# 步骤 1:启用 AWS 安全事件响应 每个 AWS 组织的入门流程大约需要 10 到 15 分钟。有关演练,请参阅服务文档中的[入门视频](https://docs.aws.amazon.com/security-ir/latest/userguide/getting-started.html)。 **启用 AWS 安全事件响应** 1. 使用管理账户登录到 AWS 管理控制台。 1. 打开 AWS 安全事件响应 控制台,然后选择**注册**。 ![带有“注册”按钮的 AWS 安全事件响应 注册页面。](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/AWS_Security_incident_Response.png) 1. 指定安全工具账户作为委派管理员。 + 有关指导,请参阅《AWS 规范性指导》**中的[安全参考架构](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html)和[委派管理员](https://docs.aws.amazon.com/security-ir/latest/userguide/delegated-admin.html)。 ![设置中央会员账户页面以选择委派管理员账户。](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Set_Up_Central_Membership_Account.png) 1. 登录委托管理员账户。 1. 输入会员资格详细信息并关联相关账户。 1. 对于**账户范围**,选择为整个 AWS 组织还是特定 OU 启用 AWS 安全事件响应。您可以在 OU 级别选择覆盖,但不能在个人账户级别选择覆盖。 1. 对于**主动响应**,确认该设置已启用。默认情况下,主动响应处于开启状态并创建了一个服务相关角色,允许 AWS SIRT 摄取 GuardTuty 调查发现,并在检测到威胁时创建主动调查案例。有关更多信息,请参阅[主动响应](https://docs.aws.amazon.com/security-ir/latest/userguide/proactive-response.html)。 **重要** 服务相关角色不会自动部署到管理账户。您必须手动配置它才能实现全面覆盖。有关说明,请参阅[设置主动响应和警报分级工作流程](setup-monitoring-and-investigation-workflows.md)。 1. (可选)选择预授权 AWS SIRT,以在活动事件期间代表您执行遏制操作。支持的遏制操作包括遭盗用的 S3 存储桶、EC2 实例和 IAM 主体的运行手册。如果跳过此步骤,SIRT 将在调查期间提供手动指导。有关更多信息,请参阅[遏制操作](https://docs.aws.amazon.com/security-ir/latest/userguide/containment.html)。 1. 查看服务权限和入门配置,然后选择**注册**。 ![查看服务权限屏幕,其显示AWS 安全事件响应监控调查发现所需的权限。](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Review_Service_Permissions.png) ![用于启用主动响应监控的注册确认屏幕。](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Review_and_Sign_Up.png)