# SEC10-BP06 預先部署工具
<a name="sec_incident_response_pre_deploy_tools"></a>

 確保安全人員具有預先部署到 AWS 中的適當工具，以縮短調查直至復原的時間。 

若要將安全工程和操作功能自動化，您可以使用 AWS 提供的完整 API 和工具集。您可以將身份管理、網路安全、資料保護和監控功能完全自動化，並使用現有的熱門軟體開發方法遞送這些功能。建置安全自動化時，您的系統可以監控、檢閱和啟動回應，而不是讓人員監控您的安全地位並手動回應事件。自動跨 AWS 服務將可搜尋和相關日誌資料提供給事故回應者的有效方法，就是啟用 [Amazon Detective](https://aws.amazon.com/detective/)。

若您的事件回應團隊持續以相同方式回應警示，可能會形成警示疲勞的風險。隨著時間的推移，團隊可能會變得對收到提醒不敏感，而且在處理一般情況時可能會犯錯，或是錯過不尋常的警示。自動化使用能夠處理重複和一般提醒的功能，讓人員處理敏感和獨特的事件，有助於避免發生提醒疲倦的情形。整合異常偵測系統 (例如 Amazon GuardDuty、AWS CloudTrail Insights 和 Amazon CloudWatch 異常檢測) 可以減輕常見閾值型提醒的負擔。

您可以透過程式設計方式將程序中的步驟自動化，以改善手動程序。定義事件的補救模式之後，您可以將該模式分解為可行的邏輯，並撰寫程式碼來執行該邏輯。回應人員接著可以執行該程式碼來修正問題。隨著時間的推移，您可以將越來越多的步驟自動化，最終自動處理整個類別的常見事件。

對於在 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的作業系統內執行的工具，您應該使用 AWS Systems Manager Run Command 進行評估，這可讓您使用在 Amazon EC2 執行個體作業系統上安裝的代理程式，從遠端安全地管理執行個體。這需要 Systems Manager Agent ( SSM 代理程式)，此代理程式預設安裝在許多 Amazon Machine Image (AMI) 上。不過請注意，執行個體一旦遭侵害，對於在其上執行的工具或代理程式發出的回應都不應視為可信任。

 **若未建立此最佳實務，暴露的風險等級：** 低 

## 實作指引
<a name="implementation-guidance"></a>
+  預先部署工具：確保安全人員具有預先部署到 AWS 中的適當工具，以便可以對事件做出適當的回應。 
  +  [實驗室︰使用 AWS 管理主控台和 CLI 處理事故回應 ](https://wellarchitectedlabs.com/Security/300_Incident_Response_with_AWS_Console_and_CLI/README.html)
  + [ 使用 Jupyter 的事故回應手冊 - AWS IAM ](https://wellarchitectedlabs.com/Security/300_Incident_Response_Playbook_with_Jupyter-AWS_IAM/README.html)
  +  [AWS 安全自動化 ](https://github.com/awslabs/aws-security-automation)
+  實作資源標記：使用資訊標記資源 (例如調查中資源的程式碼)，以便您可以在事件期間識別資源。
  + [AWS 標記策略 ](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/)

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [AWS 事故回應指南 ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)

 **相關影片：** 
+  [ 執行手冊、事件報告和事件回應的 DIY 指南 ](https://youtu.be/E1NaYN_fJUo)