Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Imposta flussi di lavoro di risposta proattiva e valutazione degli avvisi
AWS Security Incident Response monitora e analizza gli avvisi di minaccia generati da Amazon GuardDuty e strumenti di rilevamento delle minacce di terze parti utilizzando le integrazioni CSPM di Security Hub. AWS Security Incident Response classifica automaticamente tutti gli avvisi supportati in modo che il team possa concentrarsi sui problemi più critici.
Importante
AWS Security Incident Response non richiede l'attivazione di Amazon GuardDuty. Tuttavia, la funzionalità di risposta proattiva si basa sulla ricezione dei risultati delle minacce dai servizi di rilevamento. Se non hai Amazon GuardDuty o Security Hub CSPM configurato per acquisire i risultati, non AWS Security Incident Response avrai avvisi da monitorare e indagare, il che limita il valore di questa funzionalità.
AWS Security Incident Response monitora e analizza i risultati di tutti gli account coperti e attivi supportati nella tua organizzazione. Regioni AWS Per facilitare questa funzionalità, crea AWS Security Incident Response automaticamente un ruolo collegato al servizio in tutti gli account dei soci coperti all'interno del tuo. AWS Organizations Tuttavia, per l'account di gestione, è necessario creare manualmente il ruolo collegato al servizio per abilitare il monitoraggio.
Se effettui l'accesso AWS Security Incident Response a Console di gestione AWS, Security Incident Response crea automaticamente il ruolo AWSServiceRoleForSecurityIncidentResponse_Triage collegato al servizio nel tuo account di AWS Organizations gestione e in tutti gli account inclusi nell'ambito. Se effettui l'onboarding utilizzando il API/CLI, devi creare il ruolo manualmente. Per ulteriori informazioni, consulta Abilita Security Incident Response e configura il tuo team di risposta agli incidenti utilizzando il API/CLI.
Se riscontri problemi di onboarding o hai bisogno di aiuto per abilitare Amazon GuardDuty o Security Hub CSPM, crea una Supporto AWS richiesta di assistenza.
Nota
Se hai domande sulle regole di GuardDuty soppressione di Amazon, sulle configurazioni di classificazione degli avvisi o sui flussi di lavoro di risposta proattiva, puoi creare un caso AWS supportato con il tipo di caso Indagini e richieste da consultare con il team. AWS Security Incident Response Per ulteriori informazioni, consulta Crea un AWS caso supportato.
Contenimento: in caso di incidente di sicurezza, AWS Security Incident Response può eseguire azioni di contenimento per mitigare rapidamente l'impatto, come isolare gli host compromessi o ruotare le credenziali. Security Incident Response non abilita le funzionalità di contenimento per impostazione predefinita. Per eseguire queste azioni di contenimento, è necessario innanzitutto concedere le autorizzazioni necessarie al servizio. Ciò può essere fatto implementando un AWS CloudFormation StackSet, che crea i ruoli richiesti.
