Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Onboarding-Leitfaden Der Onboarding-Leitfaden führt Sie durch die Voraussetzungen sowie die AWS Security Incident Response Onboarding- und Eindämmungsmaßnahmen. **Wichtig** Voraussetzungen Die einzige Voraussetzung für die Bereitstellung ist die Aktivierung. [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) Obwohl dies nicht erforderlich ist, empfehlen wir, [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) und alle Konten zu aktivieren [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html)und aktiv AWS-Regionen zu sein, um die Vorteile von Security Incident Response zu maximieren. Überprüfung GuardDuty und Reaktion auf Sicherheitsvorfälle. Lesen Sie [GuardDutyden Leitfaden mit bewährten Methoden](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html). AWS Security Hub CSPM berücksichtigt Ergebnisse von Drittanbietern für Endpoint Detection and Response (EDR) (Endpoint Detection and Response) (CrowdStrikeunter anderem FortinetcNapp (Lacework) und Trend Micro). Wenn diese Ergebnisse in Security Hub CSPM aufgenommen werden, werden sie von Security Incident Response automatisch geprüft, um proaktiv Fälle zu erstellen. Informationen zur Einrichtung von Drittanbieter-EDR mit Security Hub CSPM finden Sie unter [Erkennen und Analysieren](https://docs.aws.amazon.com//security-ir/latest/userguide/detect-and-analyze.html). So richten Sie EDR eines Drittanbieters mit Security Hub CSPM ein: 1. Navigieren Sie zur Seite Security Hub CSPM-Integrationen, um zu überprüfen, ob die Drittanbieter-Integration vorhanden ist. 1. Navigieren Sie von der Konsole aus zur Security Hub CSPM-Serviceseite. 1. Wählen Sie **Integrationen** (am Beispiel von Wiz.io): ![\[Security Hub CSPM-Integrationsseite mit verfügbaren Integrationen von Drittanbietern.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Security_Hub_CSPM.png) 1. Suchen Sie nach dem Anbieter, den Sie integrieren möchten ![\[Suchoberfläche für die Suche und Auswahl von Integrationen von Drittanbietern.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Integrations.png) **Anmerkung** Wenn Sie dazu aufgefordert werden, geben Sie Ihre Konto- oder Abonnementinformationen ein. Nachdem Sie diese Informationen bereitgestellt haben, erfasst Security Incident Response die Ergebnisse von Drittanbietern. Die Preise für die Erfassung von Erkenntnissen durch Dritte finden Sie auf der Seite **Integrationen** in Security Hub CSPM. # Implementieren und konfigurieren Sie Security Incident Response 1. Wählen Sie **Anmelden** ![\[AWS Security Incident Response Anmeldeseite mit der Anmeldeschaltfläche.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/AWS_Security_incident_Response.png) 1. Wählen Sie im Verwaltungskonto ein **Security-Tooling-Konto** als Delegierter Administrator aus. + [Referenzarchitektur für die Sicherheit](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/introduction.html) + [Dokumentation für delegierte Administratoren](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html) ![\[Richten Sie eine zentrale Mitgliederkontoseite für die Auswahl eines delegierten Administratorkontos ein.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Set_Up_Central_Membership_Account.png) 1. Melden Sie sich beim delegierten Administratorkonto an 1. Geben Sie die Mitgliedsdaten ein und verknüpfen Sie die Konten ![\[Geben Sie die Mitgliedsdaten ein und verknüpfen Sie die Konten.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Define_Membership_Details.png) # Autorisieren Sie Maßnahmen zur Reaktion auf Sicherheitsvorfälle Auf dieser Seite wird beschrieben, wie Sie Security Incident Response autorisieren, automatisierte Überwachungs- und Eindämmungsmaßnahmen in Ihrer Umgebung durchzuführen. AWS Sie können zwei unterschiedliche Autorisierungsfunktionen aktivieren: proaktive Reaktionsüberwachung und Einstellungen für Eindämmungsmaßnahmen. Diese Funktionen sind unabhängig und können je nach Ihren Sicherheitsanforderungen separat aktiviert werden. # Aktivieren Sie die proaktive Reaktion Proactive Response ermöglicht Security Incident Response die Überwachung und Untersuchung von Warnmeldungen, die von Amazon GuardDuty und AWS Security Hub CSPM Integrationen in Ihrem Unternehmen generiert wurden. Wenn diese Option aktiviert ist, sortiert Security Incident Response Warnmeldungen mit niedriger Priorität mithilfe von Serviceautomatisierung aus, sodass sich Ihr Team auf die kritischsten Probleme konzentrieren kann. Um eine proaktive Reaktion beim Onboarding zu ermöglichen: 1. Navigieren Sie in der Security Incident Response-Konsole zum Onboarding-Workflow. 1. Prüfen Sie die Serviceberechtigungen, die es Security Incident Response ermöglichen, die Ergebnisse aller betroffenen Konten und aktiven Support-Konten AWS-Regionen in Ihrem Unternehmen zu überwachen. 1. Wählen Sie **Anmelden**, um die Funktion zu aktivieren. ![\[Überprüfen Sie den Bildschirm mit den Serviceberechtigungen, der die Berechtigungen anzeigt, die Security Incident Response zur Überwachung der Ergebnisse benötigt.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Review_Service_Permissions.png) ![\[Bestätigungsbildschirm für die Registrierung zur Aktivierung der proaktiven Antwortüberwachung.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Review_and_Sign_Up.png) Diese Funktion erstellt automatisch eine dienstbezogene Rolle für alle betroffenen Mitgliedskonten in Ihrem AWS Organizations. Sie müssen die dienstverknüpfte Rolle jedoch manuell im Verwaltungskonto erstellen, indem Sie mit AWS CloudFormation Stack-Sets arbeiten. **Nächste Schritte:** Weitere Informationen darüber, wie Security Incident Response mit Amazon GuardDuty funktioniert AWS Security Hub CSPM, finden Sie unter *Erkennen und Analysieren* im *AWS Security Incident Response Benutzerhandbuch*. # Definieren Sie die Einstellungen für Eindämmungsmaßnahmen Eindämmungsmaßnahmen ermöglichen AWS Security Incident Response die Durchführung schneller Reaktionsmaßnahmen während eines aktiven Sicherheitsvorfalls. Diese Maßnahmen tragen dazu bei, die Auswirkungen von Sicherheitsvorfällen in Ihrer Umgebung schnell zu mindern. **Wichtig** Security Incident Response aktiviert standardmäßig keine Eindämmungsfunktionen. Sie müssen Containment-Aktionen in Ihren Containment-Einstellungen ausdrücklich autorisieren. Um AWS Security Incident Response Techniker zu autorisieren, Containment-Aktionen in Ihrem Namen durchzuführen, müssen Sie zusätzlich zur Bereitstellung eines Systems, [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html)das die erforderlichen IAM-Rollen erstellt, Ihre Containment-Einstellungen auf Organisations- oder Kontoebene definieren. Einstellungen auf Kontoebene haben Vorrang vor Einstellungen auf Organisationsebene. **Voraussetzungen:** Sie müssen über die erforderlichen Berechtigungen verfügen, um Kundenvorgänge zu erstellen. AWS Support **Eindämmungsoptionen:** + **Genehmigung erforderlich** (Standard): Führen Sie keine proaktive Eingrenzung von Ressourcen ohne ausdrückliche Genehmigung auf einer case-by-case bestimmten Grundlage durch. + **Eingrenzen bestätigt**: Führt eine proaktive Eingrenzung einer Ressource durch, bei der bestätigt wurde, dass sie gefährdet ist. + **Verdächtigen Schaden eindämmen**: Führen Sie eine proaktive Eingrenzung einer Ressource durch, bei der die Wahrscheinlichkeit, dass sie gefährdet wurde, auf der Grundlage von Analysen, die von Technikern durchgeführt wurden, hoch ist. AWS Security Incident Response So definieren Sie Containment-Einstellungen: 1. [Erstellen Sie einen AWS Support Fall](https://docs.aws.amazon.com/security-ir/latest/userguide/create-support-case.html), in dem Sie aufgefordert werden, die Einstellungen für Sicherheitsmaßnahmen für die Reaktion auf Sicherheitsvorfälle zu konfigurieren. 1. Geben Sie in Ihrem Support-Fall Folgendes an: + Ihre AWS Organizations ID oder ein bestimmtes Konto, für das IDs Eindämmungsmaßnahmen autorisiert werden sollten + Ihre bevorzugte Eindämmungsoption (Genehmigung erforderlich, „Enthalten bestätigt“ oder „Verdachtsfall enthalten“). + Die Arten von Containment-Aktionen, die Sie autorisieren möchten (z. B. Isolierung von EC2-Instances, Rotation von Anmeldeinformationen oder Änderungen von Sicherheitsgruppen) 1. AWS Support arbeitet mit Ihnen zusammen, um Ihre Containment-Einstellungen zu konfigurieren. Sie müssen das Notwendige bereitstellen AWS CloudFormation StackSet , um die erforderlichen IAM-Rollen zu erstellen. AWS Support kann bei Bedarf Unterstützung leisten. Wenn konfiguriert, werden die autorisierten Eindämmungsmaßnahmen bei aktiven Sicherheitsvorfällen AWS Security Incident Response ausgeführt, um Ihre Umgebung zu schützen. **Nächste Schritte:** Nachdem die Containment-Einstellungen konfiguriert wurden, können Sie die bei Vorfällen ergriffenen Sicherheitsmaßnahmen in der Security Incident Response-Konsole überwachen. # Nach der Bereitstellung von Security Incident Response AWS lässt sich in Ihr bestehendes Framework zur Reaktion auf Vorfälle integrieren, anstatt es zu ersetzen. 1. Informieren Sie sich über unsere Möglichkeiten zur betrieblichen Integration, um Ihre aktuellen Verfahren zu verbessern. 1. Sehen Sie sich unsere Demo zur Unterstützung von Mitgliedern auf OU-Ebene, die EventBridge Nutzung und die Jira-ITSM-Integration für effizientere Sicherheitsabläufe an. [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/lVSi5XyMlws/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/lVSi5XyMlws) # Informieren Sie das Incident Response Team 1. *Vergewissern Sie sich, dass Sie abonniert sind und die in diesem Onboarding-Leitfaden beschriebenen Onboarding-Schritte abgeschlossen haben.* 1. Wählen Sie in der linken Navigationsleiste Incident Response Team aus. 1. Wählen Sie die Teammitglieder aus, die Sie Ihrem Team hinzufügen möchten. ![\[AWS Dienste senden Ereignisse an den EventBridge Standard-Event-Bus. Wenn das Ereignis mit dem Ereignismuster einer Regel übereinstimmt, wird das Ereignis an die für diese Regel angegebenen Ziele EventBridge gesendet.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Teamates.png) **Anmerkung** Das Team kann aus Unternehmensleitern, Rechtsberatern, MDR-Partnern, Cloud-Ingenieuren und anderen bestehen. Sie können bis zu 10 weitere Mitglieder hinzufügen. Geben Sie für jedes Mitglied nur Name, Titel und E-Mail-Adresse an. # AWS unterstützter Fall AWS Security Incident Response bietet ein abonnementbasiertes Fallmanagement-Portal, über das Ihr Unternehmen direkt mit unseren Security Incident Response-Technikern Kontakt aufnimmt. Wir unterstützen Sie bei Sicherheitsuntersuchungen und aktiven Vorfällen mit einem SLO von 15 Minuten, ohne Beschränkung auf reaktive Fälle. Weitere Informationen finden Sie in unserer Dokumentation „Einen AWS unterstützten Fall erstellen“. **Erweitern Sie das Ermittlungsteam** Über das Case Management Portal können Sie externen Parteien Einblick in den Fall gewähren, indem Sie Beobachter- und IAM-Richtlinien hinzufügen. Nutzen Sie diese Optionen für Partner, Rechtsteams oder Fachexperten. **So fügen Sie Beobachter zu einem Fall hinzu:** 1. Öffnen Sie einen beliebigen Fall über das Security Incident Response Cases Portal. ![\[AWS Dienste senden Ereignisse an den EventBridge Standard-Event-Bus. Wenn das Ereignis mit dem Ereignismuster einer Regel übereinstimmt, wird das Ereignis an die für diese Regel angegebenen Ziele EventBridge gesendet.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Cases.png) 1. Wählen Sie die Registerkarte „Berechtigungen“ ![\[AWS Dienste senden Ereignisse an den EventBridge Standard-Event-Bus. Wenn das Ereignis mit dem Ereignismuster einer Regel übereinstimmt, wird das Ereignis an die für diese Regel angegebenen Ziele EventBridge gesendet.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Overview.png) 1. Wählen Sie Hinzufügen ![\[AWS Dienste senden Ereignisse an den EventBridge Standard-Event-Bus. Wenn das Ereignis mit dem Ereignismuster einer Regel übereinstimmt, wird das Ereignis an die für diese Regel angegebenen Ziele EventBridge gesendet.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Watchers.png) **Anmerkung** Jeder Fall beinhaltet eine vorab ausgefüllte IAM-Richtlinie, die nur für diesen speziellen Fall Zugriff gewährt, wobei die geringsten Rechte beibehalten werden. Kopieren Sie diese Richtlinie und fügen Sie sie direkt in die IAM-Rollen oder -Benutzer von Drittanbietern oder bestimmten Ermittlungsteams ein, um deren Beitrag zu ermöglichen. # GuardDuty Feststellungen und Regeln zur Unterdrückung AWS Security Incident Response nimmt proaktiv alle Ergebnisse und GuardDuty AWS Security Hub CSPM Ergebnisse von Amazon, FortinetcNapp (Lacework) und Trend Micro auf CrowdStrike, bewertet sie und reagiert darauf. Unsere Auto-Triage-Technologie macht interne Analyseanforderungen überflüssig. Der Dienst erstellt Regeln zur Unterdrückung und automatischen Archivierung in GuardDuty Security Hub CSPM für harmlose Ergebnisse. Sehen Sie sich diese Regeln in der GuardDuty Amazon-Konsole unter „Ergebnisse“ an oder ändern Sie sie. Gehen Sie wie folgt vor, um die aktivierten GuardDuty Unterdrückungsregeln zu überprüfen: 1. Öffnen Sie die GuardDuty Amazon-Konsole. 1. Wählen Sie **Findings** aus. 1. Wählen Sie im Navigationsbereich die Option **Unterdrückungsregeln** aus. Auf der Seite mit den **Unterdrückungsregeln** wird eine Liste aller Unterdrückungsregeln für Ihr Konto angezeigt. 1. Um die Einstellungen für eine Regel zu überprüfen oder zu ändern, wählen Sie die Regel aus und klicken Sie dann im Menü **Aktionen** auf **Unterdrückungsregel aktualisieren**. **Anmerkung** Organizations, die SIEM-Technologie einsetzen, haben im Laufe der Zeit das GuardDuty Fundvolumen erheblich reduziert und damit sowohl den Security Incident Response-Service als auch die SIEM-Effizienz verbessert. # Amazon EventBridge Amazon EventBridge ermöglicht eine ereignisgesteuerte Architektur für Security Incident Response, sodass Fallaktivitäten nachgelagerte Dienste (SNS, Lambda, SQS, Step-Functions) oder externe Tools (Jira, Teams, Slack,) auslösen können. ServiceNow PagerDuty **So konfigurieren Sie Regeln: EventBridge ** 1. Zugriff auf Amazon EventBridge 1. Wählen Sie im Drop-down-Menü **Busse** die Option **Regeln** aus. ![\[AWS Dienste senden Ereignisse an den EventBridge Standard-Event-Bus. Wenn das Ereignis mit dem Ereignismuster einer Regel übereinstimmt, wird das Ereignis an die für diese Regel angegebenen Ziele EventBridge gesendet.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Amazon_EventBridge_rules.png) 1. Wählen Sie **Create Rule (Regel erstellen)** aus. 1. Geben Sie die Regeldetails ein. 1. Wählen Sie **Weiter** aus. ![\[AWS Dienste senden Ereignisse an den EventBridge Standard-Event-Bus. Wenn das Ereignis mit dem Ereignismuster einer Regel übereinstimmt, wird das Ereignis an die für diese Regel angegebenen Ziele EventBridge gesendet.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Define_Rule.png) 1. Scrollen Sie zu **AWS Service,**. und wählen Sie dann **AWS Security Incident Response**aus dem Dropdownmenü aus. ![\[AWS Dienste senden Ereignisse an den EventBridge Standard-Event-Bus. Wenn das Ereignis mit dem Ereignismuster einer Regel übereinstimmt, wird das Ereignis an die für diese Regel angegebenen Ziele EventBridge gesendet.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Event_Pattern_Security.png) 1. Wählen Sie in der Dropdownliste **Ereignistyp** das Ereignis oder den API-Aufruf aus, für den Sie ein Muster erstellen möchten. 1. Sie können das Muster manuell bearbeiten, um mehr als ein Ereignis einzubeziehen. 1. Wählen Sie **Weiter** aus. ![\[AWS Dienste senden Ereignisse an den EventBridge Standard-Event-Bus. Wenn das Ereignis mit dem Ereignismuster einer Regel übereinstimmt, wird das Ereignis an die für diese Regel angegebenen Ziele EventBridge gesendet.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Event_Pattern.png) **Anmerkung** Wählen Sie ein oder mehrere Ziele (Amazon Simple Notification Service AWS Lambda, SSM-Dokument, Step-Function) für Ihre Ereignisse aus. Konfigurieren Sie bei Bedarf kontenübergreifende Ziele. Sie können im Integrationsmenü unter Partnerereignisquellen nach Mustern bei der EventBridge Partnerintegration suchen. Zu den verfügbaren Partnern gehören unter anderem Atlassian (Jira) DataDog, New Relic PagerDuty, Symantec und Zendesk. ![\[AWS Dienste senden Ereignisse an den Standard-Event-Bus. EventBridge Wenn das Ereignis mit dem Ereignismuster einer Regel übereinstimmt, wird das Ereignis an die für diese Regel angegebenen Ziele EventBridge gesendet.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Amazon_EventBridge_Partners.png) # Integrationen und Workflow für externe Tools **AWS Lösungen zur Integration von JIRA oder ServiceNow mit Security Incident Response** Stellen Sie unsere voll entwickelten Lösungen für die bidirektionale Integration mit Jira und bereit. ServiceNow Diese Integrationen ermöglichen eine bidirektionale Kommunikation zwischen AWS Security Incident Response Fällen und Ihrer ITSM-Plattform, wobei Fallaktualisierungen automatisch in den entsprechenden Jira-Aufgaben berücksichtigt werden. **Vorteile der Integration** Durch die AWS Security Incident Response Integration in Ihre bestehende ITSM-Plattform werden Ihre Sicherheitsabläufe optimiert, indem die Workflows zur Nachverfolgung und Reaktion auf Vorfälle zentralisiert werden. Diese vorgefertigten Lösungen machen eine kundenspezifische Entwicklung überflüssig und ermöglichen es Ihren Sicherheitsteams, den Überblick sowohl über AWS native als auch über unternehmensweite Incident-Management-Systeme zu behalten. Durch die Nutzung von Amazon EventBridge für die ereignisgesteuerte Automatisierung werden Updates nahtlos und in Echtzeit zwischen den Plattformen ausgetauscht. Dadurch wird sichergestellt, dass Sicherheitsvorfälle unabhängig von ihrem Ursprung konsistent verfolgt werden. Dieser einheitliche Ansatz reduziert den Kontextwechsel für Sicherheitsanalysten, verbessert die Reaktionszeiten und bietet umfassende Prüfprotokolle für Ihren gesamten Reaktionszyklus auf Vorfälle. So konfigurieren Sie EventBridge Regeln: 1. Greifen Sie auf Amazon EventBridge zu. 1. Wählen Sie im Drop-down-Menü **Busse** die Option **Regeln** aus. # Arbeitsablauf bei der externen Werkzeugausstattung Security Incident Response lässt sich auf vielfältige Weise in externe Tools und Partner integrieren: + *SIEM-Integration:* Die Security Incident Response-Techniker helfen Ihnen, diese Ergebnisse parallel mit Ihrem Team zu analysieren und zu untersuchen, wenn Sie AWS unterstützte Fälle einreichen. Wir identifizieren Zusammenhänge zwischen Hybrid- und Multi-Cloud-Umgebungen und helfen so, die Bewegungen von Bedrohungsakteuren zwischen Anbietern einzuschätzen. + *Verbessert Ihre bestehenden Sicherheitsabläufe:* Wir ersetzen herkömmliche GuardDuty Reaktionsabläufe durch ein effizienteres, paralleles Reaktionsmodell. Viele Unternehmen nutzen derzeit SIEM-Technologie für Erkennungsworkflows im Rahmen des Fallmanagements. Dieser Service bietet eine optimierte Alternative speziell für GuardDuty (und ausgewählte Security Hub CSPM) Ergebnisse. Die Lösung nutzt ausgefeilte Auto-Triage-Technologie mit menschlicher Aufsicht, um proaktive Fälle in Ihrem Portal zu erstellen, gleichzeitig Ihr Reaktionsteam zu benachrichtigen und unsere Security Incident Response Engineers mit koordinierten Abhilfemaßnahmen zu beauftragen. + *Ermittlungsteams von Drittanbietern:* Unsere Security Incident Response Engineers arbeiten direkt mit Ihren Partnern und MDR-Anbietern zusammen. # Anhang A: Ansprechpartner Wenn Sie Ihre Metadaten im Voraus unseren Security Incident Response-Technikern zur Verfügung stellen, kann dies dazu beitragen, die Profilerstellung zu beschleunigen und das Vertrauen in unsere Triaging-Technologie von Anfang an zu stärken. Dies trägt dazu bei, die Anzahl von Fehlalarmen zu reduzieren, die im Vorfeld festgestellt werden, wenn wir damit beginnen, Ihre Bedrohungserkenntnisse zu erfassen und Ihre „bekanntermaßen gute Welt“ zu schaffen. **Kontaktinformationen für IR- und SOC-Mitarbeiter** | Eintrag | IR \$1 SOC-Personal: Rolle, Name, E-Mail | Primäre und sekundäre Ansprechpartner für Eskalationen | Interne, bekannte CIDR-Bereiche | Externe, bekannte CIDR-Bereiche | Zusätzliche Cloud-Dienstanbieter | AWS Arbeitsregionen | DNS-Server IPs (falls nicht Amazon Route 53 Resolver) | VPN \$1 Fernzugriffslösungen und IPs | Kritische Anwendungsnamen \$1 Kontonummern | Häufig verwendete ungewöhnliche Ports | EDR \$1 AV \$1 Verwendete Tools für das Schwachstellenmanagement | IDP \$1 Standorte | | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | | 1 | SOC-Kommandeur, John Smith, jsmith@example.com | Primary | 10.0.0.0/16 | 5.5.60.0/20 (Azurblau) | Azure | us-east-1, us-east-2 | – | Direktverbindung, öffentliche VIF 116.32.8.7 | Nginx Webserver (Beispiel kritisch) \$1 1234567890 | 8080 | CrowdStrike Falcon | Entra, Azure | |   |   |   |   |   |   |   |   |   |   |   |   |   | |   |   |   |   |   |   |   |   |   |   |   |   |   | |   |   |   |   |   |   |   |   |   |   |   |   |   | Um Metadateninformationen für Ihre Umgebung einzureichen, erstellen Sie einen [AWS Support Fall](https://repost.aws/knowledge-center/get-aws-technical-support). **Um Metadaten einzureichen** 1. Füllen Sie die Metadatentabelle mit Ihren Umgebungsinformationen aus. 1. Erstellen Sie einen AWS Support Fall mit den folgenden Details: + **Art des Falls:** Technisch + **Service: Service** zur Reaktion auf Sicherheitsvorfälle + **Kategorie:** Andere 1. Hängen Sie die ausgefüllte Metadatentabelle an den Fall an.