プロアクティブレスポンスとアラートのトリアージワークフローを設定する

AWS Security Incident Response は、Amazon GuardDuty と Security Hub CSPM の統合から生成された脅威アラートを監視して調査します。この機能を使用するには、Amazon GuardDuty を有効にする必要があります。AWS Security Incident Response は、サービス自動化を使用して優先度の低いアラートをトリアージし、チームが最も重要な問題に集中できるようにします。AWS Security Incident Response が Amazon GuardDuty および AWS Security Hub CSPM とどのように連携するかの詳細については、ユーザーガイドの「検出と分析」セクションを参照してください。

オンボーディング問題が発生した場合は、AWS サポート ケースを作成して追加のサポートを受けてください。AWS アカウント ID やセットアッププロセス中に発生した可能性のあるエラーなどの詳細を必ず含めてください。

この機能を使用すると、AWS Security Incident Response は対象のすべてのアカウント、および組織でサポートされているアクティブな AWS リージョンの検出結果をモニタリングおよび調査できます。この機能を実現するために、AWS Security Incident Response は AWS Organizations 内の対象のすべてのメンバーアカウントのサービスにリンクされたロールを自動的に作成します。ただし、管理アカウントの場合、モニタリングを有効にするには、サービスにリンクされたロールを手動で作成する必要があります。

サービスは、サービスにリンクされたロールを管理アカウント内に作成できません。このロールは、AWS CloudFormation スタックセットを使用 して管理アカウント内に手動で作成する必要があります。

封じ込め: セキュリティインシデントが発生した場合、AWS Security Incident Response は、侵害されたホストの分離や認証情報のローテーションなど、封じ込めアクションを実行して、影響を迅速に軽減できます。Security Incident Response では、封じ込め機能がデフォルトで有効化されていません。これらの封じ込めアクションを実行するには、まずサービスに必要なアクセス許可を付与する必要があります。これは、必要なロールを作成する AWS CloudFormation StackSet をデプロイすることで実行できます。