View a markdown version of this page

オンボーディングガイド - AWS Security Incident Response ユーザーガイド

オンボーディングガイド

AWS Security Incident Response オンボーディングガイドでは、前提条件、 オンボーディング、封じ込めアクションについて説明します。

重要

前提条件

  1. デプロイにおける唯一の前提条件は、AWS Organizations を有効にすることです。

  2. 必須ではありませんが、Security Incident Response のメリットを最大化するためにも、すべてのアカウントとアクティブ AWS リージョン で Amazon GuardDutyAWS Security Hub CSPM を有効にすることをお勧めします。

  3. GuardDuty とセキュリティインシデント対応を確認します。

  4. GuardDuty ベストプラクティスガイド を確認します。

AWS Security Hub CSPM は、サードパーティーのエンドポイント検出および対応 (EDR) ベンダー (CrowdStrike、FortinetCNAPP (Lacework)、Trend Micro など) からの検出結果を取り込みます。これらの検出結果が Security Hub CSPM に取り込まれると、Security Incident Response によって自動的にトリアージされ、プロアクティブなケースが作成されます。Security Hub CSPM でサードパーティー EDR を設定するには、検出と分析 を参照してください。

Security Hub CSPM でサードパーティー EDR を設定するには:

  1. Security Hub の CSPM 統合ページに移動して、サードパーティーの統合が存在することを確認します。

  2. コンソールから、Security Hub CSPM サービスページに移動します。

  3. 統合 (例として Wiz.IO を使用) を選択します。

    Security Hub CSPM の統合ページには、利用可能なサードパーティ統合が表示されます。

  4. 統合するベンダーを検索する

    サードパーティーベンダーの統合を検索・選択するための検索インターフェイス。
注記

プロンプトが表示されたら、アカウントまたはサブスクリプション情報を入力します。この情報を入力すると、Security Incident Response がサードパーティーの検出結果を取り込みます。サードパーティー検出結果の取り込みに対する料金を確認するには、Security Hub CSPM の「統合」ページを参照してください。