留所有权利。 本作品根据知识共享署名 4.0 国际许可协议进行许可。
5 |
6 | 提供此 AWS 内容须遵守 http://aws.amazon.com/agreement 提供的 AWS 客户协议的条款或客户与 Amazon Web Services, Inc. 或 Amazon 网络服务 EMEA SARL 或两者之间的其他书面协议。
7 |
8 | ## 整体参考
9 | ### [AWS Cloud Adoption Framework] (https://aws.amazon.com/professional-services/CAF/)
10 | AWS 专业服务创建了 AWS Cloud Adoption Framework (AWS CAF),以帮助组织为云采用之旅制定和执行高效且高效的计划。 该框架提供的指导和最佳实践可帮助您在整个组织以及整个 IT 生命周期内构建全面的云计算方法。 使用 AWS CAF 可以帮助您更快、风险更低,从采用云中获得可衡量的业务收益。
11 | ### [AWS Security Incident Response Guide Wiki] (https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
12 | -[AWS Security Incident Response Guide Downloadable] (https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.pdf)
13 | 本指南概述了在客户的 AWS 云环境中应对安全事件的基础知识。 它重点概述了云安全和事件响应概念,并确定了应对安全问题的客户可以使用的云功能、服务和机制。
14 |
15 | 本白皮书面向那些担任技术角色的人,假设您熟悉信息安全的一般原则,对当前本地环境中的事件响应有基本的了解,并对云服务有一定的熟悉程度。
16 | ### [AWS Security Reference Architecture (AWS SRA)] (https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html)
17 | Amazon Web 服务 (AWS) 安全参考体系结构 (AWS SRA) 是在多账户环境中部署全套 AWS 安全服务的整体指南。 它可用于帮助设计、实施和管理 AWS 安全服务,以便它们与 AWS 最佳实践保持一致。 这些建议是围绕包括 AWS 安全服务的单页架构构建的,包括它们如何帮助实现安全目标、在 AWS 账户中最好地部署和管理这些目标,以及它们如何与其他安全服务交互。 本整体架构指南补充了详细的、特定于服务的建议,例如 [AWS 安全网站](https://docs.aws.amazon.com/security/)上的建议。
18 |
19 | ## Amazon 控制面板
20 | ### [Amazon 账单控制面板] (https://console.aws.amazon.com/billing/home #)
21 | ### [Amazon CloudTrail 控制面板] (https://console.aws.amazon.com/cloudtrail)
22 | ### [Amazon CloudWatch 控制台] (https://console.aws.amazon.com/cloudwatch/)
23 | ### [Amazon EC2 控制台] (https://console.aws.amazon.com/ec2/)
24 | ### [Amazon IAM 控制台] (https://console.aws.amazon.com/iam/)
25 | ### [Amazon 网络管理器控制面板] (https://console.aws.amazon.com/networkmanager/home)
26 | ### [Amazon 订单和发票] (https://console.aws.amazon.com/billing/home?/paymenthistory/)
27 | ### [Amazon S3 控制台] (https://console.aws.amazon.com/s3/)
28 | ### [Amazon RDS 控制台] (https://console.aws.amazon.com/rds/)
29 | ### [Amazon VPC 控制面板] (https://console.aws.amazon.com/vpc/home)
30 | ### [Amazon WAF 和盾控制台] (https://console.aws.amazon.com/wafv2/shieldv2)
31 |
32 | ## 文档和指南
33 | ### [Amazon Athena 和 VPC Flow Logs] (https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html)
34 | ### [Amazon CloudWatch 活动] (https://docs.aws.amazon.com/codepipeline/latest/userguide/create-cloudtrail-S3-source-console.html)
35 | ### [Amazon 配置] (https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
36 | ### [AWS API 描述数据库实例] (https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-instances.html)
37 | ### [AWS API list-buckets] (https://docs.aws.amazon.com/cli/latest/reference/s3api/list-buckets.html)
38 | ### [AWS 文档:避免意外费用] (https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/checklistforunwantedcharges.html)
39 | ### [AWS 文档:阻止公众访问您的 Amazon S3 存储] (https://aws.amazon.com/s3/features/block-public-access/)
40 | ### [AWS 文档:DDoS 可见性] (https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency/visibility.html)
41 | ### [AWS 文档:使用 ACL 管理 S3 访问] (https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html)
42 | ### [AWS 文档:IAM 用户的 MFA] (https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html)
43 | ### [AWS 文档:RDS 增强监控] (https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html)
44 | ### [AWS 文档:在 AWS Shield Advanced 版中申请积分] (https://docs.aws.amazon.com/waf/latest/developerguide/request-refund.html)
45 | ### [AWS 文档:AWS Shield 文档] (https://docs.aws.amazon.com/waf/latest/developerguide/shield-chapter.html)
46 | ### [AWS 文档:AWS Shield Advanced 指南] (https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-ddos.html)
47 | ### [AWS 文档:终止我的所有资源] (https://aws.amazon.com/premiumsupport/knowledge-center/terminate-resources-account-closure/)
48 | ### [AWS 文档:在 S3 存储桶中使用版本控制] (https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html)
49 | ### [AWS 文档:VPC 流日志] (https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-athena.html)
50 | ### [强制执行强制性 RDS 加密] (https://medium.com/@cbchhaya/aws-scp-to-mandate-rds-encryption-6b4dc8b036a)
51 | ### [防止用户修改 S3 阻止公共访问设置] (https://asecure.cloud/a/scp_s3_block_public_access/)
52 |
53 | ## 工具
54 | ### [AWS Cost Anomaly Detection] (https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-ad.html)
55 | AWS Cost Anomaly Detection 是一项 AWS 成本管理功能,它使用机器学习来持续监控您的成本和使用情况以检测异常支出。 使用 AWS Cost Anomaly Detection 包括以下好处:
56 | -在汇总报告中单独接收警报。 您可以通过电子邮件或 Amazon SNS 主题接收警报。
57 | -使用机器学习方法评估您的支出模式,以尽量减少误报警报。 例如,您可以评估每周或每月的季节性和有机增长。
58 | -分析并确定异常的根本原因,例如导致成本增加的帐户、服务、区域或使用类型。
59 | -配置评估成本的方式。 您可以选择是要独立分析所有 AWS 服务,还是按成员账户、成本分配标签或成本类别分析。
60 | ### [Amazon Git Secrets] (https://github.com/awslabs/git-secrets)
61 | Git Secrets ret 可以扫描合并、提交和提交消息以获取秘密信息(即访问密钥)。 如果 Git Secrets 检测到禁止的正则表达式,它可以拒绝将这些提交发布到公共仓库。
62 | ### [Amazon 督察] (https://aws.amazon.com/inspector/)
63 | Amazon Inspector 是一项自动化安全评估服务,可帮助提高 AWS 上部署的应用程序的安全性和合规性。 Amazon Inspector 会自动评估应用程序的风险、漏洞以及偏离最佳实践的情况。
64 | ### [Amazon Macie] (https://aws.amazon.com/macie/)
65 | Amazon Macie 是一项完全托管的数据安全和数据隐私服务,它使用机器学习和模式匹配来发现和保护 AWS 中的敏感数据。 可以在 AWS 管理控制台中搜索和筛选 Macie 的警报或调查结果,然后发送到 Amazon EventBridge(以前称为 Amazon CloudWatch Events),以便与现有的工作流程或事件管理系统轻松集成,或与 AWS 服务(例如 AWS Step Functions)结合使用采取自动补救措施。
66 | ### [Amazon 安全中心] (https://aws.amazon.com/security-hub/?aws-security-hub-blogs.sort-by=item.additionalFields.createdDate&aws-security-hub-blogs.sort-order=desc)
67 | AWS Security Hub 为您提供了整个 AWS 账户的安全警报和安全状况的全面视图。 借助 Security Hub,您现在可以在一个地方聚合、组织和优先考虑来自多个 AWS 服务的安全警报或调查结果,例如 Amazon GuardDuty、Amazon Inspector、Amazon Macie、AWS 身份和访问管理 (IAM) 访问分析器、AWS 系统管理器和 AWS 防火墙经理以及 AWS 合作伙伴网络 (APN) 解决方案。
68 | ### [Prowler] (https://github.com/toniblyx/prowler)
69 | Prowler 是一款命令行工具,可以帮助您进行 AWS 安全评估、审计、强化和事件响应。 它遵循 CIS Amazon Web Services Foundations Benchmark 指南(49 个支票),并有 100 多项额外支票,包括与 GDPR、HIPAA、PCI-DSS、ISO-27001、FFIEC、SOC2 和其他相关的支票。
70 | ### [自助安全评估] (https://aws.amazon.com/blogs/publicsector/assess-your-security-posture-identify-remediate-security-gaps-ransomware/)
71 | Self-Service Security Assessment 使用简单的 AWS CloudFormation 模板进行部署,该模板包括一个带两个子网、一个 NAT 网关、一个 Amazon 弹性计算云 (Amazon EC2) 实例和一个亚马逊简单存储服务 (Amazon S3) 存储桶的专用亚马逊虚拟私有云 (Amazon VPC)。 部署后,开源项目 Prowler 和 ScoutSuite 将被下载并安装在 Amazon EC2 实例中,然后开始使用 AWS API 在本地扫描 AWS 账户,以运行 256 个以上的时间点检查。 这些检查会查看 AWS CloudTrail、Amazon CloudWatch、Amazon EC2、Amazon GuardDuty、AWS 身份和访问管理 (AWS IAM)、亚马逊关系数据库服务 (Amazon Amazon RDS)、Amazon Route 53 和 Amazon S3 等服务的当前 AWS 设置,并根据安全最佳实践对其进行评估。
72 | ## 训练
73 | ### [AWS RE: INFORCE] (https://reinforce.awsevents.com/faq/)
74 | AWS Re: inForce 是一次云安全会议,旨在帮助您提高安全意识和最佳实践。 加入我们,获取专注于 AWS 产品和服务的技术内容、以 AWS 安全领导地位为特色的主题演讲,以及直接接触可以帮助扩展云安全性和合规性知识的专家。
--------------------------------------------------------------------------------
/docs/zh/zh.Responding_to_SES_Events.md:
--------------------------------------------------------------------------------
1 | # 事件响应行动手册:应对简单的电子邮件服务事件
2 |
3 | ## 联系点
4 |
5 | 作者:`作者姓名`
6 | 批准者:`批准者姓名`
7 | 最后批准日期:
8 |
9 | ### 目标
10 | 在整个行动手册的执行过程中,重点关注 _*** 预期结果 ***_,记下增强事件响应能力的注意事件。
11 |
12 | #### 确定:
13 | * ** 漏洞被利用 **
14 | * ** 观察到的漏洞和工具 **
15 | * ** 演员的意图 **
16 | * ** 演员的归因 **
17 | * ** 对环境和业务造成的损害 **
18 |
19 | #### 恢复:
20 | * ** 返回原始和强化配置 **
21 |
22 | #### 增强 CAF 安全视角组件:
23 | [AWS 云采用框架安全角度] (https://docs.aws.amazon.com/whitepapers/latest/aws-caf-security-perspective/aws-caf-security-perspective.html)
24 | * ** 指令 **
25 | * ** 侦探 **
26 | * ** 响应 **
27 | * ** 预防性 **
28 |
29 | ### 响应步骤
30 | 1. [** 准备 **] 对 IAM 使用 AWS GuardDuty 检测
31 | 2. [** 准备 **] 识别、记录和测试上报程序
32 | 3. [** 检测和分析 **] 执行检测和分析 CloudTrail 以查找无法识别的 API 事件
33 | 4. [** 检测和分析 **] 执行检测和分析 CloudWatch 是否有无法识别的事件
34 | 3. [** 遏制和消除 **] 删除或轮换 IAM 用户密钥
35 | 4. [** 遏制和消除 **] 删除或轮换无法识别的资源
36 | 5. [** RECOVERY**] 酌情执行恢复程序
37 |
38 | *** 响应步骤遵循 [NIST 特别出版物 800-61r2 计算机安全事件处理指南] 中的事件响应生命周期(https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)
39 |
40 | ### 事件分类和处理
41 | * ** 策略、技巧和程序 **:
42 | * ** 类别 **:
43 | * ** 资源 **:SES
44 | * ** 指标 **:
45 | * ** 日志来源 **:
46 | * ** 团队 **:安全运营中心 (SOC)、法医调查员、云工程
47 |
48 | ## 事件处理流程
49 | ### 事件响应流程有以下几个阶段:
50 | * 准备
51 | * 检测和分析
52 | * 遏制和根除
53 | * 恢复
54 | * 事件后活动
55 |
56 | ## 执行摘要
57 | 本行动手册概述了应对针对 AWS 简单电子邮件服务 (SES) 的攻击的流程。 结合本指南,请查看 [Amazon SES 发送审核流程常见问题解答] (https://docs.aws.amazon.com/ses/latest/DeveloperGuide/faqs-enforcement.html),了解执法行动的答案和对不良 SES 使用的回应。
58 |
59 | 有关更多信息,请查看 [AWS 安全事件响应指南] (https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
60 |
61 | ## 准备-一般
62 | * 评估你的安全态势以识别和补救安全漏洞
63 | * AWS 开发了一种新的开源 [自助安全评估] (https://aws.amazon.com/blogs/publicsector/assess-your-security-posture-identify-remediate-security-gaps-ransomware/) 工具,该工具为客户提供了时间点评估,以获得对其 AWS 安全状况的宝贵见解账户。
64 | * 维护所有资源的完整资产清单,包括服务器、网络设备、网络/文件共享和开发人员机器
65 | * 考虑实施 [AWS GuardDuty] (https://aws.amazon.com/guardduty/) 以持续监控恶意活动和未经授权的行为,以保护存储在 Amazon SES 中的 AWS 账户、工作负载和数据
66 | * 实施 [CIS AWS 基金会] (https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls.html),包括账户到期和强制性证书轮换
67 | * ** 强制执行多因素身份验证 (MFA) **
68 | * 强制执行密码复杂性要求并确定到期期
69 | * 运行 [IAM 凭证报告] (https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html) 以列出账户中的所有用户及其各种证书的状态,包括密码、访问密钥和 MFA 设备
70 | * 使用 [AWS IAM 访问分析器] (https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 识别组织和账户中的资源,例如与外部实体共享的 IAM 角色。 这使您可以识别对资源和数据的意外访问权限,这是一种安全风险
71 |
72 | ## 准备-SES 特定
73 | * 使用发送授权策略控制谁可以发送电子邮件以及从哪里发送
74 | * https://docs.aws.amazon.com/ses/latest/dg/sending-authorization.html
75 | * 使用配置集来控制允许发送消息的 IP 地址和身份
76 | * https://docs.aws.amazon.com/ses/latest/dg/using-configuration-sets.html
77 | * 考虑为 Amazon SES 使用专用 IP 地址
78 | * https://docs.aws.amazon.com/ses/latest/dg/dedicated-ip.html
79 | * 在 Amazon SES 中管理您自己的邮件和订阅列表以及电子邮件禁止
80 | * https://docs.aws.amazon.com/ses/latest/dg/lists-and-subscriptions.html
81 | * 为实时通知设置 Amazon SES 事件发布
82 | * https://docs.aws.amazon.com/ses/latest/dg/monitor-sending-using-event-publishing-setup.html
83 | * 在 Amazon SES 中使用最低权限的身份和访问管理
84 | * https://docs.aws.amazon.com/ses/latest/dg/control-user-access.html
85 | * 查看 SES 最佳实践,重点关注安全性和访问权限
86 | * https://docs.aws.amazon.com/ses/latest/DeveloperGuide/best-practices.html(经典)
87 | * https://docs.aws.amazon.com/ses/latest/DeveloperGuide/control-user-access.html(经典)
88 | * 为自己的域设置 SPF、DKIM 和 DMARC,以帮助防止网络钓鱼和欺骗
89 | * https://docs.aws.amazon.com/ses/latest/dg/email-authentication-methods.html
90 |
91 | ### 潜在的 AWS GuardDuty 检测
92 | 以下调查结果特定于 IAM 实体和访问密钥,并且始终具有 AccessKey 的资源类型。 调查结果的严重性和详细信息因查找结果类型而异。 有关每种查找类型的更多信息,请参阅 [GuardDuty IAM 查找类型] (https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html) 网页。
93 |
94 | * 凭据访问权限:iAMERS/ 异常行为
95 | * Defenseevasion: iAMERS/ 异常行为
96 | * 发现:iAMERS/ 异常行为
97 | * 渗透:iAMERS/ 异常行为
98 | * 影响:iAMERS/ 异常行为
99 | * 初始访问:iAMERS/ 异常行为
100 | * 五旬节:iAMER/Kalilinux
101 | * 五旬节:iAMER/ParrotLinux
102 | * 五旬节:iAMER/pentoolLinux
103 | * 持久性:iAMERS/ 异常行为
104 | * 政策:iAMER/root 凭据使用
105 | * 特权升级:iAMERS/ 异常行为
106 | * RECOS: iAMERS/ 恶意拨打呼叫者
107 | * RECOS: iAMER/恶意ipCaller.自定义
108 | * RECOS: iAMERS/ ToripPaller
109 | * 隐身:iAMER/CloudTrail 日志记录已禁用
110 | * 隐身:iAMER/密码政策更改
111 | * 未经授权的访问:iAMERS/ 控制台登录成功。B
112 | * 未经授权的访问权限:iAMER/实例证书Explover.外部AWS
113 | * 未经授权访问:iAMERS/ 恶意拨打呼叫者
114 | * 未经授权的访问:iAMER/ 恶意 IP 呼叫者。自定义
115 | * 未经授权的访问:iAMER/ToripPaller
116 |
117 | ## 上报程序
118 | -“我需要就什么时候进行 EC2 取证作出业务决定 `
119 | -“谁在监控日志/警报,接收日志/警报并对其采取行动? `
120 | -“发现警报后谁会收到通知? `
121 | -“什么时候公共关系和法律参与这一过程? `
122 | -“你什么时候联系 AWS Support 寻求帮助? `
123 |
124 | ## 检测和分析
125 | ### CloudTrail
126 | Amazon SES 与 AWS CloudTrail 集成,该服务提供了 Amazon SES 中的用户、角色或 AWS 服务所采取的操作的记录。 CloudTrail 将 Amazon SES 的 API 调用作为事件捕获。 捕获的调用包括来自 Amazon SES 控制台的调用以及对 Amazon SES API 操作的代码调用。
127 |
128 | 以下是特定的 CloudTrail `eventName` 事件,用于查找与 SES 相关的账户变更:
129 |
130 | * 删除身份
131 | * 删除身份策略
132 | * 删除收据过滤器
133 | * 删除收据规则
134 | * 删除收据规则集
135 | * 删除已验证的电子邮件地址
136 | * 获取 SendPquota
137 | * Put身份政策
138 | * 更新收据规则
139 | * 验证 ydomaindKim
140 | * 验证域身份
141 | * 验证电子邮件地址
142 | * 验证电子邮件身份
143 |
144 | [使用 CloudTrail 事件历史记录查看活动] (https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)
145 |
146 | ### 其他侦探控件
147 | * 记录和监控 SES 事件(例如发送、退回、投诉等)
148 | * https://docs.aws.amazon.com/ses/latest/dg/monitor-sending-activity.html
149 | * https://aws.amazon.com/blogs/messaging-and-targeting/handling-bounces-and-complaints/
150 | * 监控发件人信誉指标
151 | * https://docs.aws.amazon.com/ses/latest/dg/monitor-sender-reputation.html
152 | * 为 SES 指标设置适当的 Cloudwatch 警报或仪表板
153 | * https://docs.aws.amazon.com/ses/latest/dg/security-monitoring-overview.html
154 |
155 | ## 遏制和根除
156 | * [删除或轮换 IAM 用户密钥] (https://console.aws.amazon.com/iam/home#users) 和 [root 用户密钥] (https://console.aws.amazon.com/iam/home#security_credential);如果您无法识别已公开的特定密钥或密钥,则可能希望轮换账户中的所有密钥
157 | * [删除未经授权的 IAM 用户] (https://console.aws.amazon.com/iam/home#users。)
158 | * [删除未经授权的政策] (https://console.aws.amazon.com/iam/home#/policies)
159 | * [删除未经授权的角色] (https://console.aws.amazon.com/iam/home#/roles)
160 | * [吊销临时证书] (https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_disable-perms.html#denying-access-to-credentials-by-issue-time)。 也可以通过删除 IAM 用户来吊销临时证书。
161 | * 注意:删除 IAM 用户可能会影响生产工作负载,应谨慎完成
162 |
163 | ## 恢复
164 | * 使用最低权限访问策略创建新的 IAM 用户
165 | * 实施 “准备-SES 特定” 部分中的步骤和资源
166 | * 记录和监控 SES 事件(例如发送、退回、投诉等)
167 | * https://docs.aws.amazon.com/ses/latest/dg/monitor-sending-activity.html
168 | * https://aws.amazon.com/blogs/messaging-and-targeting/handling-bounces-and-complaints/
169 | * 监控发件人信誉指标
170 | * https://docs.aws.amazon.com/ses/latest/dg/monitor-sender-reputation.html
171 | * 为 SES 指标设置适当的 Cloudwatch 警报或仪表板
172 | * https://docs.aws.amazon.com/ses/latest/dg/security-monitoring-overview.html
173 |
174 | ## 吸取的教训
175 | “这里是一个添加特定于贵公司的物品的地方,这些物品不一定需要 “修复”,但在与运营和业务要求同时执行本行动手册时也很重要。 `
176 |
177 | ## 已解决积压项目
178 |
179 | ## 当前积压项目
--------------------------------------------------------------------------------
/docs/zh/zh.S3_Public_Access.md:
--------------------------------------------------------------------------------
1 | # 事件响应行动手册:公共资源曝光-S3
2 | 本文档仅供参考。 它代表了截至本文档发布之日 Amazon Web Services (AWS) 提供的当前产品和实践,这些产品和做法如有更改,恕不另行通知。 客户有责任对本文档中的信息以及对 AWS 产品或服务的任何使用情况进行自己的独立评估,每种产品或服务都是 “按原样” 提供的,无论是明示还是暗示的担保。 本文档不创建 AWS、其附属公司、供应商或许可方的任何担保、陈述、合同承诺、条件或保证。 AWS 对客户的责任和责任受 AWS 协议的控制,本文档既不是 AWS 与其客户之间的任何协议的一部分,也不修改。
3 |
4 | © 2024 Amazon 网络服务公司或其附属公司。 保留所有权利。 本作品根据知识共享署名 4.0 国际许可协议进行许可。
5 |
6 | 提供此 AWS 内容须遵守 http://aws.amazon.com/agreement 提供的 AWS 客户协议的条款或客户与 Amazon Web Services, Inc. 或 Amazon 网络服务 EMEA SARL 或两者之间的其他书面协议。
7 |
8 | ## 联系点
9 |
10 | 作者:`作者姓名`
11 | 批准者:`批准者姓名`
12 | 最后批准日期:
13 |
14 | ## 执行摘要
15 | 本行动手册概述了识别公共资源所有者的过程,确定谁可能在公开时访问了这些资源,确定撤销对资源的访问权限的影响,以及确定公共可访问性的根本原因的过程。
16 |
17 | ## 潜在的妥协指标
18 | -来自 AWS 服务仪表板的公共访问警告
19 | -CloudTrail “获取公共访问块”、“删除公共访问块”、“获取 OBJECTACL”、`PUT OBJECTACL `
20 | -安全研究员关于公开访问资源的通知
21 | -从公共互联网协议 (IP) 地址中删除资源
22 |
23 | ## 潜在的 AWS GuardDuty 调查结果
24 | -Discovery: S3/MaliciousIPCaller
25 | -Discovery: S3/MaliciousIPCaller.Custom
26 | -Discovery: S3/TorIPCaller
27 | -Exfiltration: S3/MaliciousIPCaller
28 | -Exfiltration: S3/ObjectRead.Unusual
29 | -Impact: S3/MaliciousIPCaller
30 | -PenTest: S3/KaliLinux
31 | -PenTest: S3/ParrotLinux
32 | -PenTest: S3/PentooLinux
33 | -Policy: S3/AccountBlockPublicAccessDisabled
34 | -Policy: S3/BucketAnonymousAccessGranted
35 | -Policy: S3/BucketBlockPublicAccessDisabled
36 | -Policy: S3/BucketPublicAccessGranted
37 | -Stealth: S3/ServerAccessLoggingDisabled
38 | -UnauthorizedAccess: S3/MaliciousIPCaller.Custom
39 | -UnauthorizedAccess: S3/TorIPCaller
40 |
41 | ### 目标
42 | 在整个行动手册的执行过程中,重点关注 _*** 预期结果 ***_,记下增强事件响应能力的注意事件。
43 |
44 | #### 确定:
45 | * ** 漏洞被利用 **
46 | * ** 观察到的漏洞和工具 **
47 | * ** 演员的意图 **
48 | * ** 演员的归因 **
49 | * ** 对环境和业务造成的损害 **
50 |
51 | #### 恢复:
52 | * ** 返回原始和强化配置 **
53 |
54 | #### 增强 CAF 安全视角组件:
55 | [AWS Cloud Adoption Framework 安全角度] (https://docs.aws.amazon.com/whitepapers/latest/aws-caf-security-perspective/aws-caf-security-perspective.html)
56 | * ** 指令 **
57 | * ** 侦探 **
58 | * ** 响应 **
59 | * ** 预防性 **
60 |
61 | ! [图片] (/images/aws_caf.png)
62 | * * *
63 |
64 | ### 响应步骤
65 | 1. [** 准备 **] 创建账户资产库存
66 | 2. [** 准备 **] 创建 S3 存储桶清单
67 | 3. [** 准备 **] 酌情启用日志记录
68 | 4. [** 准备 **] 确定每个存储桶中的数据类型
69 | 5. [** 准备 **] 识别、记录和测试上报程序
70 | 6. [** 准备 **] 实施培训以解决 DoS/DDoS 攻击
71 | 7. [** 检测和分析 **] 执行 S3 存储桶检查
72 | 8. [** 检测和分析 **] 查看 CloudTrail:公共 S3 存储桶
73 | 9. [** 检测和分析 **] 查看 CloudTrail:公共 S3 对象
74 | 10. [** 检测和分析 **] 查看 VPC Flow Logs
75 | 11. [** 检测和分析 **] 查看基于端点/主机
76 | 12. [** 包含 **] S3 阻止公共访问
77 | 13. [** 根除 **] S3 删除无法识别/未经授权的对象
78 | 14. [** RECOVERY**] 酌情执行恢复过程
79 |
80 | *** 响应步骤遵循 [NIST Special Publication 800-61r2 Computer Security Incident Handling Guide] 中的事件响应生命周期(https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)
81 |
82 | ! [图片] (/images/nist_life_cycle.png) ***
83 |
84 | ### 事件分类和处理
85 | * ** 策略、技术和程序 **:AWS 服务公共访问
86 | * ** 类别 **:公共访问
87 | * ** 资源 **:S3
88 | * ** 指标 **:网络威胁情报、第三方通知、Cloudwatch 指标
89 | * ** 日志源 **:S3 服务器日志、S3 Access Logs、CloudTrail、CloudWatch
90 | * ** 团队 **:安全运营中心 (SOC)、法医调查员、云工程
91 |
92 | ## 事件处理流程
93 | ### 事件响应流程有以下几个阶段:
94 | * 准备
95 | * 检测和分析
96 | * 遏制和根除
97 | * 恢复
98 | * 事件后活动
99 |
100 | ## 准备
101 |
102 | 本行动手册在可能的情况下引用并集成了 [Prowler] (https://github.com/toniblyx/prowler),这是一种命令行工具,可以帮助您进行 AWS 安全评估、审计、强化和事件响应。
103 |
104 | 它遵循 CIS Amazon Web Services Foundations Benchmark 指南(49 个支票),并有 100 多项额外支票,包括与 GDPR、HIPAA、PCI-DSS、ISO-27001、FFIEC、SOC2 和其他相关的支票。
105 |
106 | 此工具提供了客户环境中当前安全状态的快速快照。 此外,[AWS Security Hub] (https://aws.amazon.com/security-hub/?aws-security-hub-blogs.sort-by=item.additionalFields.createdDate&aws-security-hub-blogs.sort-order=desc) 提供了自动合规性扫描并可以 [与 Prowler 集成] (https://github.com/toniblyx/prowler/blob/b0fd6ce60f815d99bb8461bb67c6d91b6607ae63/README.md#security-hub-integration)
107 |
108 | ### 资产库存
109 | 确定所有现有资源并拥有更新的资产库存清单以及每个资源的拥有者
110 |
111 | #### S3 存储桶清单
112 | -使用 AWS API [list-buckets] (https://docs.aws.amazon.com/cli/latest/reference/s3api/list-buckets.html) 显示所有 Amazon S3 存储桶的名称(跨所有区域):`aws s3api 列表存储桶 — 查询 “存储桶 [] .Name" `
113 |
114 | #### 启用日志记录
115 | -检查 S3 存储桶是否在 CloudTrail 中启用了服务器级日志记录:`。 /prowler-c extra718`
116 | -检查 S3 存储桶是否在 CloudTrail 中启用了对象级日志记录:`。 /prowler-c extra725`
117 |
118 | #### 识别每个存储桶中的数据类型
119 | ** 选项 **
120 | -要查看 S3 存储桶的所有文件,请使用命令:`aws s3 ls s3: //your_bucket_name —recursive`
121 | -** 注意 ** 此 API 调用仅限于前 1000 个匹配项,不包括超过该阈值的对象
122 | -手动分类哪些存储桶和对象对公司很重要
123 | -向关键存储桶添加标签,以便元数据存在供将来参考
124 |
125 | ** 选项 B **
126 | -[Amazon Macie] (https://aws.amazon.com/macie/) 是一项完全托管的数据安全和数据隐私服务,它使用机器学习和模式匹配来发现和保护 AWS 中的敏感数据。 Amazon Macie 使用机器学习和模式匹配来经济高效地大规模发现敏感数据。
127 |
128 | ### 训练
129 | -“为了熟悉 AWS API(命令行环境)、S3、RDS 和其他 AWS 服务,公司内的分析师提供了哪些培训? `
130 | >>>
131 | 威胁检测和事件响应的机会包括:\
132 | [AWS RE: INFORCE] (https://reinforce.awsevents.com/faq/)\
133 | [Self-Service Security Assessment] (https://aws.amazon.com/blogs/publicsector/assess-your-security-posture-identify-remediate-security-gaps-ransomware/)
134 | >>>
135 |
136 | -“哪些角色能够对账户中的服务进行更改? `
137 | -“哪些用户有这些角色分配给他们? 遵守的权限最少吗?还是存在超级管理员用户? `
138 | -“是否针对您的环境进行了安全评估,您是否有已知的基准来检测 “新” 或 “可疑” 事物? `
139 |
140 | ### 通信技术
141 | -“团队/公司内部使用什么技术来沟通问题? 有什么自动化吗? `
142 | >>>
143 | 电话\
144 | 电子邮件\
145 | AWS SES\
146 | AWS SNS\
147 | Slack\
148 | Chime\
149 | 其他?
150 | >>>
151 |
152 | ## 检测
153 |
154 | ### S3 存储桶检查
155 | -确保在 CloudTrail S3 存储桶上启用 S3 存储桶访问日志记录:`。 /prowler-c check26`
156 | -确保没有向所有人或任何 AWS 用户开放的 S3 存储桶:`。 /prowler-c extra73`
157 | -确定组织和账户中与外部实体共享的资源(例如 Amazon S3 存储桶或 IAM 角色)中与外部实体共享的资源:`。 /prowler-c extra769`
158 | -查找暴露在互联网上的资源:`。 /prowler-g group17`
159 |
160 | ## 上报程序
161 | -“谁在监控日志/警报,接收日志/警报并对其采取行动? `
162 | -“发现警报后谁会收到通知? `
163 | -“什么时候公共关系和法律参与这一过程? `
164 | -“你什么时候联系 AWS Support 寻求帮助? `
165 |
166 | ## 分析
167 | 强烈建议将日志导出到安全事件事件管理 (SIEM) 解决方案(例如 Splunk、ELK stack 等),以帮助查看和分析各种日志,以进行更完整的攻击时间表分析。
168 |
169 | ### CloudTrail:公共 S3 存储桶
170 | 默认情况下,CloudTrail 会记录过去 90 天内发出的 API 调用,但不记录对对象的请求。 您可以在 CloudTrail 控制台上查看存储桶级别的事件。 但是,您无法在那里查看数据事件(Amazon S3 对象级调用),您必须解析或查询 CloudTrail 日志以获取这些事件。
171 |
172 | 1. 导航到你的 [CloudTrail 控制面板](https://console.aws.amazon.com/cloudtrail)
173 | 1. 在左边栏中选择 “事件历史记录”
174 | 1. 在下拉菜单中,从 “只读” 更改为 “事件名称”
175 | 1. 查看 CloudTrail 日志以获取事件名称 “获取公共访问区块” 和 “删除公共访问块”
176 |
177 | ### CloudTrail:公共 S3 对象
178 | 您还可以获取对象级 Amazon S3 操作的 CloudTrail 日志。 为此,请为 S3 存储桶或账户中的所有存储桶启用数据事件。 当您的账户中发生对象级别的操作时,CloudTrail 会评估您的跟踪设置。 如果事件与您在跟踪中指定的对象匹配,则会记录该事件。
179 |
180 | 1. 导航到你的 [CloudTrail 控制面板](https://console.aws.amazon.com/cloudtrail)
181 | 1. 在左边栏中选择 “事件历史记录”
182 | 1. 在下拉菜单中,从 “只读” 更改为 “事件名称”
183 | 1. 查看 CloudTrail 日志以获取事件名称 `getObjectacL` 和 `putObjectacL`
184 |
185 | ### VPC Flow Logs
186 | VPC Flow Logs 是一项功能,使您能够捕获有关进出 VPC 中网络接口的 IP 流量的信息。 这对于在 CloudTrail 中发现的 IP 地址非常有用,以确定与任何公共资源的外部连接类型。
187 |
188 | 有关更多信息和步骤,包括使用 Athena 进行查询,请参阅 [适用于 VPC Flow Logs 的 AWS 文档] (https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-athena.html)。 建议将 Athena 分析纳入单独的手册中,并与其他相关内容链接。
189 |
190 | ### 端点/基于主机
191 | 1. 导航到你的 [CloudTrail 控制面板](https://console.aws.amazon.com/cloudtrail)
192 | 1. 在左边栏中选择 “事件历史记录”
193 | 1. 在下拉菜单中,从 “只读” 更改为 “事件名称”
194 | 1. 查看 CloudTrail 是否有来自公有 IP 地址的 `putObject` 和 `删除Object` 请求
195 |
196 | -查看 EC2 操作系统和应用程序日志是否存在不当登录、安装未知软件或是否存在无法识别的文件。
197 |
198 | -强烈建议使用基于主机的第三方入侵检测系统 (HIDS) 解决方案(例如 OSSEC、Tripwire、Wazuh、[Amazon Inspector](https://aws.amazon.com/inspector/)等)
199 |
200 | ## 遏制
201 |
202 | ### S3 阻止公共访问
203 | aws s3api 放入公共访问块 — 存储桶存储桶名称 — 这里 — 公共访问区块配置 “block PublicLs=True,ignopublic acls=True,区块公共策略 = 真,限制公共Buckets=True”
204 |
205 | 您还可以查看 [阻止对 Amazon S3 存储的公共访问] (https://aws.amazon.com/s3/features/block-public-access/),了解有关在您的账户中阻止公共 S3 访问的更多详细信息。
206 |
207 | ## 根除
208 |
209 | ### S3 删除无法识别的/未经授权的对象
210 | 从存储桶中删除任何无法识别的
211 |
212 | 1. 登录 AWS 管理控制台并通过 https://console.aws.amazon.com/s3/ 打开 Amazon S3 控制台
213 | 1. 在存储桶名称列表中,选择要从中删除对象的存储桶的名称。
214 | 1. 选择要删除的对象的名称。
215 | 1. 要删除对象的当前版本,请选择 “最新版本”,然后选择垃圾桶图标。
216 | 1. 要删除对象的早期版本,请选择 “最新版本”,然后选择要删除的版本旁边的垃圾桶图标。
217 |
218 | ## 恢复
219 | 与为根除所列的程序相同
220 |
221 | ## 预防性行动
222 |
223 | ### S3 Prowler 检查
224 | ** 加密 **
225 | -检查 S3 存储桶是否启用了默认加密 (SSE):`。 /prowler-c extra734`
226 |
227 | ** 灾难恢复 **
228 | -检查 S3 存储桶是否启用了对象版本控制:`。 /prowler-c extra763`
229 |
230 | ### S3 服务操作
231 | [防止用户修改 S3 阻止公共访问设置] (https://asecure.cloud/a/scp_s3_block_public_access/)
232 |
233 | 定期每月查看存储桶访问权限和策略,并利用 [CloudWatch Event] (https://docs.aws.amazon.com/codepipeline/latest/userguide/create-cloudtrail-S3-source-console.html) 或安全中心进行自动检测
234 |
235 | [在 S3 存储桶中使用版本控制] (https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) 以减轻意外或故意删除顶级对象
236 |
237 | [使用 ACL 管理访问] (https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html) 以限制对存储桶和对象级别的资源的未经授权的访问
238 |
239 | ### AWS Config
240 | [AWS Config] (https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 有多个自动化规则来防止公共访问,包括 [s3-bucket-level-public-access-prohibited] (https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html)。
241 |
242 | ### 整体安全态势
243 | 针对环境执行 [Self-Service Security Assessment](https://aws.amazon.com/blogs/publicsector/assess-your-security-posture-identify-remediate-security-gaps-ransomware/),以进一步识别本行动手册中未发现的其他风险和其他潜在的公众风险。
244 |
245 | ## 吸取的教训
246 | “这是一个添加不需要 “修复” 但在与运营和业务要求同时执行本行动手册时必须了解的特定项目的地方。 `
247 |
248 | ## 已解决积压项目
249 | -作为事件响应者,我需要一本关于如何减少错误公开的资源的运行手册
250 | -作为事件响应者,我需要能够检测公共资源(AMI、EBS 卷、ECR 回购等)
251 | -作为事件响应者,我需要知道哪些角色能够在 AWS 中进行重大更改
252 | -作为事件响应者,我需要一本关于减少公共存储桶风险和所需升级积分的行动手册
253 | -作为事件响应者,我需要有关不同存储桶分类所需日志的文档
254 |
255 | ## 当前积压项目
--------------------------------------------------------------------------------
/docs/zh/zh.rationalization_of_security_incident_handling.md:
--------------------------------------------------------------------------------
1 | # 安全事件警报的合理化
2 | 本文档仅供参考。 它代表了截至本文档发布之日 Amazon Web Services (AWS) 提供的当前产品和实践,这些产品和做法如有更改,恕不另行通知。 客户有责任对本文档中的信息以及对 AWS 产品或服务的任何使用情况进行自己的独立评估,每种产品或服务都是 “按原样” 提供的,无论是明示还是暗示的担保。 本文档不创建 AWS、其附属公司、供应商或许可方的任何担保、陈述、合同承诺、条件或保证。 AWS 对客户的责任和责任受 AWS 协议的控制,本文档既不是 AWS 与其客户之间的任何协议的一部分,也不修改。
3 |
4 | © 2024 Amazon 网络服务公司或其附属公司。 保留所有权利。 本作品根据知识共享署名 4.0 国际许可协议进行许可。
5 |
6 | 提供此 AWS 内容须遵守 http://aws.amazon.com/agreement 提供的 AWS 客户协议的条款或客户与 Amazon Web Services, Inc. 或 Amazon 网络服务 EMEA SARL 或两者之间的其他书面协议。
7 |
8 | > “如果你以同样的活力保护你的回形针和钻石,你很快就会有更多的回形针和更少的钻石。” 美国前国务卿迪恩·拉斯克说
9 |
10 | 警报由安全控制开发期间工作负载的威胁建模决定。 警报使用由响应式控件定义,但是,它的定义取决于整个安全角度:指令、预防、侦探和响应。
11 |
12 | ## 定义
13 |
14 | ### 威胁建模:
15 |
16 | * ** 工作负载 **:你想保护什么
17 | * ** 威胁 **:你害怕发生什么
18 | * ** 影响 **:当威胁遇到工作负载时,业务会如何受到影响
19 | * ** 漏洞 **:什么可以促进威胁
20 | * ** 缓解 **:有哪些控制措施来弥补漏洞
21 | * ** 概率 **:实施缓解措施后,威胁发生的可能性有多大
22 |
23 | ** 威胁的优先级是影响和可能性的一个因素。 **
24 |
25 | ### 安全控制:
26 |
27 | * ** 指令性 ** 控制措施建立了环境将在其中运行的治理、风险和合规模型。
28 | * ** 预防性 ** 控制措施可保护您的工作负载并缓解威胁和漏洞。
29 | * ** 侦测 ** 控件提供了对 AWS 中部署运行的完全可见性和透明度。
30 | * ** 响应性 ** 控制措施有助于修复可能偏离安全基准的情况。
31 |
32 |
33 | ! [图片] (/images/image-caf-sec.png)
34 |
35 | ## 为了最大限度地减少警报疲劳并更好地处理安全事件,威胁建模上下文应考虑以下内容:
36 |
37 | * 工作负载与业务的相关性 (*)。
38 | * 每个工作负载组件的数据分类 (*)。
39 | * 一贯使用的方法,例如 STRIDE(欺骗、篡改、信息披露、拒绝服务和特权提升)
40 | * 云安全准备情况和成熟度。
41 | * 事件响应和威胁狩猎能力。
42 | * 自动修复功能。
43 | * 事件处理自动化成熟度。
44 |
45 |
46 | (*) *** 工作负载相关性和数据分类 *** 由公司的风险框架举措定义。 示例:
47 |
48 | ### 工作负载相关性:
49 |
50 | ** 高 **:重大货币损失和形象感知损失、长期业务影响、复苏成功率低
51 | ** 中度 **:可持续的货币损失和形象感知损失、短期业务影响、高度复苏成功
52 | ** 低 **:没有可衡量的货币损失和图像感知损失,没有业务影响,复苏不适用
53 |
54 | ### 数据分类:
55 |
56 | ** 秘密 **:重大货币损失和形象感知损失、长期业务影响、复苏成功率低
57 | ** 保密 **:可持续的货币损失和图像感知损失、短期业务影响、高度复苏成功
58 | ** 未分类 **:没有可衡量的货币损失和图像感知损失,没有业务影响,复苏不适用
59 |
60 |
61 | ## 警报优先级的目标是将它们发送到适当的队列:
62 |
63 | * 警报分类队列
64 | * 威胁狩猎队列
65 | * 存档队列
66 |
67 |
68 | 定义警报的最终位置的过程取决于之前列举的所有因素。 基本的排队决定如下:
69 |
70 | ### 警报分类队列:
71 |
72 | 1. 具体的风险框架任务,包括但不限于行业监管、法定合规性、业务要求。 在这种情况下,工作负载具有 ** 高 ** 相关性或数据被归类为 ** 秘密 **。
73 | 2. 启动正式事件响应流程的特定威胁模型要求。
74 | 3. 如果工作负载具有 ** 中等 ** 或 ** 高 ** 相关性或数据分类为 ** 秘密 ** 或 ** 机密 ** 的警报,自动修复失败。
75 |
76 | ### ** 威胁狩猎队列 **:
77 |
78 | 1. 对于具有 ** 中等 ** 或 ** 高 ** 相关性的工作负载,自动修复成功或数据分类属于 ** 秘密 ** 或 ** 机密 **。
79 | 2. 对于具有 ** 低 ** 相关性的工作负载自动修复失败,或者数据分类为 ** 未分类 **。
80 |
81 | ### 存档队列:
82 |
83 | 1. 对于相关性 ** 低 ** 的工作负载自动修复成功,或者数据分类为 ** 未分类 **。
--------------------------------------------------------------------------------
/images/VPC-example.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/VPC-example.png
--------------------------------------------------------------------------------
/images/aws_caf.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/aws_caf.png
--------------------------------------------------------------------------------
/images/bedrock-01.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/bedrock-01.png
--------------------------------------------------------------------------------
/images/bedrock-02.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/bedrock-02.png
--------------------------------------------------------------------------------
/images/bedrock-03.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/bedrock-03.png
--------------------------------------------------------------------------------
/images/bedrock-04.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/bedrock-04.png
--------------------------------------------------------------------------------
/images/bedrock-05.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/bedrock-05.png
--------------------------------------------------------------------------------
/images/bedrock-06.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/bedrock-06.png
--------------------------------------------------------------------------------
/images/bedrock-07.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/bedrock-07.png
--------------------------------------------------------------------------------
/images/bedrock-09.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/bedrock-09.png
--------------------------------------------------------------------------------
/images/bedrock-10.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/bedrock-10.png
--------------------------------------------------------------------------------
/images/bedrock-11.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/bedrock-11.png
--------------------------------------------------------------------------------
/images/bedrock-12.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/bedrock-12.png
--------------------------------------------------------------------------------
/images/bedrock-13.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/bedrock-13.png
--------------------------------------------------------------------------------
/images/image-caf-sec.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/image-caf-sec.png
--------------------------------------------------------------------------------
/images/image1.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/image1.png
--------------------------------------------------------------------------------
/images/image2.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/image2.png
--------------------------------------------------------------------------------
/images/image3.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/image3.png
--------------------------------------------------------------------------------
/images/image4.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/image4.png
--------------------------------------------------------------------------------
/images/image6.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/image6.png
--------------------------------------------------------------------------------
/images/image7.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/image7.png
--------------------------------------------------------------------------------
/images/image8.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/image8.png
--------------------------------------------------------------------------------
/images/nist_life_cycle.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/nist_life_cycle.png
--------------------------------------------------------------------------------
/images/sagemaker-01.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/sagemaker-01.png
--------------------------------------------------------------------------------
/images/sagemaker-02.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/sagemaker-02.png
--------------------------------------------------------------------------------
/images/sagemaker-03.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/sagemaker-03.png
--------------------------------------------------------------------------------
/images/sagemaker-04.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/sagemaker-04.png
--------------------------------------------------------------------------------
/images/sagemaker-05.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/sagemaker-05.png
--------------------------------------------------------------------------------
/images/sagemaker-06.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aws-samples/aws-customer-playbook-framework/ac295ba7b64479f00417dfe82ab93ff288681b26/images/sagemaker-06.png
--------------------------------------------------------------------------------