# プロアクティブレスポンスとアラートのトリアージワークフローを設定する
AWS Security Incident Response は、Amazon GuardDuty と Security Hub CSPM の統合から生成された脅威アラートを監視して調査します。この機能を使用するには、[Amazon GuardDuty を有効にする必要があります](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)。AWS Security Incident Response は、サービス自動化を使用して優先度の低いアラートをトリアージし、チームが最も重要な問題に集中できるようにします。AWS Security Incident Response が Amazon GuardDuty および AWS Security Hub CSPM とどのように連携するかの詳細については、ユーザーガイドの「[検出と分析](https://docs.aws.amazon.com/security-ir/latest/userguide/detect-and-analyze.html)」セクションを参照してください。
オンボーディング問題が発生した場合は、[AWS サポート ケースを作成](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case)して追加のサポートを受けてください。AWS アカウント ID やセットアッププロセス中に発生した可能性のあるエラーなどの詳細を必ず含めてください。
**注記**
Amazon GuardDuty 抑制ルール、アラートのトリアージ設定、またはプロアクティブレスポンスのワークフローに関する質問については、**[調査と問い合わせ]** ケースタイプを使用して AWS がサポートするケースを作成し、AWS Security Incident Response チームに相談することができます。詳細については、[AWS でサポートされているケースを作成する](create-an-aws-supported-case.md)を参照してください。
この機能を使用すると、AWS Security Incident Response は対象のすべてのアカウント、および組織でサポートされているアクティブな AWS リージョンの検出結果をモニタリングおよび調査できます。この機能を実現するために、AWS Security Incident Response は AWS Organizations 内の対象のすべてのメンバーアカウントのサービスにリンクされたロールを自動的に作成します。ただし、管理アカウントの場合、モニタリングを有効にするには、サービスにリンクされたロールを手動で作成する必要があります。
*サービスは、サービスにリンクされたロールを管理アカウント内に作成できません。このロールは、[AWS CloudFormation スタックセットを使用](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html) して管理アカウント内に手動で作成する必要があります。*
# プロアクティブ対応による自動アーカイブを理解する
プロアクティブ対応とアラートのトリアージを有効にすると、AWS Security Incident Response が Amazon GuardDuty と Security Hub CSPM のセキュリティ検出結果を自動的にモニタリングしてトリアージします。この自動トリアージワークフローの一環として、検出結果は次の基準に基づいて自動的にアーカイブされます:
**自動アーカイブの動作:**
+ **無害な検出結果:** 自動トリアージプロセスによって検出結果が無害 (真のセキュリティ脅威ではない) であると判断された場合、AWS Security Incident Response は検出結果を Amazon GuardDuty に自動的にアーカイブし、抑制ルールを作成して、今後同様の検出結果がアラートを生成しないようにします。
+ **抑制ルール:** このサービスは、環境の既知の正常なパターン (予想される IP アドレス、IAM エンティティ、通常の運用動作など) に一致する検出結果に対し、Amazon GuardDuty と Security Hub CSPM の両方で抑制ルールと自動アーカイブルールを作成します。
+ **アラートボリュームの削減:** SIEM テクノロジーを使用している組織では、サービスが組織の環境を学習し、無害な検出結果を自動的にアーカイブしていくにつれて、Amazon GuardDuty の検出結果ボリュームが大幅に減少します。これにより、AWS Security Incident Response のサービスと SIEM の両方の効率が向上します。
**アーカイブされた検出結果の表示:**
自動的にアーカイブされた検出結果と、AWS Security Incident Response によって作成された抑制ルールを確認できます:
1. [Amazon GuardDuty コンソール] に移動する
1. [**検出結果**] を選択する
1. 検出結果フィルターから [**アーカイブ済み**] を選択する
1. 各ルールの横にある下矢印を選択して、抑制ルールを確認する
**重要な考慮事項:**
+ アーカイブされた検出結果は 90 日間 Amazon GuardDuty に保持され、その期間中いつでも表示することができます
+ 抑制ルールは、Amazon GuardDuty コンソールからいつでも変更または削除できます
+ 自動トリアージプロセスは、継続的に環境に適応し、時間の経過とともに精度を向上させ、誤検出を削減します
**封じ込め:** セキュリティインシデントが発生した場合、AWS Security Incident Response は、侵害されたホストの分離や認証情報のローテーションなど、封じ込めアクションを実行して、影響を迅速に軽減できます。Security Incident Response では、封じ込め機能がデフォルトで有効化されていません。これらの封じ込めアクションを実行するには、まずサービスに必要なアクセス許可を付与する必要があります。これは、必要なロールを作成する [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html) をデプロイすることで実行できます。