# SEC10-BP06 預先部署工具
<a name="sec_incident_response_pre_deploy_tools"></a>

確認安全人員具有預先部署的適當工具，以縮短調查直至復原的時間。

 **未建立此最佳實務時的曝險等級：**中 

## 實作指引
<a name="implementation-guidance"></a>

 若要自動化安全回應和操作功能，您可以使用 AWS 提供的完整 API 和工具集。您可以將身分管理、網路安全、資料保護和監控功能完全自動化，並使用現有的熱門軟體開發方法遞送這些功能。建置安全自動化時，您的系統可以監控、審核和啟動回應，而不是讓人員監控您的安全地位並手動回應事件。

 如果您的事件回應團隊持續以相同方式回應提醒，可能會形成提醒疲勞的風險。隨著時間的推移，團隊可能會變得對收到提醒不敏感，而且在處理一般情況時可能會犯錯，或是錯過不尋常的提醒。自動化使用能夠處理重複和一般提醒的功能，讓人員處理敏感和獨特的事件，有助於避免發生提醒疲倦的情形。整合異常偵測系統 (例如 Amazon GuardDuty、AWS CloudTrail Insights 和 Amazon CloudWatch 異常檢測) 可以減輕常見閾值型提醒的負擔。

 您可以透過程式設計方式將程序中的步驟自動化，以改善手動程序。定義事件的補救模式之後，您可以將該模式分解為可行的邏輯，並撰寫程式碼來執行該邏輯。回應人員接著可以執行該程式碼來修復問題。隨著時間的推移，您可以將越來越多的步驟自動化，最終自動處理整個類別的常見事件。

 在安全調查期間，您需要能夠審核相關日誌以記錄和了解該事件的完整範圍和時間表。產生提醒也需要日誌，以指出特定關注的動作已發生。選擇、啟用、儲存和設定查詢與擷取機制和設定提醒至關重要。此外，提供搜尋日誌資料之工具的有效方法是 [Amazon Detective](https://aws.amazon.com/detective/)。

 AWS 擁有 200 多種雲端服務和數千種功能。我們建議您審核可支援並簡化事件回應策略的服務。

 除了日誌記錄之外，您還應該開發和實作[標記策略](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)。標記可以協助提供與 AWS 資源用途有關的上下文。標記也可用於自動化。

### 實作步驟
<a name="implementation-steps"></a>

 **選取並設定日誌以進行分析和提醒** 

 請參閱下列有關設定事件回應日誌記錄的文件：
+ [ 安全事件回應的日誌記錄策略](https://aws.amazon.com/blogs/security/logging-strategies-for-security-incident-response/)
+  [SEC04-BP01 設定服務和應用程式日誌記錄](sec_detect_investigate_events_app_service_logging.md) 

 **啟用安全服務以支援偵測和回應** 

 AWS 提供偵測、預防性和回應式功能，而其他服務可用於建立自訂安全性解決方案的架構。如需安全事件回應最相關的服務清單，請參閱[雲端功能定義](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/appendix-a-cloud-capability-definitions.html)和[安全事件回應首頁](https://aws.amazon.com/security-incident-response/)。

 **制定和實作標記策略** 

 取得有關業務使用案例和圍繞 AWS 資源的相關內部利害關係人的上下文資訊可能很困難。執行此操作的一種方法是使用標籤的形式，此形式會將中繼資料指派給 AWS 資源，並包含使用者定義的鍵值組。您可以建立標籤，依目的、擁有者、環境、處理的資料類型以及您選擇的其他條件來分類資源。

 擁有一致的標記策略可讓您快速識別和辨別與 AWS 資源有關的情境資訊，從而加快回應時間並盡可能減少用在組織情境的時間。標籤也可以作為啟動回應自動化的機制。如需有關標記內容的詳細資訊，請參閱[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。您需要先定義要在整個組織中實作的標籤。之後，您將實作並強制執行此標記策略。如需有關實作和強制執行的詳細資訊，請參閱[使用 AWS 標籤政策和服務控制政策 (SCP) 實作 AWS 資源標記策略](https://aws.amazon.com/blogs/mt/implement-aws-resource-tagging-strategy-using-aws-tag-policies-and-service-control-policies-scps/)。

## 資源
<a name="resources"></a>

 **相關 Well-Architected 的最佳實務：**
+  [SEC04-BP01 設定服務和應用程式日誌記錄](sec_detect_investigate_events_app_service_logging.md) 
+  [SEC04-BP02 在標準化的位置擷取日誌、調查結果和指標](sec_detect_investigate_events_logs.md) 

 **相關文件：**
+ [ 安全事件回應的日誌記錄策略](https://aws.amazon.com/blogs/security/logging-strategies-for-security-incident-response/)
+ [ 事件回應雲端功能定義](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/appendix-a-cloud-capability-definitions.html)

 **相關範例：**
+ [ 使用 Amazon GuardDuty 和 Amazon Detective 進行威脅偵測與回應](https://catalog.workshops.aws/guardduty/en-US)
+ [ Security Hub 研討會](https://catalog.workshops.aws/security)
+ [ 使用 Amazon Inspector 管理漏洞](https://catalog.workshops.aws/inspector/en-US)