Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Richten Sie proaktive Reaktions- und Alert-Triaging-Workflows ein
<a name="setup-monitoring-and-investigation-workflows"></a>

AWS Security Incident Response überwacht und untersucht Bedrohungswarnungen, die von den CSPM-Integrationen von Amazon GuardDuty und Security Hub generiert wurden. Um diese Funktion nutzen zu können, [ GuardDuty muss Amazon aktiviert sein](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html). AWS Security Incident Response sortiert Warnmeldungen mit niedriger Priorität mithilfe von Serviceautomatisierung aus, sodass sich Ihr Team auf die kritischsten Probleme konzentrieren kann. Weitere Informationen zur AWS Security Incident Response Funktionsweise mit Amazon GuardDuty und AWS Security Hub CSPM finden Sie im Abschnitt [Erkennen und Analysieren](https://docs.aws.amazon.com/security-ir/latest/userguide/detect-and-analyze.html) des Benutzerhandbuchs.

Wenn Sie Probleme beim Onboarding haben, [erstellen Sie einen AWS Support Fall](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case) für zusätzliche Unterstützung. Stellen Sie sicher, dass Sie Details wie die AWS-Konto ID und alle Fehler angeben, die Ihnen während des Einrichtungsvorgangs möglicherweise aufgefallen sind. 

**Anmerkung**  
 Wenn Sie Fragen zu GuardDuty Amazon-Unterdrückungsregeln, Alert-Triaging-Konfigurationen oder proaktiven Reaktionsabläufen haben, können Sie einen AWS unterstützten Fall mit dem Falltyp **Ermittlungen und Anfragen erstellen und** sich an das Team für die Reaktion auf AWS Sicherheitsvorfälle wenden. Weitere Informationen finden Sie unter [Erstellen Sie einen AWS unterstützten Fall](create-an-aws-supported-case.md). 

Mit dieser Funktion können AWS Security Incident Response Sie die Ergebnisse aller betroffenen Konten und aktiven unterstützten AWS Regionen in Ihrem Unternehmen überwachen und untersuchen. Um diese Funktion zu vereinfachen, AWS Security Incident Response wird automatisch eine dienstbezogene Rolle für alle betroffenen Mitgliedskonten innerhalb Ihres AWS Organizations Unternehmens erstellt. Für das Verwaltungskonto müssen Sie die dienstbezogene Rolle jedoch manuell erstellen, um die Überwachung zu aktivieren.

*Der Dienst kann die dienstverknüpfte Rolle im Verwaltungskonto nicht erstellen. Sie müssen diese Rolle manuell im Verwaltungskonto erstellen, indem Sie [mit AWS CloudFormation Stack-Sets arbeiten](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html).*

# Grundlegendes zur automatischen Archivierung mit Proactive Response
<a name="understanding-automatic-archiving"></a>

Wenn Sie proaktive Reaktion und Alert-Triaging aktivieren, AWS Security Incident Response werden die Sicherheitsergebnisse von Amazon und Security Hub CSPM automatisch überwacht GuardDuty und bewertet. Im Rahmen dieses Auto-Triage-Workflows werden die Ergebnisse automatisch anhand der folgenden Kriterien archiviert:

**Verhalten bei der automatischen Archivierung:**
+ **Gutartige Ergebnisse:** Wenn der Auto-Triage-Prozess feststellt, dass ein Ergebnis harmlos ist (keine echte Sicherheitsbedrohung), wird das Ergebnis AWS Security Incident Response automatisch in Amazon archiviert GuardDuty und Unterdrückungsregeln erstellt, um zu verhindern, dass ähnliche Ergebnisse in future Warnmeldungen auslösen.
+ **Unterdrückungsregeln:** Der Service erstellt Unterdrückungs- und automatische Archivierungsregeln sowohl in Amazon GuardDuty als auch in Security Hub CSPM für Ergebnisse, die den zweifelsfrei funktionierenden Mustern Ihrer Umgebung entsprechen, z. B. erwartete IP-Adressen, IAM-Entitäten und normales Betriebsverhalten.
+ **Geringeres Alarmvolumen:** Organizations, die SIEM-Technologie verwenden, verzeichnen im Laufe der Zeit ein deutlich GuardDuty geringeres Suchvolumen von Amazon, da der Service Ihre Umgebung erkennt und automatisch harmlose Ergebnisse archiviert. Dies verbessert die Effizienz sowohl für den AWS Security Incident Response Service als auch für Ihr SIEM.

**Archivierte Ergebnisse anzeigen:**

Sie können automatisch archivierte Ergebnisse und die Unterdrückungsregeln überprüfen, die erstellt wurden von AWS Security Incident Response:

1. Navigieren Sie zur GuardDuty Amazon-Konsole

1. Wählen Sie **Findings**

1. Wählen Sie im Ergebnisfilter **Archiviert**

1. Überprüfen Sie die Unterdrückungsregeln, indem Sie neben jeder Regel auf den Abwärtspfeil klicken

**Wichtige Überlegungen:**
+ Archivierte Ergebnisse werden 90 Tage lang bei Amazon GuardDuty aufbewahrt und können in diesem Zeitraum jederzeit eingesehen werden.
+ Sie können Unterdrückungsregeln jederzeit über die GuardDuty Amazon-Konsole ändern oder löschen
+ Der Auto-Triage-Prozess passt sich kontinuierlich an Ihre Umgebung an, verbessert die Genauigkeit im Laufe der Zeit und reduziert Fehlalarme

**Eindämmung:** AWS Security Incident Response Kann im Falle eines Sicherheitsvorfalls Eindämmungsmaßnahmen ergreifen, um die Auswirkungen schnell zu mildern, z. B. die Isolierung kompromittierter Hosts oder die Rotation von Zugangsdaten. Security Incident Response aktiviert standardmäßig keine Eindämmungsfunktionen. Um diese Eindämmungsmaßnahmen auszuführen, müssen Sie dem Service zunächst die erforderlichen Berechtigungen erteilen. Dies kann durch die Bereitstellung von erreicht werden [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html), wodurch die erforderlichen Rollen erstellt werden.