# Vorfallsreaktion
<a name="a-incident-response"></a>

**Topics**
+ [SICH 10  Wie können Sie Vorfälle voraussagen, darauf reagieren und diese beheben?](w2aac19b7c15b5.md)

# SICH 10  Wie können Sie Vorfälle voraussagen, darauf reagieren und diese beheben?
<a name="w2aac19b7c15b5"></a>

Die Vorbereitung ist entscheidend für eine rechtzeitige und effektive Untersuchung, Reaktion auf und Wiederherstellung nach Sicherheitsvorfällen, um Unterbrechungen der Geschäftsabläufe zu minimieren.

**Topics**
+ [SEC10-BP01 Identifizieren wichtiger Mitarbeiter und externer Ressourcen](sec_incident_response_identify_personnel.md)
+ [SEC10-BP02 Entwickeln von Vorfallmanagementplänen](sec_incident_response_develop_management_plans.md)
+ [SEC10-BP03 Vorbereiten forensischer Funktionen](sec_incident_response_prepare_forensic.md)
+ [SEC10-BP04 Automatische Eingrenzung](sec_incident_response_auto_contain.md)
+ [SEC10-BP05 Vorab bereitgestellter Zugriff](sec_incident_response_pre_provision_access.md)
+ [SEC10-BP06 Vorabbereitstellen von Tools](sec_incident_response_pre_deploy_tools.md)
+ [SEC10-BP07 Durchführen von Gamedays](sec_incident_response_run_game_days.md)

# SEC10-BP01 Identifizieren wichtiger Mitarbeiter und externer Ressourcen
<a name="sec_incident_response_identify_personnel"></a>

 Ermitteln Sie interne und externe Mitarbeiter und Ressourcen, die bei Auftreten eines Vorfalls reagieren können. 

Wenn Sie Ihren Ansatz zur Vorfallreaktion in der Cloud definieren, müssen Sie in Zusammenarbeit mit anderen Teams (z. B. Rechtsberater, Geschäftsleitung, Business-Stakeholder, AWS-Support-Services usw.) wichtige Mitarbeiter, Interessengruppen und relevante Kontakte identifizieren. Um Abhängigkeiten zu reduzieren und die Reaktionszeit zu verkürzen, müssen Sie sicherstellen, dass Ihr Team, die spezialisierten Sicherheitsteams und die Kundendienstmitarbeiter über die Services informiert sind, die Sie nutzen, und die Gelegenheit erhalten, praktische Erfahrungen zu sammeln.

Wir empfehlen Ihnen, externe AWS-Sicherheitspartner zu identifizieren, die Ihnen externes Fachwissen und eine andere Perspektive bieten können, um Ihre Reaktionsfähigkeit zu verbessern. Ihre vertrauenswürdigen Sicherheitspartner können Ihnen dabei helfen, potenzielle Risiken oder Bedrohungen zu identifizieren, mit denen Sie möglicherweise nicht vertraut sind.

 **Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Identifizieren wichtiger Mitarbeiter in Ihrer Organisation: Pflegen Sie eine Kontaktliste mit Mitarbeitern Ihrer Organisation, die bei Eintreten eines Vorfalls hinzugezogen werden müssen, um darauf zu reagieren und die Sicherheit wiederherzustellen. 
+  Identifizieren externer Partner: Beauftragen Sie gegebenenfalls externe Partner, die bei der Reaktion auf einen Vorfall und bei der Wiederherstellung der Sicherheit behilflich sein können. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [AWS Security Incident Response Guide (AWS-Sicherheitsleitfaden für die Vorfallreaktion)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 

 **Zugehörige Videos:** 
+  [How to prepare for and respond to security incidents in your AWS environment (Vorbereiten und Reagieren auf Sicherheitsvorfälle in Ihrer AWS-Umgebung) ](https://youtu.be/8uiO0Z5meCs)

 **Zugehörige Beispiele:** 

# SEC10-BP02 Entwickeln von Vorfallmanagementplänen
<a name="sec_incident_response_develop_management_plans"></a>

 Erstellen Sie Pläne, die Ihnen helfen, auf einen Vorfall zu reagieren, während des Vorfalls zu kommunizieren und im Anschluss den ursprünglichen Zustand wiederherzustellen. Beispielsweise können Sie einen Vorfallreaktionsplan mit den wahrscheinlichsten Szenarien für Ihren Workload und Ihre Organsation starten. Diese Pläne sollten Vorgehensweisen zur internen und externen Kommunikation und Eskalation enthalten. 

 **Risikostufe, wenn diese bewährte Methode nicht genutzt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Ein Vorfallreaktionsplan ist von entscheidender Bedeutung, um auf Sicherheitsvorfälle zu reagieren, sie einzudämmen und ihre potenziellen Folgen zu beheben. Ein Vorfallmanagementplan ist ein strukturierter Prozess für die Identifizierung und Behebung von Sicherheitsvorfällen sowie die zeitgerechte Reaktion darauf. 

 In der Cloud gibt es viele der betrieblichen Rollen und Anforderungen, die auch für eine On-Premises-Umgebung typisch sind. Bei der Erstellung eines Vorfallmanagementplans ist es wichtig, Reaktions- und Wiederherstellungsstrategien zu berücksichtigen, die optimal zu Ihren Anforderungen an geschäftliche Ergebnisse und Compliance passen. Wenn Sie beispielsweise Workloads in AWS bearbeiten, die mit FedRAMP in den USA kompatibel sind, sollten Sie den [NIST SP 800-61 Computer Security Handling Guide berücksichtigen](https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf). Ähnlich gilt beim Betrieb von Workloads mit personenbezogenen Informationen in Europa, dass Sie an Szenarien denken sollten, in denen Sie diese schützen und auf Probleme reagieren müssen, die im Zusammenhang mit den Bestimmungen zu Datenspeicherorten der [Regulierungen der Datenschutz-Grundverordnung (DSGVO) der EU stehen](https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en). 

 Wenn Sie einen Vorfallmanagementplan für Ihre Workloads in AWS erstellen, beginnen Sie mit dem [AWS-Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/)zum Aufbau eines gründlichen Verteidigungskonzepts im Rahmen Ihrer Vorfallreaktionen. In diesem Modell kümmert sich AWS um die Sicherheit der Cloud und Sie sind für die Sicherheit in der Cloud verantwortlich. Dies bedeutet, dass Sie die Kontrolle behalten und für die Sicherheitskontrollen verantwortlich sind, für deren Implementierung Sie sich entscheiden. Der [Leitfaden für AWS Security Incident Response](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) enthält zentrale Konzepte und grundlegende Anleitungen für den Aufbau eines cloudbasierten Vorfallmanagementplans.

 Ein effektiver Vorfallmanagementplan muss kontinuierlich iteriert und stets an die Ziele Ihrer Cloud-Operationen angepasst werden. Erwägen Sie die Verwendung der nachfolgend erläuterten Implementierungspläne für die Erstellung und Weiterentwicklung Ihres Vorfallmanagementplans. 
+  **Aufklärung und Training für die Reaktion auf Vorfälle:** Wenn eine Abweichung von Ihrer definierten Baseline auftritt (etwa eine irrtümliche Bereitstellung oder eine fehlerhafte Konfiguration), müssen Sie darauf reagieren und den Vorfall untersuchen. Um dies erfolgreich tun zu können, müssen Sie wissen, welche Steuerungen und Funktionen Sie für die Reaktion auf Sicherheitsvorfälle innerhalb Ihrer AWS-Umgebung verwenden können und welche Prozesse Sie berücksichtigen müssen, um Ihre Teams, die an Notfallreaktionen beteiligt sind, darauf vorzubereiten und entsprechend auszubilden und zu schulen. 
  +  [Playbooks](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_ready_to_support_use_playbooks.html) und [Runbooks](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_ready_to_support_use_runbooks.html) sind effektive Mechanismen für die Gewährleistung von Konsistenz beim Training zur Reaktion auf Vorfälle. Beginnen Sie mit der Erstellung einer ersten Liste häufig durchgeführter Verfahren während einer Vorfallreaktion und entwickeln Sie diese ständig weiter, während Sie diese anzuwenden lernen. 
  +  Machen Sie die Playbooks und Runbooks im Rahmen geplanter [Ernstfallübungen bekannt](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_run_game_days.html). Simulieren Sie bei solchen Ernstfallübungen die Vorfallreaktion in einer kontrollierten Umgebung, damit Ihr Team weiß, wie es zu reagieren hat, und um sicherzustellen, dass die an Vorfallreaktionen beteiligten Teams die entsprechenden Abläufe gut kennen. Überprüfen Sie die Ergebnisse dieser Simulationen, um Verbesserungsmöglichkeiten zu erkennen und um weiteren Bedarf an Trainings oder Tools feststellen zu können. 
  +  Die Sicherheit fällt in den Verantwortungsbereich aller. Sorgen Sie für gemeinsames Wissen zum Vorfallreaktionsprozess, indem Sie alle Personen daran beteiligen, die normalerweise an Ihren Workloads arbeiten. Eine Ernstfallübung betrifft alle Bereiche Ihres Unternehmens: Betrieb, Tests, Entwicklung, Sicherheit, Geschäftsbetrieb und Geschäftsleiter. 
+  **Dokumentieren Sie den Vorfallmanagementplan:** Dokumentieren Sie die Tools und die Prozesse zur Aufzeichnung, Behandlung, Fortschrittskommunikation und Benachrichtigung im Zusammenhang mit aktiven Vorfällen. Ein Vorfallmanagementplan verfolgt das Ziel, sicherzustellen, dass der Normalbetrieb so schnell wie möglich wiederhergestellt wird, dass die geschäftlichen Auswirkungen minimiert bleiben und dass alle beteiligten Parteien stets darüber informiert sind. Beispiele für Vorfälle sind der Verlust oder die Beeinträchtigung der Netzwerkkonnektivität, nicht reagierende Prozesse oder APIs, das Ausbleiben der Durchführung einer geplanten Aufgabe (beispielsweise ausbleibendes Patching), die Nichtverfügbarkeit von Anwendungsdaten oder Services, ungeplante Serviceunterbrechungen aufgrund von Sicherheitsvorfällen, Offenlegungen von Anmeldeinformationen oder Fehler durch falsche Konfigurationen. 
  +  Identifizieren Sie den primären Eigentümer, der für die Behebung des Vorfalls verantwortlich ist. Dies kann beispielsweise der Workload-Eigentümer sein. Machen Sie deutlich, wer für den Vorfall verantwortlich sein wird und wie die Kommunikation ablaufen soll. Wenn mehrere Parteien am Prozess der Vorfallbehebung beteiligt sind, etwa noch ein externer Anbieter, dann sollten Sie eine *Verantwortungs-Matrix (RACI-Matrix)*erstellen, die die Rollen und Verantwortlichkeiten der einzelnen Teams oder Personen für die Behebung des Vorfalls aufführt. 

     Eine RACI-Matrix führt Folgendes auf: 
    +  **R:** *Responsible* – Zuständige Partei, die die Arbeiten durchführt 
    +  **A:** *Accountable (Verantwortlich)* – Verantwortliche(r) Partei oder Beteiligter mit endgültiger Autorität über die Durchführung der konkreten Aufgabe 
    +  **C:** *Consulted (Konsultiert)* – Hinzugezogene Partei, deren Meinung eingeholt wird, typischerweise gehören dazu sachkundige Experten 
    +  **I:** *Informed* – Informierte Partei, die über den Fortschritt auf dem Laufenden gehalten wird, oft nur bei Abschluss der Aufgabe oder Fertigstellung des Liefergegenstands. 
+  **Kategorisierung von Vorfällen:** Das Definieren und Kategorisieren von Vorfällen nach ihrem Schweregrad und ihren Auswirkungen ermöglicht das strukturierte Vorgehen bei der Beurteilung und Behebung von Vorfällen. Die folgenden Empfehlungen illustrieren eine *Auswirkung-bis-Lösung-Dringlichkeitsmatrix* für die Quantifizierung eines Vorfalls. So gilt etwa ein Vorfall mit geringen Auswirkungen und niedriger Dringlichkeit als Vorfall mit niedrigem Schweregrad. 
  +  **Hoch (H):** Ihre Geschäftstätigkeit ist stark betroffen. Kritische Funktionen Ihrer Anwendung im Zusammenhang mit AWS-Ressourcen sind nicht verfügbar. Reserviert für schwerste Vorfälle mit Auswirkungen auf Produktionssysteme. Die Auswirkungen des Vorfalls nehmen schnell zu und die Behebung muss möglichst schnell erfolgen. 
  +  **Mittel (M):** Ein Geschäftsservice oder eine Anwendung im Zusammenhang mit AWS-Ressourcen ist in mittelschwerer Weise betroffen und funktioniert mit Einschränkungen. Anwendungen, die zu Service-Level-Zielen (SLOs) beitragen, sind im Rahmen des Service Level Agreement (SLA) betroffen. Systeme können auch ohne allzu große Auswirkungen auf Finanzen oder den Ruf des Unternehmens mit reduzierter Kapazität funktionieren. 
  +  **Niedrig (L):** Nichtkritische Funktionen Ihres Geschäftsservice oder Ihrer Anwendung im Zusammenhang mit AWS-Ressourcen sind betroffen. Systeme können ohne allzu große Auswirkungen auf Finanzen oder den Ruf des Unternehmens mit reduzierter Kapazität weiterarbeiten. 
+  **Standardisieren Sie Sicherheitskontrollen:** Das Ziel der Standardisierung der Sicherheitskontrollen besteht darin, Konsistenz, Nachverfolgbarkeit und Wiederholbarkeit hinsichtlich der betrieblichen Ergebnisse zu erzielen. Unterstützen Sie die Standardisierung für zentrale Aktivitäten, die für die Vorfallreaktion von zentraler Bedeutung sind, z. B.: 
  +  **Identitäts- und Zugriffsmanagement:** Richten Sie Mechanismen für die Kontrolle des Zugriffs auf Ihre Daten sowie für die Verwaltung der Berechtigungen für menschliche und maschinelle Identitäten ein. Erweitern Sie Ihr eigenes Identitäts- und Zugriffsmanagement in die Cloud und nutzen Sie Verbundsicherheit mit Single Sign-on und rollenbasierten Berechtigungen zur Optimierung des Zugriffsmanagements. Empfehlungen zu bewährten Methoden und Verbesserungspläne für die Standardisierung des Zugriffsmanagements finden Sie im Abschnitt zum Thema [Identitäts- und Zugriffsmanagement im](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/identity-and-access-management.html) Whitepaper „Security Pillar“. 
  +  **Management von Schwachstellen:** Richten Sie Mechanismen zur Identifizierung von Schwachstellen in Ihrer AWS-Umgebung ein, die von Angreifern ausgenutzt werden können, um Ihr System zu beschädigen oder zu missbrauchen. Implementieren Sie präventive und erkennende Kontrollen als Sicherheitsmechanismen, um auf Sicherheitsvorfälle reagieren und mögliche Auswirkungen mindern zu können. Standardisieren Sie Prozesse wie die Bedrohungsmodellierung im Rahmen Ihres Infrastrukturbuilds und Ihres Anwendungsbereitstellungslebenszyklus.
  +  **Konfigurationsverwaltung:** Definieren Sie Standardkonfigurationen und automatisieren Sie Verfahren für die Bereitstellung von Ressourcen in der AWS Cloud. Die Standardisierung der Bereitstellung von Infrastruktur und Ressourcen hilft bei der Eindämmung der Gefahr von Fehlkonfigurationen durch irrtümliche Bereitstellungen oder versehentliche Fehlkonfigurationen durch menschliche Bediener. Im [Abschnitt zu den Designprinzipien](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/design-principles.html) des Whitepapers „Operational Excellence Pillar“ finden Sie Anleitungen und Verbesserungspläne zur Implementierung dieser Steuerung.
  +  **Protokollierung und Überwachung für Audit Control:** Implementieren Sie Mechanismen zur Überwachung Ihrer Ressourcen auf Ausfälle, Leistungseinbußen und Sicherheitsprobleme. Die Standardisierung dieser Kontrollen sorgt auch für Prüfungsprotokolle zu den in Ihrem System stattfindenden Aktivitäten und hilft so bei der zeitnahen Beurteilung und Behebung von Problemen. Bewährte Methoden unter [SEC04 („Wie erkennen und untersuchen Sie Sicherheitsereignisse?“)](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html) bieten Anleitungen für die Implementierung dieser Steuerung.
+  **Verwenden Sie Automatisierung:** Eine Automatisierung ermöglicht die zeitnahe Behebung von Vorfällen in großem Umfang. AWS bietet verschiedene Services für die Automatisierung im Kontext der Vorfallreaktionsstrategie. Konzentrieren Sie sich auf das angemessene Gleichgewicht zwischen Automatisierung und manuellen Eingriffen. Beim Aufbau Ihrer Vorfallreaktion in Playbooks und Runbooks sollten Sie wiederholbare Schritte automatisieren. Verwenden Sie AWS-Services wie AWS Systems Manager Incident Manager, um [IT-Vorfälle schneller beheben zu können](https://aws.amazon.com/blogs/aws/resolve-it-incidents-faster-with-incident-manager-a-new-capability-of-aws-systems-manager/). Verwenden Sie [Entwicklertools](https://aws.amazon.com/devops/) für die Versionssteuerung und die Automatisierung von [Amazon Machine Images (AMI)](https://aws.amazon.com/amis/) sowie Infrastructure as Code (IaC)-Bereitstellungen ohne menschliche Interventionen. Automatisieren Sie wo möglich die Erkennung und die Complianceprüfung mithilfe verwalteter Services wie Amazon GuardDuty, Amazon Inspector, AWS Security Hub CSPM, AWS Config und Amazon Macie. Optimieren Sie die Erkennungsfunktionen mit Machine Learning wie Amazon DevOps Guru, um abnorme Betriebsmuster zu erkennen, bevor sie zu Problemen führen. 
+  **Führen Sie Ursachenanalysen durch und setzen Sie Erkenntnisse um:** Implementieren Sie Mechanismen zum Erfassen von Erkenntnissen für abschließende Überprüfungen. Wenn die Ursache für einen Vorfall ein größerer Defekt, ein Konstruktionsfehler oder eine Fehlkonfiguration ist oder wenn die Möglichkeit der Wiederholung besteht, wird dies als Problem klassifiziert. In solchen Fällen sollten Sie das Problem analysieren und lösen, um Unterbrechungen des normalen Betrieb zu minimieren. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [Leitfaden für AWS Security Incident Response](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 
+ [ NIST: Computer Security Incident Handling Guide ](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)

 **Zugehörige Videos:** 
+  [Automating Incident Response and ForensicsAWS (Automatisieren der Vorfallreaktion und Forensik in AWS) ](https://youtu.be/f_EcwmmXkXk)
+ [ DIY guide to runbooks, incident reports, and incident response (DIY-Leitfaden für Runbooks, Vorfallberichte und Vorfallreaktion) ](https://www.youtube.com/watch?v=E1NaYN_fJUo)
+ [ Prepare for and respond to security incidents in your AWS environment (Vorbereiten und Reagieren auf Sicherheitsvorfälle in Ihrer AWS-Umgebung) ](https://www.youtube.com/watch?v=8uiO0Z5meCs)

 **Zugehörige Beispiele:** 
+  [Übung: Playbook für Vorfallreaktion mit Jupyter – AWS IAM](https://www.wellarchitectedlabs.com/Security/300_Incident_Response_Playbook_with_Jupyter-AWS_IAM/README.html) 
+ [ Übung: Vorfallreaktion mit AWS-Konsole und CLI ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)

# SEC10-BP03 Vorbereiten forensischer Funktionen
<a name="sec_incident_response_prepare_forensic"></a>

 Es ist wichtig, dass Ihre Notfallteams wissen, wann und wie forensische Untersuchungen sich in Ihren Reaktionsplan eingliedern. Ihre Organisation sollte definieren, welche Nachweise erfasst und welche Tools dafür verwendet werden. Identifizieren und bereiten Sie forensische Untersuchungsfunktionen vor, die geeignet sind, und beziehen Sie externe Spezialisten, Tools und Automatisierung mit ein. Eine wichtige Entscheidung, die Sie vorab treffen sollten, ist, ob Sie Daten von einem Live-System erfassen. Manche Daten wie die Inhalte von flüchtigem Speicher oder aktiver Netzwerkverbindungen gehen verloren, wenn das System abgeschaltet oder neu gestartet wird. 

Ihr Notfallteam kann Tools wie AWS Systems Manager, Amazon EventBridge und AWS Lambda kombinieren, um automatisch Forensiktools in einem laufenden System auszuführen und mittels VPC-Datenverkehrsspiegelung ein Netzwerkpaketabbild zu erhalten, sodass nicht persistente Nachweise gesammelt werden können. Führen Sie andere Aktivitäten wie Protokollanalysen oder die Analyse von Datenträgerabbildern in einem dedizierten Sicherheitskonto mit individuellen Forensik-Workstations und für Ihr Notfallteam zugänglichen Tools aus.

Legen Sie relevante Protokolle regelmäßig in einem Datenspeicher mit hoher Widerstandsfähigkeit und Integrität ab. Notfallteams sollten auf diese Protokolle zugreifen können. AWS bietet verschiedene Tools zur Vereinfachung der Protokolluntersuchung, z. B. Amazon Athena, Amazon OpenSearch Service (OpenSearch Service) und Amazon CloudWatch Logs Insights. Zudem sollten Sie Nachweise mit Amazon Simple Storage Service (Amazon S3) Object Lock sicher aufbewahren. Dieser Service arbeitet nach dem WORM-Modell (Write Once, Read Many) und verhindert, dass Objekte über einen gewissen Zeitraum gelöscht oder überschrieben werden. Da forensische Untersuchungstechniken eine spezielle Schulung erfordern, müssen Sie möglicherweise externe Spezialisten engagieren.

 **Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Ermitteln forensischer Funktionen: Recherchieren Sie die forensischen Untersuchungsfunktionen in Ihrer Organisation, verfügbare Tools und externe Spezialisten. 
+  [Automating Incident Response and Forensics ](https://youtu.be/f_EcwmmXkXk)

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [How to automate forensic disk collection in AWS (Automatisieren der forensischen Datenträgererfassung in AWS)](https://aws.amazon.com/blogs/security/how-to-automate-forensic-disk-collection-in-aws/) 

# SEC10-BP04 Automatische Eingrenzung
<a name="sec_incident_response_auto_contain"></a>

Automatisieren Sie die Eingrenzung eines Vorfalls und die Wiederherstellung, um die Reaktionszeiten und Auswirkungen auf Ihr Unternehmen zu reduzieren. 

Sobald Sie die Prozesse und Tools aus Ihren Playbooks erstellt und trainiert haben, können Sie die Logik in eine codebasierte Lösung überführen, die von vielen Notfallteams als Tool verwendet werden kann, um die Antwort zu automatisieren und Abweichungen oder Unsicherheit im Notfallteam zu beseitigen. Dies kann den Lebenszyklus einer Reaktion beschleunigen. Das nächste Ziel besteht darin, diesen Code vollständig zu automatisieren, damit er von den Warnungen oder Ereignissen selbst aufgerufen wird, statt von einem Mitarbeiter des Notfallteams. So wird eine ereignisgesteuerte Antwort erstellt. Diese Prozesse sollten auch relevante Daten automatisch zu Ihren Sicherheitssystemen hinzufügen. Bei einem Vorfall mit Datenverkehr von einer unerwünschten IP-Adresse kann beispielsweise automatisch eine AWS WAF-Sperrliste oder eine Network Firewall-Regelgruppe ergänzt werden, um weitere Aktivitäten zu verhindern.

![\[AWS architecture diagram showing WAF WebACL logs processing and IP address blocking flow between accounts.\]](http://docs.aws.amazon.com/de_de/wellarchitected/2022-03-31/framework/images/aws-waf-automate-block.png)


*Abbildung 3: Automatisierte Blockierung bekannter böswilliger IP-Adressen mit AWS WAF *

Bei einem ereignisgesteuerten Antwortsystem löst ein Mechanismus zur Aufdeckung eine Reaktion aus, um das Ereignis automatisch zu beheben. Sie können ereignisgesteuerte Antwortfunktionen verwenden, um die Wertschöpfung zwischen Aufdeckung und Reaktion zu beschleunigen. Zum Erstellen dieser ereignisgesteuerten Architektur können Sie AWS Lambda verwenden. Dabei handelt es sich um einen serverlosen Datenverarbeitungsservice, der Ihren Code als Reaktion auf Ereignisse ausführt und automatisch die zugrunde liegenden Datenverarbeitungsressourcen für Sie verwaltet. Angenommen, Sie haben ein AWS-Konto mit aktiviertem AWS CloudTrail-Service. Wenn AWS CloudTrail jemals deaktiviert wird (über den API-Aufruf `cloudtrail:StopLogging` ), können Sie Amazon EventBridge verwenden, um das spezifische `cloudtrail:StopLogging` -Ereignis zu überwachen und eine AWS Lambda-Funktion zum Aufrufen von `cloudtrail:StartLogging` nutzen, um die Protokollierung neu zu starten. 

 **Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Automatisieren Sie die Eindämmungsfunktionen. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+ [AWS Security Incident Response Guide (AWS-Sicherheitsleitfaden für die Vorfallreaktion)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 

 **Zugehörige Videos:** 
+  [How to prepare for and respond to security incidents in your AWS environment (Vorbereiten und Reagieren auf Sicherheitsvorfälle in Ihrer AWS-Umgebung)](https://youtu.be/8uiO0Z5meCs) 

# SEC10-BP05 Vorab bereitgestellter Zugriff
<a name="sec_incident_response_pre_provision_access"></a>

Stellen Sie sicher, dass Notfallteams über den richtigen vorab bereitgestellten Zugriff in AWS verfügen, um die Zeit von der Untersuchung bis zur Wiederherstellung zu verkürzen.

 **Typische Anti-Muster:** 
+  Verwenden des Root-Kontos für die Reaktion auf Vorfälle 
+  Verändern bestehender Benutzerkonten 
+  Direkte Manipulation von IAM-Berechtigungen bei Bereitstellung von Just-in-time-Berechtigungserhöhungen 

 **Risikostufe, wenn diese bewährte Methode nicht genutzt wird:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

AWS empfiehlt die Reduzierung oder Ausschaltung der Abhängigkeit von langlebigen Anmeldeinformationen wenn möglich und ihren Ersatz durch *Just-in-Time-* Berechtigungseskalationsmechanismen. Langlebige Anmeldeinformationen sind anfällig für Sicherheitsrisiken und erhöhen den Verwaltungsaufwand. Für die meisten Managementaufgaben sowie für Vorfallreaktionsaufgaben empfehlen wir die Implementierung eines [Identitätsverbunds](https://docs.aws.amazon.com/identity/federation/) neben [der temporären Eskalierung für den administrativen Zugriff](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/). In diesem Modell beantragt ein Benutzer seine Erhöhung auf eine höhere Berechtigungsstufe (etwa zu einer Vorfallreaktionsrolle). Anschließend wird, sofern der Benutzer grundsätzlich dafür infrage kommt, eine Anfrage an einen Genehmiger gesendet. Wenn die Anfrage genehmigt wurde, erhält der Benutzer einen Satz temporärer [AWS-Anmeldeinformationen](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) für die Durchführung seiner Aufgaben. Wenn diese Anmeldeinformationen ablaufen, muss der Benutzer eine neue Erhöhungsanfrage stellen.

 Wir empfehlen für die meisten Vorfallreaktionsszenarien die Verwendung temporärer Berechtigungseskalierungen. Die korrekte Vorgehensweise ist die Verwendung von [AWS -Security-Token-Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) und [von Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) zur Festlegung der Zugriffsbereiche. 

 Es gibt Szenarien, in denen Verbundidentitäten nicht verfügbar sind, zum Beispiel: 
+  Ausfall durch Problem mit einem Identitätsanbieter (IdP) 
+  Fehlerhafte Konfiguration oder menschlicher Fehler, die/der das Managementsystem für den Verbundzugriff beschädigt 
+  Böswillige Aktivität, z. B. ein DDoS-Angriff (Distributed Denial of Service) oder anderweitig verursachte Nichtverfügbarkeit des Systems 

 Für diese Fälle sollte Notfall- *„Break Glass“-* Zugriff konfiguriert werden, um Untersuchungen und die schnelle Behebung des Vorfalls zu ermöglichen. Wir empfehlen die Verwendung eines [IAM-Benutzers mit ausreichenden Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials) für die Durchführung von Aufgaben und den Zugriff auf AWS-Ressourcen. Verwenden Sie die Root-Anmeldeinformationen nur für [Aufgaben, die Root-Benutzerzugriff erfordern](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html). Zur Prüfung, ob die Vorfallreaktionskräfte über die korrekte Zugriffsstufe auf AWS und andere relevante Systeme verfügen, empfehlen wir die Bereitstellung dedizierter Benutzerkonten. Die Benutzerkonten erfordern privilegierten Zugriff und müssen eng kontrolliert und überwacht werden. Die Konten müssen mit den geringstmöglichen Berechtigungen versehen sein, die für die erforderlichen Aufgaben benötigt werden, und die Zugriffsstufe muss auf den Playbooks basieren, die Teil des Vorfallmanagementplans sind. 

 Verwenden Sie als bewährte Methode zweckgerichtet erstellte und dedizierte Benutzer und Rollen. Die vorübergehende Eskalierung des Zugriffs eines Benutzers oder einer Rolle über IAM-Richtlinien macht es unklar, welche Zugriffsmöglichkeiten Benutzer während eines Vorfalls hatten, und birgt die Gefahr, dass die eskalierten Berechtigungen später nicht widerrufen werden. 

 Es ist wichtig, so viele Abhängigkeiten wie möglich zu entfernen, um sicherzustellen, dass Zugriff bei einer möglichst großen Anzahl von Ausfallszenarien möglich ist. Erstellen Sie deshalb ein Playbook, um sicherzustellen, dass Vorfallreaktionsbenutzer als AWS Identity and Access Management-Benutzer in einem dedizierten Sicherheitskonto erstellt und nicht durch einen vorhandenen Verbund oder eine Single Sign-On (SSO)-Lösung verwaltet werden. Alle einzelnen Reaktionskräfte müssen ein eigenes benanntes Konto haben. Die Kontokonfiguration muss [eine Richtlinie für sichere Passwörter](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) und Multi-Faktor-Authentifizierung (MFA) durchsetzen. Wenn die Playbooks zur Vorfallreaktion nur Zugriff auf die AWS-Managementkonsole benötigen, sollten für den Benutzer keine Zugriffsschlüssel konfiguriert werden und er sollte auch explizit keine Zugriffsschlüssel erstellen dürfen. Dies kann mit IAM-Richtlinien oder Service-Kontrollrichtlinien (SCPs) konfiguriert werden, wie in den bewährten AWS-Sicherheitsmethoden für [AWS Organizations SCPs erläutert](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html). Die Benutzer sollten keine Berechtigungen außer der Möglichkeit zur Übernahme von Vorfallreaktionsrollen in anderen Konten haben. 

 Während eines Vorfalls kann es erforderlich sein, anderen internen oder externen Personen Zugriff zu gewähren, um Untersuchungs-, Korrektur- oder Wiederherstellungsaktivitäten zu unterstützen. Verwenden Sie in diesem Fall den vorher erwähnten Playbook-Mechanismus. Darüber hinaus muss ein Prozess vorhanden sein, um sicherzustellen, dass jeglicher zusätzliche Zugriff sofort nach Abschluss des Vorfalls widerrufen wird. 

 Zur Sicherstellung, dass die Verwendung von Vorfallreaktionsrollen in korrekter Weise überwacht und geprüft werden kann, ist es entscheidend, dass die für diesen Zweck erstellten IAM-Benutzerkonten nicht zwischen Personen weitergegeben werden und dass der AWS-Konto-Root-Benutzer nicht verwendet wird, [sofern dies nicht für eine bestimmte Aufgabe erforderlich ist](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html). Wenn der Root-Benutzer erforderlich ist (zum Beispiel wenn der IAM-Zugriff auf ein bestimmtes Konto nicht verfügbar ist), verwenden Sie einen separaten Prozess mit einem Playbook, um die Verfügbarkeit des Root-Benutzer-Passworts und des MFA-Tokens zu prüfen. 

 Erwägen Sie zur Konfiguration der IAM-Richtlinien für die Vorfallreaktionsrollen die Verwendung von [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) zum Erstellen von Richtlinien auf der Grundlage von AWS CloudTrail-Protokollen. Gewähren Sie dazu der Vorfallreaktionsrolle in einem Nicht-Produktionskonto Administratorzugriff und durchlaufen Sie das Playbook. Sobald dies geschehen ist, kann eine Richtlinie erstellt werden, die nur die entsprechenden Aktionen zulässt. Diese Richtlinie kann dann auf alle Vorfallreaktionsrollen über alle Konten hinweg angewendet werden. Möglicherweise möchten Sie eine separate IAM-Richtlinie für jedes Playbook erstellen, um Management und Auditing zu vereinfachen. Beispiel-Playbooks können Reaktionspläne für Ransomware-Angriffe, Datenschutzverletzungen, Verlust von produktionsrelevantem Zugriff oder andere Szenarien enthalten. 

 Verwenden Sie die Vorfallreaktionsbenutzerkonten zur Annahme dedizierter Vorfallreaktions- [IAM-Rollen in anderen AWS-Konten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html). Diese Rollen müssen so konfiguriert sein, dass sie nur von Benutzern im Sicherheitskonto angenommen werden können, und das Vertrauensverhältnis muss erfordern, dass der aufrufende Prinzipal per MFA authentifiziert wurde. Die Rollen müssen eng gefasste IAM-Richtlinien verwenden, um den Zugriff zu kontrollieren. Stellen Sie sicher, dass alle `AssumeRole-` Anfragen für diese Rollen in CloudTrail protokolliert und gemeldet werden und dass alle mit diesen Rollen durchgeführten Aktivitäten protokolliert werden. 

 Es wird nachdrücklich empfohlen, die IAM-Benutzerkonten und die IAM-Rollen deutlich zu benennen, damit sie in CloudTrail-Protokollen leicht zu finden sind. Ein Beispiel ist die Benennung der IAM-Konten als `<USER_ID>-BREAK-GLASS` und der IAM-Rollen als `BREAK-GLASS-ROLE`. 

 [CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) wird verwendet, um API-Aktivitäten in Ihren AWS-Konten zu protokollieren, und sollte zur [Konfiguration von Alarmen zur Nutzung der Vorfallreaktionsrollen eingesetzt werden](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/). Weitere Informationen finden Sie im Blog-Beitrag zur Konfiguration von Alarmen bei Verwendung von Root-Schlüsseln. Die Anweisungen können können geändert werden, um die Metrik [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) so zu konfigurieren, dass sie nach `AssumeRole-` Ereignissen gefiltert wird, die mit der Vorfallreaktions-IAM-Rolle zusammenhängen. 

```
{ $.eventName = "AssumeRole" && $.requestParameters.roleArn = "<INCIDENT_RESPONSE_ROLE_ARN>" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }
```

 Da die Vorfallreaktionsrollen sehr wahrscheinlich eine hohe Zugriffsstufe haben, ist es wichtig, dass diese Alarme an eine breite Gruppe gehen und dass sofort darauf reagiert wird. 

 Während eines Vorfalls kann es geschehen, dass eine Reaktionskraft Zugriff auf Systeme benötigt, die nicht direkt von IAM gesichert sind. Dazu können Amazon Elastic Compute Cloud-Instances, Amazon Relational Database Service-Datenbanken oder SaaS-Plattformen gehören. Es wird nachdrücklich empfohlen, anstelle nativer Protokolle wie SSH oder RDP [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) für alle administrativen Zugriffe auf Amazon EC2-Instances zu verwenden. Dieser Zugriff kann mit IAM (sicher und geprüft) kontrolliert werden. Es kann auch möglich sein, Teile Ihrer Playbooks mit [AWS Systems Manager-Run-Command-Dokumenten](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)zu automatisieren, wodurch sich möglicherweise Benutzerfehler reduzieren und Wiederherstellungszeiten verkürzen lassen. Für den Zugriff auf Datenbanken und Tools von Drittanbietern empfehlen wir die Speicherung von Anmeldeinformationen in AWS Secrets Manager und die Gewährung des Zugriffs auf die Vorfallreaktionsrollen. 

 Schließlich sollte die Verwaltung der Vorfallreaktions-IAM-Benutzerkonten Ihren [Joiners-, Movers- und Leavers-Prozessen](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/permissions-management.html) hinzugefügt sowie regelmäßig geprüft und getestet werden, um sicherzustellen, dass nur die beabsichtigten Zugriffsrechte gewährt werden. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [Verwaltung des vorübergehend erhöhten Zugriffs auf Ihre AWS-Umgebung](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/) 
+  [Leitfaden für AWS Security Incident Response ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+  [AWS Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/) 
+  [AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html) 
+  [Einrichten einer Kontopasswortrichtlinie für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) 
+  [Verwenden der Multi-Faktor-Authentifizierung (MFA) in AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) 
+ [ Konfigurieren des kontoübergreifenden Zugriffs mit MFA ](https://aws.amazon.com/blogs/security/how-do-i-protect-cross-account-access-using-mfa-2/)
+ [ Verwenden von IAM Access Analyzer zum Erstellen von IAM-Richtlinien ](https://aws.amazon.com/blogs/security/use-iam-access-analyzer-to-generate-iam-policies-based-on-access-activity-found-in-your-organization-trail/)
+ [ Bewährte Methoden für AWS Organizations-Servicekontrollrichtlinien in einer Mehrkontenumgebung ](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [ Empfang von Benachrichtigungen, wenn die Root-Zugriffsschlüssel Ihres AWS-Kontos verwendet werden ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ [ Erstellen detaillierter Sitzungsberechtigungen mithilfe von IAM-verwalteten Richtlinien ](https://aws.amazon.com/blogs/security/create-fine-grained-session-permissions-using-iam-managed-policies/)

 **Zugehörige Videos:** 
+ [ Automating Incident Response and ForensicsAWS (Automatisieren der Vorfallreaktion und Forensik in AWS) ](https://www.youtube.com/watch?v=f_EcwmmXkXk)
+  [DIY guide to runbooks, incident reports, and incident response (DIY-Leitfaden für Runbooks, Vorfallberichte und Vorfallreaktion)](https://youtu.be/E1NaYN_fJUo) 
+ [ Prepare for and respond to security incidents in your AWS environment (Vorbereiten und Reagieren auf Sicherheitsvorfälle in Ihrer AWS-Umgebung) ](https://www.youtube.com/watch?v=8uiO0Z5meCs)

 **Zugehörige Beispiele:** 
+ [ Übung: AWS-Kontoeinrichtung und Root-Benutzer ](https://www.wellarchitectedlabs.com/security/300_labs/300_incident_response_playbook_with_jupyter-aws_iam/)
+ [ Übung: Vorfallreaktion mit AWS-Konsole und CLI ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)

# SEC10-BP06 Vorabbereitstellen von Tools
<a name="sec_incident_response_pre_deploy_tools"></a>

 Stellen Sie sicher, dass Sicherheitspersonal über die richtigen Tools in AWS verfügt, um die Zeit von der Untersuchung bis zur Wiederherstellung zu verkürzen. 

Zur Automatisierung von Sicherheitstechnik und Betriebsfunktionen können Sie eine umfassende Palette von APIs und Tools von AWS verwenden. Sie können die Identitätsverwaltung, Netzwerksicherheit, Datenschutz und Überwachungsfunktionen vollständig automatisieren und diese mithilfe gängiger Softwareentwicklungsmethoden bereitstellen, die Sie bereits eingerichtet haben. Wenn Sie die Sicherheitsautomatisierung erstellen, kann Ihr System eine Reaktion überwachen, prüfen und initiieren, statt nur Ihre Sicherheitslage zu überwachen und manuell auf Ereignisse zu reagieren. Eine effektive Möglichkeit zum automatischen Bereitstellen durchsuchbarer und relevanter Protokolldaten in all Ihren AWS-Services für das Notfallteam besteht in der Aktivierung von [Amazon Detective](https://aws.amazon.com/detective/).

Wenn Ihre Vorfallreaktionsteams auf Warnungen weiterhin auf die gleiche Weise reagieren, riskieren sie eine Abstumpfung der Warnung. Im Laufe der Zeit kann das Team für Warnungen desensibilisiert werden und entweder Fehler bei der Verarbeitung normaler Situationen machen oder außergewöhnliche Warnungen übersehen. Automatisierung hilft, eine Abstumpfung von Warnungen zu vermeiden, indem Funktionen verwendet werden, die sich wiederholende und gewöhnliche Warnungen verarbeiten, sodass Mitarbeiter die nötigen freien Kapazitäten haben, um sich um sensible und einzigartige Vorfälle zu kümmern. Die Integration von Systemen zur Erkennung von Anomalien wie Amazon GuardDuty, AWS CloudTrail Insights und Amazon CloudWatch Anomaly Detection kann den durch schwellenwertbasierte Warnmeldungen verursachten Aufwand reduzieren.

Sie können manuelle Prozesse verbessern, indem Sie die Schritte im Prozess automatisieren. Nachdem Sie das Korrekturmuster für ein Ereignis definiert haben, können Sie dieses Muster in umsetzbare Logik zerlegen und den Code schreiben, um diese Logik auszuführen. Notfallteams können anschließend diesen Code ausführen, um das Problem zu beheben. Mit der Zeit können Sie immer mehr Schritte automatisieren und schließlich häufige Vorfälle automatisch verarbeiten.

Für Tools, die im Betriebssystem Ihrer Amazon Elastic Compute Cloud (Amazon EC2)-Instance ausgeführt werden, sollten Sie den AWS Systems Manager Run Command verwenden. Mit diesem können Sie einen Agent auf Ihrer Amazon EC2-Instance installieren und das Betriebssystem remote und sicher verwalten. Sie benötigen dafür den Systems Manager Agent (SSM Agent), der bei vielen Amazon Machine Images (AMIs) standardmäßig installiert ist. Beachten sollten Sie jedoch, dass kompromittierte Instances keine vertrauenswürdigen Reaktionen und Antworten von Tools oder den installierten Agents mehr senden und so behandelt werden sollten.

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Niedrig 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Vorabbereitstellen von Tools: Stellen Sie sicher, dass in AWS die richtigen Tools für das Sicherheitspersonal vorab bereitgestellt wurden, damit bei einem Vorfall eine entsprechende Reaktion erfolgen kann. 
  +  [Übung: Vorfallreaktion mit AWS-Managementkonsole und CLI ](https://wellarchitectedlabs.com/Security/300_Incident_Response_with_AWS_Console_and_CLI/README.html)
  + [ Playbook für Vorfallreaktion mit Jupyter – AWS IAM ](https://wellarchitectedlabs.com/Security/300_Incident_Response_Playbook_with_Jupyter-AWS_IAM/README.html)
  +  [AWS-Sicherheitsautomatisierung ](https://github.com/awslabs/aws-security-automation)
+  Implementieren des Ressourcenmarkierung: Markieren Sie Ressourcen mit Informationen, z. B. einem Code für die zu untersuchende Ressource, damit Sie Ressourcen während eines Vorfalls identifizieren können. 
  + [AWS-Markierungsstrategien ](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/)

## Ressourcen
<a name="resources"></a>

 **Ähnliche Dokumente:** 
+  [AWS Security Incident Response Guide (AWS-Sicherheitsleitfaden für die Vorfallreaktion) ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)

 **Ähnliche Videos:** 
+  [ DIY guide to runbooks, incident reports, and incident response ](https://youtu.be/E1NaYN_fJUo)

# SEC10-BP07 Durchführen von Gamedays
<a name="sec_incident_response_run_game_days"></a>

Testtage werden auch als Simulationen oder Übungen bezeichnet. Dabei handelt es sich um interne Ereignisse, die eine strukturierte Möglichkeit bieten, Ihre Vorfallmanagementpläne und -verfahren in einem realistischen Szenario zu üben. Diese Ereignisse sollten dem Notfallteam als Übung dienen und es sollten die gleichen Tools und Techniken wie in einem echten Szenario zum Einsatz kommen. Im Grunde sollten sogar echte Umgebungen nachgebildet werden. Bei Testtagen geht es im Wesentlichen um die Vorbereitung und die schrittweise Verbesserung Ihrer Reaktionsfähigkeiten. Vorteile von Testtagen: 
+ Validieren der Bereitschaft
+ Fördern von Vertrauen – Lernen durch Simulationen und Schulung von Mitarbeitern
+ Einhaltung der Compliance oder vertraglicher Verpflichtungen
+ Generieren von Artefakten für die Akkreditierung
+ Agilität – inkrementelle Verbesserung
+ Schnelleres Arbeiten und Verbessern von Tools
+ Verfeinern von Kommunikation und Eskalation
+ Gewinn von Vertrautheit mit seltenen und unerwarteten Vorfällen

Diese Vorteile zeigen, weshalb die Teilnahme an einer Simulationsaktivität die Effizienz der Organisation bei kritischen Ereignissen erhöht. Die Entwicklung einer realistischen und nützlichen Simulationsaktivität kann schwierig sein. Obwohl das Testen Ihrer Verfahren oder der Automatisierung für bekannte Ereignisse gewisse Vorteile hat, ist es ebenso wertvoll, an kreativen [Aktivitäten zur Simulation von Sicherheitsvorfällen (Security Incident Response Simulations (SIRS))](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/security-incident-response-simulations.html) teilzunehmen, um sich auf unerwartete Ereignisse vorzubereiten und sich kontinuierlich zu verbessern.

Erstellen Sie individuelle Simulationen, die auf Ihre Umgebung, Ihr Team und Ihre Tools zugeschnitten sind. Ermitteln Sie ein Problem und richten Sie Ihre Simulation darauf aus. Das könnten beispielsweise weitergegebene Anmeldeinformationen, ein mit unerwünschten Systemen kommunizierender Server oder eine Fehlkonfiguration sein, die zu unzulässigen Risiken führt. Identifizieren Sie mit Ihrer Organisation vertraute Ingenieure zum Erstellen des Szenarios und eine andere Gruppe, die mitmacht. Das Szenario sollte realistisch und ausreichend anspruchsvoll sein, damit es auch nützlich ist. Es sollte Möglichkeiten für den praktischen Umgang mit Protokollen, Benachrichtigungen, Eskalationen und der Ausführung von Runbooks oder der Automatisierung bieten. Während der Simulation sollte Ihr Notfallteam sein technisches und organisatorisches Können üben und Führungskräfte sollten zur Verbesserung ihrer Vorfallmanagementkompetenzen einbezogen werden. Am Ende der Simulation sollten Sie die Leistungen des Teams würdigen und nach Optionen zum Iterieren, Wiederholen und Erweitern für weitere Simulationen suchen.

[AWS hat Vorlagen für Runbooks zur Vorfallreaktion erstellt, ](https://github.com/aws-samples/aws-incident-response-playbooks) die Sie nicht nur zur Vorbereitung Ihrer Reaktionsmaßnahmen, sondern auch als Basis für eine Simulation verwenden können. Bei der Planung kann eine Simulation in fünf Phasen aufgeteilt werden.

**Sammeln von Beweisen: **In dieser Phase erhält ein Team Warnmeldungen aus unterschiedlichen Quellen, z. B. von einem internen Ticketing-System und von Überwachungstools, aus anonymem Tipps oder sogar aus öffentlichen Nachrichten. Die Teams beginnen dann mit der Überprüfung der Infrastruktur- und Anwendungsprotokolle zum Bestimmen der Kompromittierungsquelle. In diesem Schritt sollten auch interne Eskalationen und das Führungsteam für Vorfälle einbezogen werden. Nach der Identifizierung gehen die Teams zur Eindämmung des Vorfalls über.

**Eindämmen des Vorfalls: **An diesem Punkt haben die Teams bereits festgestellt, dass es einen Vorfall gegeben hat, und die Kompromittierungsquelle wurde ermittelt. Jetzt sollten die Teams Maßnahmen ergreifen, indem sie beispielsweise kompromittierte Anmeldeinformationen deaktivieren, eine Datenverarbeitungsressource isolieren oder einer Rolle die Berechtigungen entziehen. 

**Ausräumen des Vorfalls: **Nach der Eindämmung des Vorfalls gehen die Teams jetzt zum Minimieren der Schwachstellen oder Infrastrukturkonfigurationen über, die anfällig für die Kompromittierung waren. Dafür könnten beispielsweise alle Anmeldeinformationen für eine Workload, Zugriffssteuerungslisten (ACLs) oder Netzwerkkonfigurationen geändert werden.

**Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Mittel

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Ausführung [Ernstfallübungen](https://wa.aws.amazon.com/wat.concept.gameday.en.html): Führen Sie simulierte [Ereignisse zur Vorfall-](https://wa.aws.amazon.com/wat.concept.incident.en.html) reaktion [(Gamedays) für](https://wa.aws.amazon.com/wat.concept.event.en.html) verschiedene Bedrohungen aus, bei denen wichtige Mitarbeiter und das Management einbezogen werden. 
+  Erfassen von Erkenntnissen: Die aus den [Ernstfallübungen](https://wa.aws.amazon.com/wat.concept.gameday.en.html) gewonnenen Erkenntnisse sollten in das Feedback zur Verbesserung Ihrer Prozesse einfließen. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+ [AWS Security Incident Response Guide (AWS-Sicherheitsleitfaden für die Vorfallreaktion)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 
+ [AWS Elastic Disaster Recovery](https://aws.amazon.com/cloudendure-disaster-recovery/) 

 **Zugehörige Videos:** 
+ [ DIY guide to runbooks, incident reports, and incident response ](https://youtu.be/E1NaYN_fJUo)