# SEC04-BP03 Automatisierte Reaktion auf Ereignisse
<a name="sec_detect_investigate_events_auto_response"></a>

 Die Nutzung der Automatisierung zum Ermitteln und Beheben von Ereignissen reduziert den menschlichen Aufwand und menschliche Fehler und ermöglicht Ihnen die Skalierung der Prüffunktionen. Regelmäßige Prüfungen helfen Ihnen dabei, Automatisierungstools zu optimieren und immer wieder auszuführen. 

In AWS können interessante Ereignisse und Informationen zu potenziell unerwarteten Änderungen an einem automatisierten Workflow mithilfe von Amazon EventBridge untersucht werden. Dieser Service bietet eine skalierbare Rules Engine, die sowohl native AWS-Ereignisformate (z. B. AWS CloudTrail-Ereignisse) als auch von Ihnen generierbare benutzerdefinierte Ereignisse behandelt. Mit Amazon GuardDuty können Sie Ereignisse auch an ein Workflow-System für jene weiterleiten, die Vorfallreaktionssysteme (AWS Step Functions) erstellen, oder an ein zentrales Sicherheitskonto oder an einen Bucket zur weiteren Analyse.

Um Änderungen zu erkennen und diese Informationen an den richtigen Workflow weiterzuleiten, können Sie AWS-Config-Regeln und [Conformance Packs](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)verwenden. AWS Config erkennt Änderungen an ordnungsgemäß ausgeführten Services (wenn auch mit einer höheren Latenz als dies bei EventBridge der Fall ist) und generiert Ereignisse, die mithilfe von AWS-Config-Regeln-Regeln analysiert werden können. Dies ermöglicht es, einen Rollback durchzuführen, Compliance-Richtlinien zu erzwingen und Informationen an Systeme wie Änderungsverwaltungsplattformen und operative Ticketsysteme weiterzuleiten. Sie können nicht nur eigene Lambda-Funktionen schreiben, um auf AWS Config-Ereignisse zu reagieren, sondern auch das [AWS-Config-Regeln Development Kit](https://github.com/awslabs/aws-config-rdk)benutzen und auf eine [Bibliothek mit Open Source-](https://github.com/awslabs/aws-config-rules) AWS-Config-Regeln zugreifen. Conformance Packs sind eine Sammlung von AWS-Config-Regeln- und Korrekturaktionen, die Sie als einzelne Einheit in Form einer YAML-Vorlage bereitstellen. A [beispielhafte Conformance-Pack-Vorlage](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html) ist für die Well-Architected-Säule „Sicherheit“ verfügbar.

 **Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Implementieren automatisierter Warnungen mit GuardDuty: GuardDuty ist ein Service zur Bedrohungserkennung, der Ihre AWS-Konten und AWS-Workloads fortlaufend auf böswillige oder unbefugte Verhaltensweisen überwacht und so schützt. Aktivieren Sie GuardDuty und konfigurieren Sie automatisierte Warnungen. 
+  Automatisieren von Untersuchungsprozessen: Entwickeln Sie automatische Prozesse, die ein Ereignis untersuchen und Berichte an einen Administrator senden, um Zeit zu sparen. 
  + [ Übung: Amazon GuardDuty in der Praxis ](https://hands-on-guardduty.awssecworkshops.com/)

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+ [ Zentralisierte Protokollierung in AWS](https://aws.amazon.com/answers/logging/centralized-logging/)
+  [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+  [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Erste Schritte mit Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+  [Partnerlösungen im Bereich Sicherheit: Protokollierung und Überwachung](https://aws.amazon.com/security/partner-solutions/#logging-monitoring) 
+ [ Erste Schritte mit Amazon GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)

 **Zugehörige Videos:** 
+ [ Best Practices for Centrally Monitoring Resource Configuration and Compliance (Best Practices für die zentrale Überwachung der Ressourcenkonfiguration und Compliance) ](https://youtu.be/kErRv4YB_T4)
+  [Remediating Amazon GuardDuty and AWS Security Hub CSPM Findings (Korrektur von Amazon GuardDuty- und AWS Security Hub CSPM-Feststellungen) ](https://youtu.be/nyh4imv8zuk)
+ [ Threat management in the cloud: Amazon GuardDuty and AWS Security Hub CSPM (Bedrohungsmanagement in der Cloud: Amazon GuardDuty und AWS Security Hub CSPM) ](https://youtu.be/vhYsm5gq9jE)

 **Zugehörige Beispiele:** 
+  [Übung: Automatisierte Bereitstellung von aufdeckenden Kontrollen ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)