# 创建 AWS 托管案例
创建 AWS 托管案例

 您可通过控制台、API 或 AWS Command Line Interface为 AWS 安全事件响应创建由 AWS 支持的案例。由 AWS 支持的案例将由安全事件响应工程师为您提供支持。

**重要**  
 演示/模拟案例将在 90 天后关闭。

**注意**  
 AWS 安全事件响应工程师将在 15 分钟内响应您的案例。响应时间指 AWS 安全事件响应工程师发出首次响应的时间。我们会尽一切合理努力在此时间范围内响应您的初次请求。该响应时效不适用于后续响应。

**注意**  
 您不仅可以为活跃安全事件和调查创建由 AWS 支持的案例，还可以创建此类案例来咨询 AWS 安全事件响应的功能。这包括有关 GuardDuty 隐藏规则、警报分级配置、主动响应工作流以及有关安全态势的一般指导的问题。对于此类目的，请选择**调查与查询**案例类型。

# 何时联系 AWS 安全事件响应


 您可以根据自己的需求出于各种目的联系 AWS 安全事件响应。下表介绍了各种不同的场景以及每种场景的相应联系方式。


| 场景 | 何时使用 | 响应时间 | 案例类型 | 
| --- | --- | --- | --- | 
| **活跃安全事件** | 您遇到了紧急安全事件，需要立即获得事件响应支持和服务 | 15 分钟（第一次响应） | [活跃安全事件](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) | 
| **调查** | 您怀疑出现了安全事件，需要获得有关日志分析和事件响应调查二次确认方面的支持 | 15 分钟（第一次响应） | [调查与咨询](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) | 
| **咨询与指导** | 您有涉及 Amazon GuardDuty 调查发现、隐藏规则、警报分级配置、主动响应工作流或与 AWS 安全事件响应 功能相关的一般安全态势等方面的问题 | 15 分钟（第一次响应） | [调查与咨询](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) | 
| **信息载入问题** | 您在 AWS 安全事件响应的信息载入过程中遇到了技术问题 | 因支持计划而异 | [AWS 支持 案例](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case) | 

 对于所有由 AWS 支持的案例（活跃安全事件以及调查与咨询），AWS 安全事件响应工程师将在 15 分钟内进行第一次响应。该响应时效仅适用于第一次联系，不适用于后续响应。

 以下示例演示控制台操作流程。

1.  通过 AWS 管理控制台登录 AWS 安全事件响应。

1.  选择**创建案例** 

1.  选择**通过 AWS 解决案例** 

1.  选择请求类型：

   1.  **活跃安全事件**：用于紧急事件响应支持服务。

   1.  **调查与咨询**：用于疑似的安全事件，AWS 安全事件响应工程师在日志分析和事件响应调查二次确认等方面提供支持。您还可以使用此类下来咨询涉及 Amazon GuardDuty 调查发现、隐藏规则、警报分级配置、主动响应工作流或与 AWS 安全事件响应功能相关的一般安全态势等方面的问题。

1.  将预估开始日期设置为事件最早出现迹象的日期，例如：首次出现异常行为或收到首个相关安全警报的日期。

1.  为案例定义标题 

1. 请提供案例的详细描述。  以下内容将帮助事件响应人员更快解决问题：

   1.  发生了什么？ 

   1.  是谁发现并报告的该事件？ 

   1.  哪些对象受到该案例影响？ 

   1.  目前已知的影响范围？ 

   1.  该案例的紧急程度？ 

   1.  添加一个或多个属于案例范围内的 AWS 账户 ID。

1.  添加案例详细信息（选填）：

   1.  从下拉列表中选择受影响的主要服务。

   1.  从下拉列表中选择受影响的主要区域。

   1.  添加一个或多个在该案例中确定的威胁行为者 IP 地址。  

1.  为案例添加其他事件响应人员，以便接收通知。要添加响应人员，请执行以下操作：

   1.  添加电子邮件地址。

   1.  添加姓名（选填）。

   1.  选择**新增**添加其他响应人员。

   1.  要删除响应人员，选择对应人员的**删除**选项。

   1.  选择**添加**，可将所列出的所有人员添加到案例中。

      1.  您可以选择多人，然后选择**删除**，即可批量删除所选人员。

1.  将标签添加到案例（可选）。

   1.  要添加标签，请执行以下操作：

   1.  选择**添加新标签**。

   1.  对于**键**，输入标签的名称。

   1.  对于**值**，输入标签的值。

   1.  要删除标签，请为该标签选择**删除**选项。

 由 AWS 支持等案例创建后，AWS 安全事件响应工程师和您的事件响应团队会立即收到通知。

**创建由 AWS 支持的案例并启用人工智能调查**

1. 从 [console.aws.amazon.com/](https://console.aws.amazon.com/) 打开 AWS 安全事件响应控制台。

1. 从导航窗格中选择**案例**。

1. 选择**创建工单**。

1. 对于**案例类型**，选择**由 AWS 支持的案例**。

1. 提供案例详情，包括标题、事件开始日期和受影响的 AWS 账户 ID。

1. 在**描述安全事件**部分中，提供对事件的详尽描述。

1. 提供有关受影响 AWS 服务、区域和其他相关细节的更多信息。

1. 选择**创建工单**。

 案例创建后，安全事件响应工程师和人工智能代理开始同时工作。

**回答人工智能澄清性问题（可选）**

1. 在您的案例中导航至**调查**选项卡。

1. 查看人工智能代理提出的任何澄清性问题。

1. 回答问题，或者选择**跳过**（如果您不想回答）。

1. 选择**提交**以继续。所有字段都是可选字段。

**负责任的人工智能披露**

 调查摘要是使用 AWS 生成式人工智能功能生成的。您负责根据自己的具体背景评估人工智能生成的建议，实施恰当的监督机制，独立验证调查发现，并确保对所有安全决策实施人工监督。