선제적 대응 및 알림 분류 워크플로 설정

AWS Security Incident Response는 Amazon GuardDuty 및 Security Hub CSPM 통합으로부터 생성된 알림을 모니터링하고 조사합니다. 이 기능을 사용하려면 Amazon GuardDuty를 활성화해야 합니다. AWS Security Incident Response는 팀이 가장 중요한 문제에 집중할 수 있도록 서비스 자동화를 통해 우선순위가 낮은 알림을 분류합니다. AWS Security Incident Response가 Amazon GuardDuty 및 AWS Security Hub CSPM와 함께 작동하는 방식에 대한 추가 정보는 사용 설명서의 탐지 및 분석 섹션을 참조하세요.

온보딩 문제가 발생하는 경우 추가 지원을 위한 AWS Support 사례를 생성하세요. 설정 프로세스 중 발생할 수 있는 AWS 계정 ID 및 오류를 포함한 세부 정보를 포함해야 합니다.

이 기능을 사용하면 AWS Security Incident Response가 조직 내 적용되는 모든 계정과 활성 상태의 지원되는 AWS 리전에서 발견 사항을 모니터링하고 조사할 수 있습니다. 이 기능을 용이하게 하기 위해 AWS Security Incident Response는 AWS Organizations 내 적용되는 모든 멤버 계정에서 서비스 연결 역할을 자동으로 생성합니다. 그러나 관리 계정의 경우 모니터링을 활성화하려면 서비스 연결 역할을 수동으로 생성해야 합니다.

서비스가 관리 계정에서 서비스 연결 역할을 생성할 수 없습니다. AWS CloudFormation 스택 세트로 작업하여 관리 계정에서 이 역할을 수동으로 생성해야 합니다.

격리: 보안 인시던트가 발생하는 경우 AWS Security Incident Response는 격리 조치를 실행하여 손상된 호스트 격리 또는 자격 증명 교체와 같은 영향을 신속하게 완화할 수 있습니다. Security Incident Response는 기본적으로 격리 기능을 활성화하지 않습니다. 이러한 격리 조치를 실행하려면 먼저 서비스에 필요한 권한을 부여해야 합니다. 이는 필요한 역할을 생성하는 AWS CloudFormation StackSet를 배포하여 수행할 수 있습니다.