Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Guida all'onboarding
La guida all'onboarding illustra i prerequisiti e le azioni di onboarding e AWS Security Incident Response contenimento.
**Importante**
Prerequisiti
L'unico prerequisito per l'implementazione è l'abilitazione. [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
Sebbene non sia obbligatorio, consigliamo di abilitare [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) e [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html)su tutti gli account e di Regioni AWS attivarlo per massimizzare i vantaggi del Security Incident Response.
Revisione GuardDuty e risposta agli incidenti di sicurezza.
Consulta la [guida alle GuardDuty best practice](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html).
AWS Security Hub CSPM raccoglie i risultati di fornitori terzi di endpoint detection and response (EDR) (FortineTCNApp (Lacework) e Trend MicroCrowdStrike, tra gli altri). Se questi risultati vengono inseriti in Security Hub CSPM, vengono valutati automaticamente da Security Incident Response per la creazione proattiva dei casi. Per configurare EDR di terze parti con Security Hub CSPM, consulta [Rileva](https://docs.aws.amazon.com//security-ir/latest/userguide/detect-and-analyze.html) e analizza.
Per configurare EDR di terze parti con Security Hub CSPM:
1. Vai alla pagina Security Hub CSPM Integrazioni per verificare l'esistenza dell'integrazione di terze parti
1. Dalla console, vai alla pagina del servizio CSPM di Security Hub.
1. Scegli **Integrazioni** (usando Wiz.io come esempio):
![\[Pagina delle integrazioni CSPM di Security Hub che mostra le integrazioni di terze parti disponibili.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Security_Hub_CSPM.png)
1. Cerca il fornitore che desideri integrare
![\[Interfaccia di ricerca per trovare e selezionare integrazioni con fornitori di terze parti.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Integrations.png)
**Nota**
Quando richiesto, fornisci le informazioni sull'account o sull'abbonamento. Dopo aver fornito queste informazioni, Security Incident Response acquisisce i risultati di terze parti. Per esaminare i prezzi per l'acquisizione di risultati da terze parti, consulta la pagina **Integrazioni** in Security Hub CSPM.
# Implementa e configura Security Incident Response
1. **Scegli Registrati**
![\[AWS Security Incident Response pagina di registrazione con il pulsante Iscriviti.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/AWS_Security_incident_Response.png)
1. Seleziona un account per **gli strumenti di sicurezza** come amministratore delegato dall'account di gestione.
+ [Architettura di riferimento per la sicurezza](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/introduction.html)
+ [Documentazione per amministratori delegati](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)
![\[Configura la pagina centrale dell'account di iscrizione per la selezione di un account amministratore delegato.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Set_Up_Central_Membership_Account.png)
1. Accedi all'account amministratore delegato
1. Inserisci i dettagli dell'iscrizione e gli account associati
![\[Inserisci i dettagli dell'iscrizione e gli account associati.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Define_Membership_Details.png)
# Autorizza le azioni di Security Incident Response
Questa pagina descrive come autorizzare Security Incident Response a eseguire azioni automatiche di monitoraggio e contenimento nell'ambiente. AWS È possibile abilitare due funzioni di autorizzazione distinte: il monitoraggio proattivo della risposta e le preferenze relative alle azioni di contenimento. Queste funzionalità sono indipendenti e possono essere abilitate separatamente in base ai requisiti di sicurezza.
# Abilita Proactive Response
La risposta proattiva consente a Security Incident Response di monitorare e analizzare gli avvisi generati da Amazon GuardDuty e AWS Security Hub CSPM le integrazioni all'interno dell'organizzazione. Se abilitata, Security Incident Response classifica gli avvisi a bassa priorità con l'automazione dei servizi in modo che il team possa concentrarsi sui problemi più critici.
Per abilitare una risposta proattiva durante l'onboarding:
1. Nella console Security Incident Response, accedi al flusso di lavoro di onboarding.
1. Rivedi le autorizzazioni di servizio che consentono a Security Incident Response di monitorare i risultati di tutti gli account coperti e attivi supportati Regioni AWS nella tua organizzazione.
1. Scegli **Iscriviti** per abilitare la funzionalità.
![\[Rivedi la schermata delle autorizzazioni di servizio che mostra le autorizzazioni richieste da Security Incident Response per monitorare i risultati.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Review_Service_Permissions.png)
![\[Schermata di conferma della registrazione per abilitare il monitoraggio proattivo della risposta.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Review_and_Sign_Up.png)
Questa funzione crea automaticamente un ruolo collegato al servizio in tutti gli account membro coperti all'interno del tuo. AWS Organizations Tuttavia, è necessario creare manualmente il ruolo collegato al servizio nell'account di gestione utilizzando i set di stack. AWS CloudFormation
**Passaggi successivi:** per ulteriori informazioni su come funziona Security Incident Response con Amazon GuardDuty AWS Security Hub CSPM, consulta *Detect and Analyze* nella *Guida per l'AWS Security Incident Response utente*.
# Definisci le preferenze relative alle azioni di contenimento
Le azioni di contenimento consentono AWS Security Incident Response di eseguire misure di risposta rapida durante un incidente di sicurezza attivo. Queste azioni aiutano a mitigare rapidamente l'impatto degli incidenti di sicurezza nell'ambiente.
**Importante**
Security Incident Response non abilita le funzionalità di contenimento per impostazione predefinita. È necessario autorizzare esplicitamente le azioni di contenimento tramite le preferenze di contenimento.
Per autorizzare i AWS Security Incident Response tecnici a eseguire azioni di contenimento per tuo conto, oltre a implementare un programma [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html)che crei i ruoli IAM richiesti, devi definire le preferenze di contenimento a livello di organizzazione o account. Le preferenze a livello di account sostituiscono le preferenze a livello di organizzazione.
**Prerequisiti:** è necessario disporre delle autorizzazioni per creare casi. Supporto AWS
**Opzioni di contenimento:**
+ **Approvazione richiesta** (impostazione predefinita): non eseguire il contenimento proattivo di alcuna risorsa senza un'autorizzazione esplicita su base regolare. case-by-case
+ Contenimento **confermato**: esegui il contenimento proattivo di una risorsa confermata compromessa.
+ Contenimento dei **dati sospetti**: esegui il contenimento proattivo di una risorsa con un'alta probabilità che sia stata compromessa, sulla base di un'analisi eseguita dai tecnici. AWS Security Incident Response
Per definire le preferenze di contenimento:
1. [Crea un Supporto AWS caso](https://docs.aws.amazon.com/security-ir/latest/userguide/create-support-case.html) per richiedere la configurazione delle preferenze relative alle azioni di contenimento per Security Incident Response.
1. Nel caso di assistenza, specifica:
+ Il tuo AWS Organizations ID o l'account specifico IDs in cui devono essere autorizzate le azioni di contenimento
+ L'opzione di contenimento preferita (è richiesta l'approvazione, il contenuto è confermato o il contenuto sospetto).
+ I tipi di azioni di contenimento che desideri autorizzare (come l'isolamento delle istanze EC2, la rotazione delle credenziali o le modifiche ai gruppi di sicurezza)
1. Supporto AWS collabora con te per configurare le tue preferenze di contenimento. È necessario implementare il necessario per creare AWS CloudFormation StackSet i ruoli IAM richiesti. Supporto AWS può fornire assistenza, se necessario.
Una volta configurato, AWS Security Incident Response esegue le azioni di contenimento autorizzate durante gli incidenti di sicurezza attivi per contribuire a proteggere l'ambiente.
**Passaggi successivi:** dopo aver configurato le preferenze di contenimento, è possibile monitorare le azioni di contenimento intraprese durante gli incidenti nella console Security Incident Response.
# Dopo l'implementazione di Security Incident Response
AWS si integra con il framework di risposta agli incidenti esistente anziché sostituirlo.
1. Esamina le nostre capacità di integrazione operativa per migliorare le tue pratiche attuali.
1. Guarda la nostra demo di supporto, EventBridge utilizzo e integrazione Jira-ITSM per operazioni di sicurezza più efficienti per i soci a livello di UO.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/lVSi5XyMlws)
# Aggiorna l'Incident Response Team
1. *Assicurati di essere abbonato e di aver completato i passaggi di onboarding descritti in questa guida di onboarding.*
1. Seleziona Incident Response Team dalla barra di navigazione a sinistra.
1. Seleziona i compagni di squadra che desideri aggiungere al tuo team.
![\[AWS i servizi inviano gli eventi al bus degli eventi EventBridge predefinito. Se l'evento corrisponde al modello di evento di una regola, EventBridge invia l'evento ai target specificati per quella regola.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Teamates.png)
**Nota**
Il team può includere dirigenti dell'organizzazione, consulenti legali, partner MDR, ingegneri del cloud e altri. Puoi aggiungere fino a 10 membri aggiuntivi. Includi solo nome, titolo e indirizzo email per ogni membro.
# AWS caso supportato
AWS Security Incident Response fornisce un portale di gestione dei casi basato su abbonamento in cui l'organizzazione interagisce direttamente con i nostri tecnici di Security Incident Response. Forniamo assistenza nelle indagini di sicurezza e negli incidenti attivi con un SLO di 15 minuti, senza limiti di casi reattivi. Consulta la nostra documentazione relativa alla creazione di un AWS caso supportato.
**Espandi il team investigativo**
Tramite il Case Management Portal, puoi garantire la visibilità dei casi a parti esterne aggiungendo Watchers e policy IAM. Utilizza queste opzioni per partner, team legali o esperti in materia.
**Per aggiungere Watchers a un caso:**
1. Apri qualsiasi caso dal portale Security Incident Response Cases.
![\[AWS i servizi inviano gli eventi al bus degli eventi EventBridge predefinito. Se l'evento corrisponde al modello di evento di una regola, EventBridge invia l'evento ai target specificati per quella regola.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Cases.png)
1. Scegli la scheda Autorizzazioni
![\[AWS i servizi inviano gli eventi al bus eventi EventBridge predefinito. Se l'evento corrisponde al modello di evento di una regola, EventBridge invia l'evento ai target specificati per quella regola.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Overview.png)
1. Seleziona Aggiungi
![\[AWS i servizi inviano gli eventi al bus eventi EventBridge predefinito. Se l'evento corrisponde al modello di evento di una regola, EventBridge invia l'evento ai target specificati per quella regola.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Watchers.png)
**Nota**
Ogni caso include una policy IAM precompilata che garantisce l'accesso solo a quel caso specifico, mantenendo il privilegio minimo. Copia e incolla questa policy direttamente nei ruoli o negli utenti IAM per consentire il loro contributo a partner MDR di terze parti o team investigativi specifici.
# GuardDuty risultati e regole di soppressione
AWS Security Incident Response acquisisce, valuta e risponde in modo proattivo a tutti i risultati di Amazon e ai GuardDuty risultati di FortineTCNApp ( CrowdStrikeLacework) e AWS Security Hub CSPM Trend Micro. La nostra tecnologia di valutazione automatica elimina i requisiti di analisi interna. Il servizio crea regole di soppressione e archiviazione automatica in GuardDuty Security Hub CSPM per risultati benigni. Visualizza o modifica queste regole in «Findings» nella GuardDuty console Amazon.
Per rivedere le regole di GuardDuty soppressione abilitate, completa i seguenti passaggi:
1. Apri la GuardDuty console Amazon.
1. Scegli **Findings**.
1. Nel riquadro di navigazione, scegli **Regole di soppressione**. La pagina **Regole di soppressione** mostra un elenco di tutte le regole di soppressione per il tuo account.
1. **Per rivedere o modificare le impostazioni di una regola, scegli la regola, quindi scegli **Aggiorna regola di soppressione dal menu** Azioni.**
**Nota**
Le organizzazioni che utilizzano la tecnologia SIEM hanno ridotto significativamente i volumi di GuardDuty ricerca nel tempo, migliorando sia il servizio Security Incident Response che l'efficienza SIEM.
# Amazon EventBridge
Amazon EventBridge abilita un'architettura basata sugli eventi per Security Incident Response, che consente all'attività dei casi di attivare servizi downstream (SNS, Lambda, SQS, Step-Functions) o strumenti esterni (Jira, Teams, Slack,). ServiceNow PagerDuty
** EventBridge Per configurare le regole:**
1. Accedi ad Amazon EventBridge
1. Seleziona **Regole** dal menu a discesa **Autobus**.
![\[AWS i servizi inviano gli eventi al bus eventi EventBridge predefinito. Se l'evento corrisponde al modello di evento di una regola, EventBridge invia l'evento ai target specificati per quella regola.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Amazon_EventBridge_rules.png)
1. Selezionare **Create Rule (Crea regola)**.
1. Inserisci i dettagli della regola.
1. Scegli **Next (Successivo)**.
![\[AWS i servizi inviano gli eventi al bus degli eventi EventBridge predefinito. Se l'evento corrisponde al modello di evento di una regola, EventBridge invia l'evento ai target specificati per quella regola.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Define_Rule.png)
1. Scorri fino a **AWS service,** quindi seleziona **AWS Security Incident Response**dal menu a discesa.
![\[AWS i servizi inviano gli eventi al bus degli eventi EventBridge predefinito. Se l'evento corrisponde al modello di evento di una regola, EventBridge invia l'evento ai target specificati per quella regola.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Event_Pattern_Security.png)
1. Dal menu a discesa **Tipo di evento**, seleziona l'evento o la chiamata API per cui desideri creare un pattern.
1. Puoi modificare manualmente il modello per includere più di un evento.
1. Scegli **Next (Successivo)**.
![\[AWS i servizi inviano gli eventi al bus degli eventi EventBridge predefinito. Se l'evento corrisponde al modello di evento di una regola, EventBridge invia l'evento ai target specificati per quella regola.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Event_Pattern.png)
**Nota**
Seleziona uno o più obiettivi (Amazon Simple Notification Service AWS Lambda, documento SSM, Step-Function) per i tuoi eventi. Se necessario, configura obiettivi per più account.
Puoi verificare i modelli di integrazione dei partner in Partner Event Sources nel menu EventBridge Integrazione. I partner disponibili includono Atlassian (Jira), New Relic DataDog, Symantec e PagerDuty Zendesk, tra molti altri.
![\[AWS i servizi inviano gli eventi al bus degli eventi predefinito. EventBridge Se l'evento corrisponde al modello di evento di una regola, EventBridge invia l'evento ai target specificati per quella regola.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Amazon_EventBridge_Partners.png)
# Integrazioni e flusso di lavoro con strumenti esterni
**AWS soluzioni per integrare JIRA o ServiceNow con Security Incident Response**
Implementa le nostre soluzioni completamente sviluppate per l'integrazione bidirezionale con Jira e. ServiceNow Queste integrazioni consentono la comunicazione bidirezionale tra AWS Security Incident Response Cases e la tua piattaforma ITSM, con gli aggiornamenti dei casi riflessi automaticamente nelle attività Jira corrispondenti.
**Vantaggi dell'integrazione**
L'integrazione AWS Security Incident Response con la piattaforma ITSM esistente semplifica le operazioni di sicurezza centralizzando i flussi di lavoro di tracciamento e risposta agli incidenti. Queste soluzioni predefinite eliminano la necessità di uno sviluppo personalizzato, consentendo ai team di sicurezza di mantenere la visibilità sui sistemi di gestione degli incidenti sia AWS nativi che a livello aziendale. Sfruttando Amazon EventBridge per l'automazione basata sugli eventi, gli aggiornamenti fluiscono senza interruzioni tra le piattaforme in tempo reale, contribuendo a garantire che gli incidenti di sicurezza vengano tracciati in modo coerente indipendentemente dalla loro origine. Questo approccio unificato riduce il cambio di contesto per gli analisti della sicurezza, migliora i tempi di risposta e fornisce audit trail completi per l'intero ciclo di vita della risposta agli incidenti.
Per configurare le regole: EventBridge
1. Accedi ad Amazon EventBridge.
1. Seleziona **Regole** dal menu a discesa **Autobus**.
# Flusso di lavoro con utensili esterni
Security Incident Response si integra con strumenti e partner esterni in diversi modi:
+ *Integrazione SIEM:* gli ingegneri di Security Incident Response aiutano ad analizzare e indagare su tali risultati in parallelo con il tuo team quando invii i casi AWS supportati. Identifichiamo le correlazioni tra ambienti ibridi e multi-cloud, aiutando a monitorare i movimenti degli autori delle minacce tra i provider.
+ *Migliora le tue operazioni di sicurezza esistenti:* sostituiamo i flussi di lavoro di GuardDuty risposta tradizionali con un modello di risposta parallelo più efficiente. Molte organizzazioni attualmente utilizzano la tecnologia SIEM per i flussi di lavoro di rilevamento attraverso la gestione dei casi. Questo servizio offre un'alternativa semplificata, specifica per GuardDuty (e per alcuni selezionati Security Hub CSPM). La soluzione sfrutta una sofisticata tecnologia di valutazione automatica con supervisione umana per creare casi proattivi nel portale, avvisando contemporaneamente il team di risposta e coinvolgendo i nostri tecnici di Security Incident Response per interventi correttivi coordinati.
+ *Team investigativi di terze parti: i* nostri tecnici di Security Incident Response collaborano direttamente con i vostri partner e i fornitori di MDR.
# Appendice A: Punti di contatto
Fornire i metadati in anticipo ai nostri tecnici di Security Incident Response può contribuire ad accelerare i tempi di creazione del profilo, aumentando la fiducia nella nostra tecnologia di triaging fin dall'inizio. Questo aiuta a ridurre i falsi positivi iniziali identificati quando iniziamo ad assimilare le scoperte sulle minacce e a creare il «mondo buono conosciuto».
**Informazioni di contatto del personale IR e SOC**
| Voce | Personale IR \$1 SOC: ruolo, nome, email | Contatti primari e secondari di escalation | Intervalli CIDR interni e noti | Intervalli CIDR esterni e noti | Fornitori di servizi cloud aggiuntivi | AWS Regioni di lavoro | Server DNS IPs (se diverso da Amazon Route 53 Resolver) | VPN \$1 Soluzioni di accesso remoto e IPs | Nomi di applicazioni critiche \$1 Numeri di account | Porte non comuni utilizzate comunemente | EDR \$1 AV \$1 Strumenti di gestione delle vulnerabilità utilizzati | IDP \$1 Sedi |
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- |
| 1 | Comandante del SOC, John Smith, jsmith@example.com | Primary | 10.0.0.0/16 | 5.5.60.0/20 (Azzurro) | Azure | us-east-1, us-east-2 | N/D | Direct Connect, VIF pubblica 116.32.8.7 | Server Web Nginx (esempio critico) \$1 1234567890 | 8080 | CrowdStrike Falco | Entra, Azure |
| | | | | | | | | | | | | |
| | | | | | | | | | | | | |
| | | | | | | | | | | | | |
[Per inviare informazioni sui metadati per il tuo ambiente, crea un Supporto AWS caso.](https://repost.aws/knowledge-center/get-aws-technical-support)
**Per inviare i metadati**
1. Completa la tabella dei metadati con le informazioni sull'ambiente.
1. Crea un Supporto AWS caso con i seguenti dettagli:
+ **Tipo di custodia:** tecnica
+ **Servizio: Servizio** di risposta agli incidenti di sicurezza
+ **Categoria:** Altro
1. Allega la tabella di metadati completata al case.