# SEC10-BP07 执行实际试用
<a name="sec_incident_response_run_game_days"></a>

实际试用（也称为模拟或练习）是一些内部事件，可提供结构化机会，使您能够在逼真的场景中练习您的事件管理计划和流程。这些事件应让响应者练习在真实场景中使用的相同工具和技术，甚至应该模仿真实环境。实际试用主要涉及做好准备，并以迭代方式提高您的响应能力。有些原因能够让您发现开展实际试用活动的价值，这些原因包括： 
+ 验证准备情况
+ 建立信心 – 从模拟中学习以及开展员工培训
+ 履行合规或合同义务
+ 生成资格鉴定构件
+ 敏捷 – 增量改进
+ 速度更快并且不断改进的工具
+ 优化沟通和上报
+ 适应罕见和意外的情况

由于这些原因，通过参与模拟活动而学到的东西能够让组织有效地应对压力事件。开展既逼真又有益的模拟活动可能是一项非常困难的练习。尽管对可处理常见事件的流程或自动化进行测试能够实现一些优势，但只有参与创造性的 [安全意外事件响应模拟（SIRS，Security Incident Response Simulation）](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/security-incident-response-simulations.html) 活动以测试您应对意外情况的能力并持续改进时，这些测试才能体现价值。

创建为您的环境、团队和工具定制的自定义模拟。找出一个问题，并围绕该问题设计您的模拟。这样的问题可以包括凭证泄露、服务器与不必要的系统通信或者导致未经授权暴露的错误配置。确定由熟悉组织的工程师创建场景，并确定另一个团队来参与其中。场景应是逼真的且具有挑战性，这样才有价值。它应包含掌握日志记录、通知、上报和执行运行手册或自动化的机会。在模拟过程中，响应者应练习他们的技术和组织技能，领导者应培养他们的意外事件管理技能。在模拟结束时，庆祝团队取得的成效，并寻找迭代、重复和扩展到深度模拟的方法。

[AWS 已创建意外事件响应运行手册模板，](https://github.com/aws-samples/aws-incident-response-playbooks) 您不仅可以使用该模板准备您的响应工作，还可以将该模板用作模拟的基础。在规划时，可以将模拟分为五个阶段。

**证据收集： **在这个阶段，团队将通过各种方式获得提醒，例如内部票证系统、来自监控工具的提醒、匿名提示甚至是公共新闻。之后，团队开始审查基础设施和应用程序日志来确定问题来源。此步骤还将涉及内部上报和意外事件领导力。在确定后，团队将继续控制意外事件

**控制意外事件： **团队确定发生了意外事件并确立了问题来源。现在，团队应采取行动来控制意外事件，例如，通过禁用已泄露的凭证、隔离计算资源或撤销角色的权限。

**解决意外事件： **现在，团队已控制意外事件，他们将努力减少应用程序或基础设施配置中任何易受攻击的漏洞。这可能包括轮换用于工作负载的所有凭证、修改访问控制列表（ACL，Access Control List）或更改网络配置。

**未建立这种最佳实践的情况下暴露的风险等级：** 中

## 实施指导
<a name="implementation-guidance"></a>
+  运行 [实际试用](https://wa.aws.amazon.com/wat.concept.gameday.en.html)：运行模拟 [意外事件](https://wa.aws.amazon.com/wat.concept.incident.en.html) 响应 [事件（实际试用）](https://wa.aws.amazon.com/wat.concept.event.en.html) 来处理涉及关键人员和管理的各种威胁。
+  记录经验教训：从运行 [实际试用](https://wa.aws.amazon.com/wat.concept.gameday.en.html) 中获得的经验教训应成为反馈循环的一部分以改进流程。

## 资源
<a name="resources"></a>

 **相关文档：** 
+ [AWS 意外事件响应指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 
+ [AWS 弹性灾难恢复](https://aws.amazon.com/cloudendure-disaster-recovery/) 

 **相关视频：** 
+ [ 运行手册、事件报告和事件响应 DIY 指南 ](https://youtu.be/E1NaYN_fJUo)