プロアクティブレスポンスとアラートのトリアージワークフローを設定する

AWS Security Incident Response は、Security Hub CSPM 統合を使用して Amazon GuardDuty およびサードパーティー脅威検出ツールから生成された脅威アラートの監視と調査を行います。AWS Security Incident Response は、サポートされているすべてのアラートを自動的にトリアージするので、チームは最も重要な問題に集中できます。

重要

AWS Security Incident Response での Amazon GuardDuty の有効化は必須ではありませんが、プロアクティブレスポンスは検出サービスからの脅威検出結果の受信に依存する機能です。検出結果を取り込むように設定された Amazon GuardDuty または Security Hub CSPM がない場合、AWS Security Incident Response は監視および調査するアラートを得られないため、この機能の価値が制限されます。

AWS Security Incident Response は、組織内のすべての対象アカウントとサポートされているアクティブな AWS リージョンの検出結果を監視して調査します。この機能を実現するために、AWS Security Incident Response は AWS Organizations 内の対象のすべてのメンバーアカウントのサービスにリンクされたロールを自動的に作成します。ただし、管理アカウントの場合、モニタリングを有効にするには、サービスにリンクされたロールを手動で作成する必要があります。

AWS マネジメントコンソールで AWS Security Incident Response にオンボードすると、Security Incident Response が AWS Organizations 管理アカウントおよび対象範囲内のすべてのアカウントに AWSServiceRoleForSecurityIncidentResponse_Triage サービスリンクロールを自動的に作成します。API/CLI を使用してオンボードする場合は、このロールを手動で作成する必要があります。詳細については、「API/CLI を使用して Security Incident Response を有効にし、インシデント対応チームを設定する」を参照してください。

オンボード問題が発生した、または Amazon GuardDuty や Security Hub CSPM の有効化に関するサポートが必要な場合は、AWS サポートケースを作成してサポートを受けてください。

注記

Amazon GuardDuty 抑制ルール、アラートのトリアージ設定、またはプロアクティブレスポンスのワークフローに関する質問については、調査と問い合わせケースタイプを使用して AWS がサポートするケースを作成し、AWS Security Incident Response チームに相談することができます。詳細については、「AWS でサポートされているケースを作成する」を参照してください。

封じ込め: セキュリティインシデントが発生した場合、AWS Security Incident Response は、侵害されたホストの分離や認証情報のローテーションなど、封じ込めアクションを実行して、影響を迅速に軽減できます。Security Incident Response では、封じ込め機能がデフォルトで有効化されていません。これらの封じ込めアクションを実行するには、まずサービスに必要なアクセス許可を付与する必要があります。これは、必要なロールを作成する AWS CloudFormation StackSet をデプロイすることで実行できます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

アカウントを AWS Organizations に関連付ける

プロアクティブ対応による自動アーカイブを理解する