# 雲端回應的設計目標 雖然事件回應的一般程序和機制,例如 [NIST SP 800-61 Computer Security Incident Handling Guide](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final) 中所定義的仍然可行,但我們鼓勵您評估在雲端環境中回應安全事件方面的下列特定設計目標: + **建立回應目標**:與利害關係人、法律顧問和組織領導階層合作,訂定回應事件的目標。共同目標包括遏制和緩解問題、復原受影響的資源、保留資料供鑑識使用、恢復已知的安全操作,以及最終從事件中學習經驗。 + **使用雲端回應**:在雲端內事件發生和資料之處實作回應模式。 + **了解您擁有什麼及需要什麼:**複製日誌、資源、快照和其他證據,並儲存在專門用於回應的集中式雲端帳戶中以便保留。運用標籤、中繼資料和機制,強制執行保留政策。您需要了解自己使用哪些服務,然後確定調查這些服務的需求。您也可以使用標籤來協助您了解自己的環境。 + **使用重新部署機制**:如果安全異常可能歸因於組態錯誤,修復的方法可能就是透過使用適當的組態,重新部署資源以移除變異那麼簡單。如果發現可能是遭到入侵,則務必確認您的重新部署包含可成功緩解根本原因的措施。 + **盡可能自動化:**當問題出現或事件重複發生時,請建立機制,以程式設計方式分類並回應常見的事件。對於自動化不足以因應的獨特、複雜或敏感事件,則採取真人回應。 + **選擇可擴展的解決方案:**努力符合組織所採行雲端運算方法的可擴展性。實作能夠因應您的環境調整的偵測和回應機制,以便有效縮短偵測與回應之間的時間。 + **了解並改善程序:**主動找出流程、工具或人員當中的落差,並實施計畫來彌補落差。模擬是找出落差並改善流程的安全方法。 這些設計目標可提醒您審核架構實作,以確認能夠進行事件回應和威脅偵測。當您規劃雲端實作時,請考慮回應事件,最好是採用鑑識上可靠的回應方法。在某些情況下,這表示您可能會針對這些回應任務設定多個組織、帳戶和工具。這些工具和功能應透過部署管道提供給事件回應人員使用。它們不應處於靜態,否則可能造成更大的風險。