# オンボーディングガイド
<a name="onboarding-guide"></a>

 AWS Security Incident Response オンボーディングガイドでは、前提条件、 オンボーディング、封じ込めアクションについて説明します。

**重要**  
 前提条件   
デプロイにおける唯一の前提条件は、[AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) を有効にすることです。
必須ではありませんが、Security Incident Response のメリットを最大化するためにも、すべてのアカウントとアクティブ AWS リージョン で [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) と [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html) を有効にすることをお勧めします。
GuardDuty とセキュリティインシデント対応を確認します。
[GuardDuty ベストプラクティスガイド](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) を確認します。

AWS Security Hub CSPM は、サードパーティーのエンドポイント検出および対応 (EDR) ベンダー (CrowdStrike、FortinetCNAPP (Lacework)、Trend Micro など) からの検出結果を取り込みます。これらの検出結果が Security Hub CSPM に取り込まれると、Security Incident Response によって自動的にトリアージされ、プロアクティブなケースが作成されます。Security Hub CSPM でサードパーティー EDR を設定するには、[検出と分析](https://docs.aws.amazon.com//security-ir/latest/userguide/detect-and-analyze.html) を参照してください。

Security Hub CSPM でサードパーティー EDR を設定するには:

1. Security Hub の CSPM 統合ページに移動して、サードパーティーの統合が存在することを確認します。

1. コンソールから、Security Hub CSPM サービスページに移動します。

1. **統合** (例として Wiz.IO を使用) を選択します。  
![\[Security Hub CSPM の統合ページには、利用可能なサードパーティ統合が表示されます。\]](http://docs.aws.amazon.com/ja_jp/security-ir/latest/userguide/images/Security_Hub_CSPM.png)

1. 統合するベンダーを検索する  
![\[サードパーティーベンダーの統合を検索・選択するための検索インターフェイス。\]](http://docs.aws.amazon.com/ja_jp/security-ir/latest/userguide/images/Integrations.png)

**注記**  
 プロンプトが表示されたら、アカウントまたはサブスクリプション情報を入力します。この情報を入力すると、Security Incident Response がサードパーティーの検出結果を取り込みます。サードパーティー検出結果の取り込みに対する料金を確認するには、Security Hub CSPM の「**統合**」ページを参照してください。

# Security Incident Response のデプロイと設定
<a name="deploy-configure"></a>

1. **[サインアップ]** を選択します。  
![\[サインアップボタンを使用した AWS Security Incident Response サインアップページ。\]](http://docs.aws.amazon.com/ja_jp/security-ir/latest/userguide/images/AWS_Security_incident_Response.png)

1. 管理アカウントから委任管理者として **セキュリティツール** アカウントを選択します。
   + [セキュリティリファレンスアーキテクチャ](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/introduction.html)
   + [委任管理者のドキュメント](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)  
![\[委任管理者アカウントを選択するための、中央会員アカウントページを設定します。\]](http://docs.aws.amazon.com/ja_jp/security-ir/latest/userguide/images/Set_Up_Central_Membership_Account.png)

1. 委任された管理者のアカウントにログイン

1. メンバーシップの詳細を入力し、アカウントを関連付ける  
![\[メンバーシップの詳細を入力し、アカウントを関連付けます。\]](http://docs.aws.amazon.com/ja_jp/security-ir/latest/userguide/images/Define_Membership_Details.png)

# Security Incident Response アクションを承認する
<a name="authorize-security-incident-response"></a>

 このページでは、セキュリティインシデント対応が AWS 環境で自動モニタリングと封じ込めアクションを実行することを承認する方法について説明します。プロアクティブ対応モニタリングと封じ込めアクション設定という 2 つの異なる認可機能を有効にすることができます。これらの機能は独立しており、セキュリティ要件に基づいて個別に有効にすることができます。

# プロアクティブレスポンスを有効にする
<a name="enable-proactive-response"></a>

 プロアクティブレスポンスは、組織全体での Amazon GuardDuty と AWS Security Hub CSPM の統合から生成されたアラートを Security Incident Response が監視して調査できるようにします。有効にすると、セキュリティインシデント対応は、サービス自動化を使用して優先度の低いアラートをトリアージし、チームが最も重要な問題に集中できるようにします。

 オンボーディング中にプロアクティブ対応を有効にするには: 

1. セキュリティインシデント対応コンソールで、オンボーディングワークフローに移動します。

1. Security Incident Response が組織内のすべての対象アカウントとサポートされるアクティブな AWS リージョン リージョン全体での検出結果を監視できるようにするサービス許可を確認します。

1. [**サインアップ**] を選択して機能を有効にします。  
![\[セキュリティインシデント対応が検出結果をモニタリングするために必要なアクセス許可を表示するサービスアクセス許可確認画面。\]](http://docs.aws.amazon.com/ja_jp/security-ir/latest/userguide/images/Review_Service_Permissions.png)  
![\[プロアクティブ対応モニタリングを有効にするためのサインアップ確認画面。\]](http://docs.aws.amazon.com/ja_jp/security-ir/latest/userguide/images/Review_and_Sign_Up.png)

 この機能により、AWS Organizations 内のすべての対象メンバーアカウントにサービスリンクロールが自動的に作成されます。ただし、管理アカウントには AWS CloudFormation スタックセットを使用してサービスリンクロールを手動で作成する必要があります。

 **次のステップ:** Security Incident Response の Amazon GuardDuty および AWS Security Hub CSPM との連動に関する詳細については、「*AWS Security Incident Response ユーザーガイド*」の「*検出と分析*」を参照してください。

# 封じ込めアクションの設定を定義する
<a name="define-containment-preferences"></a>

 封じ込めアクションにより、AWS Security Incident Response はアクティブなセキュリティインシデント中に迅速な対応策を実行できます。これらのアクションは、環境内のセキュリティインシデントの影響をすばやく軽減するのに役立ちます。

**重要**  
 Security Incident Response では、封じ込め機能がデフォルトで有効化されていません。封じ込め設定を使用して、封じ込めアクションを明示的に承認する必要があります。

 AWS Security Incident Response エンジニアがユーザーに代わって封じ込めアクションを実行できるようにするには、必要な IAM ロールを作成する [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html) をデプロイするだけでなく、組織またはアカウントレベルの封じ込め設定を定義する必要があります。アカウントレベルの設定は、組織レベルの設定よりも優先されます。

 **前提条件:** AWS サポート ケースを作成する許可が必要です。

 **封じ込めオプション:** 
+ **承認が必要** (デフォルト): 個別のケースごとに明示的な承認を得ることなくリソースのプロアクティブな封じ込めを実行しない。
+ **確認されたリソースを封じ込める:** 侵害されたことが確認されているリソースのプロアクティブな封じ込めを実行する。
+ **疑わしいリソースを封じ込める:** AWS Security Incident Response エンジニアリングが実行した分析に基づいて、侵害された可能性が高いリソースのプロアクティブな封じ込めを実行する。

 封じ込め設定を定義するには: 

1. Security Incident Response の封じ込めアクションの設定をリクエストする [AWS サポート ケースを作成](https://docs.aws.amazon.com/security-ir/latest/userguide/create-support-case.html) します。

1. サポートケースで、以下を指定します:
   + 封じ込めアクションが承認される必要がある AWS Organizations ID または特定のアカウント ID
   + ご希望の封じ込め方法 (承認が必要、封じ込め確定、または封じ込め疑い) を選択してください。
   + 承認する封じ込めアクションのタイプ (EC2 インスタンスの分離、認証情報の更新、セキュリティグループの変更など)

1. AWS サポート がお客様と連携して封じ込めの設定を行います。必須の IAM ロールを作成するために不可欠な AWS CloudFormation StackSet をデプロイする必要があります。必要な場合は AWS サポート がサポートを提供できます。

 設定されている場合、アクティブなセキュリティインシデント中に AWS Security Incident Response が承認された封じ込めアクションを実行し、環境を保護するための支援を提供します。

 **次のステップ:** 封じ込め設定を行ったら、セキュリティインシデント対応コンソールでインシデント中に実行された封じ込めアクションをモニタリングできます。

# Security Incident Response のデプロイ後
<a name="post-deploy"></a>

AWS は、既存のインシデント対応フレームワークを置き換える代わりに、それと統合します。

1. 運用統合機能を確認して、現在のプラクティスを強化してください。

1. OU レベルのメンバーシップサポートのデモ、EventBridge の活用、ならびに Jira-ITSM との統合を視聴して、より効率的なセキュリティ運用を実現してください。  
[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/lVSi5XyMlws/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/lVSi5XyMlws)

# インシデント対応チームを更新する
<a name="update-security-incident-response"></a>

1. サブスクライブ済みであることと、この *オンボーディングガイド* で説明されているオンボーディングステップが完了していることを確認します。

1. 左側のナビゲーションからインシデント対応チームを選択します。

1. チームに追加するチームメイトを選択します。  
![\[AWS のサービスは、EventBridge のデフォルトのイベントバスにイベントを送信します。イベントがルールのイベントパターンに一致すると、EventBridge は、そのルールで指定されたターゲットに、イベントを送信します。\]](http://docs.aws.amazon.com/ja_jp/security-ir/latest/userguide/images/Teamates.png)

**注記**  
チームには、組織のリーダーシップ、法律顧問、MDR パートナー、クラウドエンジニアなどが含まれます。最大 10 人のメンバーを追加できます。各メンバーの名前、タイトル、E メールアドレスのみを含めます。

# AWS がサポートするケース
<a name="support-case"></a>

AWS Security Incident Response は、サブスクリプションベースのケース管理ポータルを提供します。ここでは、組織が Security Incident Response と直接やり取りします。15 分の SLO を使用して、セキュリティ調査とアクティブなインシデントを支援します。事後対応ケースに制限はありません。AWS サポート対象ケースの作成のドキュメントを参照してください。

**調査チームの展開**

ケース管理ポータル経由でウォッチャーと IAM ポリシーを追加することで、ケースに対する可視性を外部関係者に付与できます。これらのオプションは、パートナー、法務チーム、または対象分野のエキスパートに使用します。

**ウォッチャーをケースに追加するには:**

1. Security Incident Response ケースポータルから任意のケースを開きます。  
![\[AWS のサービスは、EventBridge のデフォルトのイベントバスにイベントを送信します。イベントがルールのイベントパターンに一致すると、EventBridge は、そのルールで指定されたターゲットに、イベントを送信します。\]](http://docs.aws.amazon.com/ja_jp/security-ir/latest/userguide/images/Cases.png)

1. [アクセス許可] タブを選択します。  
![\[AWS のサービスは、EventBridge のデフォルトのイベントバスにイベントを送信します。イベントがルールのイベントパターンに一致すると、EventBridge は、そのルールで指定されたターゲットに、イベントを送信します。\]](http://docs.aws.amazon.com/ja_jp/security-ir/latest/userguide/images/Overview.png)

1. [追加] を選択します。  
![\[AWS のサービスは、EventBridge のデフォルトのイベントバスにイベントを送信します。イベントがルールのイベントパターンに一致すると、EventBridge は、そのルールで指定されたターゲットに、イベントを送信します。\]](http://docs.aws.amazon.com/ja_jp/security-ir/latest/userguide/images/Watchers.png)

**注記**  
各ケースには、当該ケースのみにアクセスを許可する事前設定済みの IAM ポリシーが含まれており、最小権限の原則が維持されます。このポリシーを、サードパーティの MDR パートナーや特定の調査チームが貢献できるように、IAM ロールまたはユーザーに直接コピー＆ペーストしてください。

# GuardDuty の検出結果と抑制ルール
<a name="guard-duty"></a>

AWS Security Incident Response は、CrowdStrike、FortinetCNAPP (Lacework)、Trend Micro からのすべての Amazon GuardDuty 検出結果と AWS Security Hub CSPM 検出結果をプロアクティブに取り込み、トリアージして、応答します。当社の自動トリアージテクノロジーは、内部分析要件を排除します。このサービスは、GuardDuty と Security Hub で無害な検出結果に対する抑制ルールと自動アーカイブルールを作成します。Amazon GuardDuty コンソールの「検出結果」でこれらのルールを表示または変更します。

有効な GuardDuty 抑制ルールを確認するには、以下の手順を実行してください。

1. Amazon GuardDuty コンソールを開きます。

1. **[検出結果]** を選択します。

1. ナビゲーションペインで、**[抑制ルール]** を選択します。**抑制ルール** ページには、アカウントのすべての抑制ルールのリストが表示されます。

1. ルールの設定を確認または変更するには、ルールを選択し、**アクション** メニューから **抑制ルールの更新** を選択します。

**注記**  
SIEM テクノロジーを使用している組織では、GuardDuty 検出結果のボリュームが時間の経過とともに大幅に減少しており、Security Incident Response サービスと SIEM 両方の効率が向上しています。

# Amazon EventBridge
<a name="amazon-eventbridge"></a>

Amazon EventBridge は、セキュリティインシデント対応のイベント駆動型アーキテクチャを有効にし、ケースアクティビティがダウンストリームサービス (SNS、Lambda、SQS、Step-Functions) または外部ツール (Jira、ServiceNow、Teams、Slack、PagerDuty) をトリガーできるようにします。

**EventBridge ルールを設定するには:**

1. Amazon EventBridge にアクセスする

1. **[バス]** ドロップダウンから **[ルール]** を選択します。  
![\[AWS のサービスは、EventBridge のデフォルトのイベントバスにイベントを送信します。イベントがルールのイベントパターンに一致すると、EventBridge は、そのルールで指定されたターゲットに、イベントを送信します。\]](http://docs.aws.amazon.com/ja_jp/security-ir/latest/userguide/images/Amazon_EventBridge_rules.png)

1. **[Create Rule]** (ルールの作成) を選択します。

1. ルールの詳細を入力します。

1. [**次へ**] を選択します。  
![\[AWS のサービスは、EventBridge のデフォルトのイベントバスにイベントを送信します。イベントがルールのイベントパターンに一致すると、EventBridge は、そのルールで指定されたターゲットに、イベントを送信します。\]](http://docs.aws.amazon.com/ja_jp/security-ir/latest/userguide/images/Define_Rule.png)

1. **[AWS サービス]** にスクロールして、ドロップダウンメニューから **[AWS Security Incident Response]** を選択します。  
![\[AWS のサービスは、EventBridge のデフォルトのイベントバスにイベントを送信します。イベントがルールのイベントパターンに一致すると、EventBridge は、そのルールで指定されたターゲットに、イベントを送信します。\]](http://docs.aws.amazon.com/ja_jp/security-ir/latest/userguide/images/Event_Pattern_Security.png)

1. **[イベントタイプ]** ドロップダウンから、パターンを作成するイベントまたは API コールを選択します。

1. パターンは、手動で編集して複数のイベントを含めることができます。

1. [**次へ**] を選択します。  
![\[AWS のサービスは、EventBridge のデフォルトのイベントバスにイベントを送信します。イベントがルールのイベントパターンに一致すると、EventBridge は、そのルールで指定されたターゲットに、イベントを送信します。\]](http://docs.aws.amazon.com/ja_jp/security-ir/latest/userguide/images/Event_Pattern.png)

**注記**  
イベントに 1 つ、または複数のターゲット (Amazon Simple Notification Service、AWS Lambda、SSM ドキュメント、Step-Function) を選択します。必要に応じて、クロスアカウントターゲットを設定します。

EventBridge 統合メニューの Partner Event Sources でパートナー統合パターンを確認できます。利用可能なパートナーには、Atlassian (Jira)、DataDog、New Relic、PagerDuty、Symantec、Zendesk などがあります。

![\[AWS のサービスは、EventBridge のデフォルトのイベントバスにイベントを送信します。イベントがルールのイベントパターンに一致すると、EventBridge は、そのルールで指定されたターゲットに、イベントを送信します。\]](http://docs.aws.amazon.com/ja_jp/security-ir/latest/userguide/images/Amazon_EventBridge_Partners.png)


# 統合と外部ツールワークフロー
<a name="integrations-external-tooling"></a>

**JIRA または ServiceNow を Security Incident Response と統合するための AWS ソリューション**

Jira および ServiceNow との双方向統合のために、完全に開発されたソリューションをデプロイします。これらの統合により、AWS Security Incident Response ケースと ITSM プラットフォーム間の双方向通信が可能になり、ケースの更新が対応する Jira タスクに自動的に反映されます。

**統合の利点**

既存の ITSM プラットフォームとの AWS Security Incident Response の統合は、インシデントの追跡と対応のワークフローを一元化することでセキュリティ運用を効率化します。これらの事前構築されたソリューションによってカスタム開発が不要になるため、セキュリティチームは AWS ネイティブなインシデント管理システムとエンタープライズ全体のインシデント管理システムの両方に対する可視性を維持できるようになります。イベント駆動の自動化向けの Amazon EventBridge を活用することで、更新がプラットフォーム間でリアルタイムかつシームレスに受け渡されるため、セキュリティインシデントがどこで発生しても、それらを一貫的に追跡できるようになります。この統合アプローチにより、セキュリティアナリストのコンテキスト切り替えが軽減され、対応時間が短縮され、インシデント対応ライフサイクル全体で包括的な監査証跡が提供されます。

EventBridge ルールを設定するには:

1. Amazon EventBridge にアクセスする

1. **[バス]** ドロップダウンから **[ルール]** を選択します。

# 外部ツールワークフロー
<a name="external-tooling"></a>

セキュリティインシデント対応は、複数の方法で外部ツールやパートナーと統合されます。
+ *SIEM 統合:* Security Incident Response エンジニアは、AWS がサポートするケースが送信されたときに、お客様のチームと並行してこれらの検出結果を分析および調査するための支援を提供します。ハイブリッド環境とマルチクラウド環境間の相関関係を特定し、プロバイダー間の脅威アクターの動きをスコープするのに役立ちます。
+ *既存のセキュリティオペレーションを強化:* 従来の GuardDuty レスポンスワークフローをより効率的で並列なレスポンスモデルに置き換えます。現在、多くの組織がケース管理を通じた検出ワークフローに SIEM テクノロジーを利用しています。このサービスは、特に GuardDuty (および一部の Security Hub CSPM) の検出結果に対して効率的な代替手段を提供します。このソリューションは、高度な自動トリアージテクノロジーと人的監視を活用して、ポータルにプロアクティブケースを作成し、同時に対応チームに通知し、調整された修復作業のために当社のセキュリティインシデント対応エンジニアを関与させます。
+ *サードパーティーの調査チーム:* 当社のセキュリティインシデント対応エンジニアは、パートナーや MDR プロバイダーと直接連携します。

# 付録 A: 連絡先
<a name="appendix"></a>

メタデータを事前にセキュリティインシデント対応エンジニアに提供いただくことで、プロファイル作成時間を短縮し、初期段階から当社のトリアージ技術の信頼性を向上させることができます。これは、脅威検出結果の取り込みとお客様の「既知の健全な環境」の作成を開始する際に特定される初期段階の誤検知を減らすために役立ちます。


**IR および SOC 担当者連絡先情報**  

| 入力 | IR \$1 SOC 担当者: 役割、氏名、メールアドレス | プライマリエスカレーション連絡先とセカンダリエスカレーション連絡先 | 内部、既知の CIDR 範囲 | 外部、既知の CIDR 範囲 | 追加のクラウドサービスプロバイダー | 作業 AWS リージョン | DNS サーバー IP (Amazon Route 53 Resolver 以外の場合) | VPN \$1 リモートアクセスソリューションと IP アドレス | 重要アプリケーション名 \$1 アカウント番号 | 一般的ではないが広く使用されているポート | EDR \$1 AV \$1 使用される脆弱性管理ツール | IDP \$1 拠点 | 
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | 
| 1 | SOC Commander、John Smith、jsmith@example.com | Primary | 10.0.0.0/16 | 5.5.60.0/20 (Azure) | Azure | us-east-1、us-east-2 | 該当なし | Direct Connect、パブリック VIF 116.32.8.7 | Nginx Webserver (例: 重要) \$1 1234567890 | 8080 | CrowdStrike Falcon | Entra、Azure | 
|   |   |   |   |   |   |   |   |   |   |   |   |   | 
|   |   |   |   |   |   |   |   |   |   |   |   |   | 
|   |   |   |   |   |   |   |   |   |   |   |   |   | 

環境のメタデータ情報を送信するには、 [AWS サポートケース](https://repost.aws/knowledge-center/get-aws-technical-support) を作成します。

**メタデータを送信するには**

1. メタデータテーブルに環境情報を入力します。

1. 以下の詳細を含む AWS サポート ケースを作成します。
   + **ケースタイプ:** テクニカル
   + **サービス:** セキュリティインシデント対応サービス
   + **カテゴリ:** その他

1. 完成したメタデータテーブルをケースに添付します。