Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configurez des flux de travail proactifs de réponse et de triage des alertes
Réponse aux incidents de sécurité AWS surveille et analyse les alertes de menaces générées par Amazon GuardDuty et les outils de détection des menaces tiers à l'aide des intégrations CSPM de Security Hub. Réponse aux incidents de sécurité AWS trie automatiquement toutes les alertes prises en charge afin que votre équipe puisse se concentrer sur les problèmes les plus critiques.
Important
Réponse aux incidents de sécurité AWS ne vous oblige pas à activer Amazon GuardDuty. Cependant, la fonction de réponse proactive repose sur la réception des informations relatives aux menaces par les services de détection. Si Amazon GuardDuty ou Security Hub CSPM ne sont pas configurés pour ingérer les résultats, vous n' Réponse aux incidents de sécurité AWS aurez pas d'alertes à surveiller et à étudier, ce qui limite l'intérêt de cette fonctionnalité.
Réponse aux incidents de sécurité AWS surveille et analyse les résultats concernant tous les comptes couverts et bénéficiant d'un support actif Régions AWS au sein de votre organisation. Pour faciliter cette fonctionnalité, crée Réponse aux incidents de sécurité AWS automatiquement un rôle lié au service dans tous les comptes de membres couverts au sein de votre. AWS Organizations Toutefois, pour le compte de gestion, vous devez créer manuellement le rôle lié au service pour activer la surveillance.
Si vous vous inscrivez Réponse aux incidents de sécurité AWS au AWS Management Console, Security Incident Response crée automatiquement le rôle AWSServiceRoleForSecurityIncidentResponse_Triage lié au service dans votre compte de AWS Organizations gestion et dans tous les comptes concernés. Si vous vous inscrivez à l'aide du API/CLI, vous devez créer le rôle manuellement. Pour de plus amples informations, veuillez consulter Activez la réponse aux incidents de sécurité et configurez votre équipe de réponse aux incidents à l'aide du API/CLI.
Si vous rencontrez des problèmes d'intégration ou si vous avez besoin d'aide pour activer Amazon GuardDuty ou Security Hub CSPM, créez un AWS Support dossier pour obtenir de l'aide.
Note
Si vous avez des questions concernant les règles de GuardDuty suppression d'Amazon, les configurations de tri des alertes ou les flux de travail de réponse proactifs, vous pouvez créer un dossier AWS pris en charge avec le type de dossier Investigations et demandes de renseignements pour consulter l' Réponse aux incidents de sécurité AWS équipe. Pour de plus amples informations, veuillez consulter Créez un AWS étui pris en charge.
Confinement : en cas d'incident de sécurité, Réponse aux incidents de sécurité AWS vous pouvez exécuter des actions de confinement pour en atténuer rapidement l'impact, telles que l'isolation des hôtes compromis ou la rotation des informations d'identification. Security Incident Response n’active pas les fonctionnalités de confinement par défaut. Pour exécuter ces actions de confinement, vous devez d'abord accorder les autorisations nécessaires au service. Cela peut être fait en déployant un AWS CloudFormation StackSet, qui crée les rôles requis.
