# SEC10-BP04 自動化遏制能力
<a name="sec_incident_response_auto_contain"></a>

將事件範圍侷限與復原自動化，以縮短回應時間與對組織的影響。

一旦您依照程序手冊建立和操演程序和工具，就可以將邏輯解構成為以程式碼為基礎的解決方案，許多回應人員可將其做為工具使用，以做到自動回應，並免除回應人員面對的變通或猜測。如此可以加速回應的生命週期。下一個目標是透過提醒或事件本身 (而不是由回應人員) 叫用，讓此程式碼能夠完全自動化，以建立事件驅動的回應。這些程序也應該自動將相關資料新增到您的安全系統。例如，涉及來自不需要 IP 地址的流量的事故可以自動填入 AWS WAF 封鎖清單或網路防火牆規則群組，以防止進一步的活動。

![\[AWS architecture diagram showing WAF WebACL logs processing and IP address blocking flow between accounts.\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/2022-03-31/framework/images/aws-waf-automate-block.png)


*圖 3：自動封鎖已知惡意 IP 地址的 AWS WAF。*

使用事件驅動的回應系統，偵測機制會觸發回應機制，以自動修復事件。您可以使用事件驅動的回應功能，減少偵測機制與回應機制之間體現價值的時間。若要建立此事件驅動架構，您可以使用 AWS Lambda；這是一種無伺服器運算服務，可執行程式碼以回應事件，並自動為您管理基礎運算資源。例如，假設您有一個已啟用 AWS CloudTrail 服務的 AWS 帳戶。如果 AWS CloudTrail 發生停用 (透過 `cloudtrail:StopLogging` API 呼叫)，您可以使用 Amazon EventBridge 監控特定的 `cloudtrail:StopLogging` 事件，並叫用 AWS Lambda 函數以呼叫 `cloudtrail:StartLogging` 以重新啟動記錄。

 **若未建立此最佳實務，暴露的風險等級：** 中 

## 實作指引
<a name="implementation-guidance"></a>

 自動化遏制能力。 

## 資源
<a name="resources"></a>

 **相關文件：** 
+ [AWS 事故回應指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 

 **相關影片：** 
+  [準備和回應 AWS 環境中的安全事故](https://youtu.be/8uiO0Z5meCs)