Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Imposta flussi di lavoro di risposta proattiva e valutazione degli avvisi
<a name="setup-monitoring-and-investigation-workflows"></a>

AWS Security Incident Response monitora e analizza gli avvisi di minaccia generati dalle integrazioni CSPM di Amazon e Security GuardDuty Hub. Per utilizzare questa funzionalità, [Amazon GuardDuty deve essere abilitato](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html). AWS Security Incident Response classifica gli avvisi a bassa priorità con l'automazione dei servizi in modo che il team possa concentrarsi sui problemi più critici. Per ulteriori informazioni su come AWS Security Incident Response funziona con Amazon GuardDuty and AWS Security Hub CSPM, consulta la sezione [Rileva e analizza](https://docs.aws.amazon.com/security-ir/latest/userguide/detect-and-analyze.html) della guida per l'utente.

Se riscontri problemi di onboarding, [crea un Supporto AWS caso per richiedere](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case) ulteriore assistenza. Assicurati di includere i dettagli, tra cui l' Account AWS ID e gli eventuali errori che potresti aver riscontrato durante il processo di configurazione. 

**Nota**  
 Se hai domande sulle regole di GuardDuty soppressione di Amazon, sulle configurazioni di classificazione degli avvisi o sui flussi di lavoro di risposta proattiva, puoi creare un caso AWS supportato con il tipo di caso **Investigations and Inquiries e consultare il team di Security Incident** Response. AWS Per ulteriori informazioni, consulta [Crea un caso AWS supportato](create-an-aws-supported-case.md). 

Questa funzionalità consente di monitorare e analizzare AWS Security Incident Response i risultati in tutti gli account coperti e nelle regioni supportate attive della tua organizzazione. AWS Per facilitare questa funzionalità, crea AWS Security Incident Response automaticamente un ruolo collegato al servizio in tutti gli account dei soci coperti all'interno dell'azienda. AWS Organizations Tuttavia, per l'account di gestione, è necessario creare manualmente il ruolo collegato al servizio per abilitare il monitoraggio.

*Il servizio non può creare il ruolo collegato al servizio nell'account di gestione. È necessario creare questo ruolo manualmente nell'account di gestione utilizzando i set [di AWS CloudFormation stack](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html).*

# Comprendere l'archiviazione automatica con Proactive Response
<a name="understanding-automatic-archiving"></a>

Quando abiliti la risposta proattiva e il triaging degli avvisi, monitora e AWS Security Incident Response classifica automaticamente i risultati di sicurezza di Amazon e Security GuardDuty Hub CSPM. Nell'ambito di questo flusso di lavoro di valutazione automatica, i risultati vengono archiviati automaticamente in base ai seguenti criteri:

**Comportamento di archiviazione automatica:**
+ **Risultati innocui:** quando il processo di valutazione automatica determina che un risultato è benigno (non una vera minaccia alla sicurezza), archivia AWS Security Incident Response automaticamente il risultato in Amazon GuardDuty e crea regole di soppressione per evitare che risultati simili generino avvisi in futuro.
+ Regole di **soppressione: il servizio crea regole** di soppressione e archiviazione automatica sia in Amazon che in Security GuardDuty Hub CSPM per risultati che corrispondono ai modelli noti e validi del tuo ambiente, come gli indirizzi IP previsti, le entità IAM e i normali comportamenti operativi.
+ **Volume di avvisi ridotto:** le organizzazioni che utilizzano la tecnologia SIEM registrano una significativa riduzione dei volumi di GuardDuty ricerca di Amazon nel tempo, man mano che il servizio apprende il tuo ambiente e archivia automaticamente i risultati benigni. Ciò migliora l'efficienza sia del AWS Security Incident Response servizio che del SIEM.

**Visualizzazione dei risultati archiviati:**

È possibile esaminare automaticamente i risultati archiviati e le regole di soppressione create da: AWS Security Incident Response

1. Passa alla GuardDuty console Amazon

1. Scegli **Findings**

1. Seleziona **Archiviato** dal filtro dei risultati

1. Rivedi le regole di soppressione selezionando la freccia rivolta verso il basso accanto a ciascuna regola

**Considerazioni importanti:**
+ I risultati archiviati vengono conservati in Amazon GuardDuty per 90 giorni e possono essere visualizzati in qualsiasi momento durante tale periodo.
+ Puoi modificare o eliminare le regole di soppressione in qualsiasi momento tramite la console Amazon GuardDuty 
+ Il processo di valutazione automatica si adatta continuamente all'ambiente, migliorando la precisione nel tempo e riducendo i falsi positivi

**Contenimento:** in caso di incidente di sicurezza, AWS Security Incident Response può eseguire azioni di contenimento per mitigare rapidamente l'impatto, come isolare gli host compromessi o ruotare le credenziali. Security Incident Response non abilita le funzionalità di contenimento per impostazione predefinita. Per eseguire queste azioni di contenimento, è necessario innanzitutto concedere le autorizzazioni necessarie al servizio. Ciò può essere fatto implementando un [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html), che crea i ruoli richiesti.