设置主动响应和警报分级工作流程

AWS 安全事件响应会监控和调查由 Amazon GuardDuty 和 Security Hub CSPM 集成生成的威胁警报。要使用此功能，必须启用 Amazon GuardDuty。AWS 安全事件响应会通过服务自动化对低优先级警报进行分类，以便您的团队可以专注于最关键的问题。有关如何将 AWS 安全事件响应与 Amazon GuardDuty、AWS Security Hub CSPM 结合使用的更多信息，请查看用户指南检测和分析章节。

如果您遇到信息载入问题，请创建 AWS 支持 案例以获得更多帮助。请务必提供详细信息，包括 AWS 账户 ID 和您在设置过程中看到的任何错误。

此功能可让 AWS 安全事件响应 监控和调查组织中所有范围内账户以及处于活动状态且受支持的 AWS 区域的调查发现。为便于使用此功能，AWS 安全事件响应 会自动在您 AWS Organizations 内的所有覆盖的成员账户中创建服务相关角色。但是，对于管理账户，您必须手动创建服务相关角色才能启用监控。

此服务无法在管理账户中创建服务相关角色。您必须使用 AWS CloudFormation 堆栈集在管理账户|中手动创建此角色。

遏制：发生安全事件时，AWS 安全事件响应可以执行遏制措施，快速缓解影响，例如隔离受影响的主机或轮换凭证。安全事件响应默认不会启用遏制功能。要执行这些遏制操作，您必须先授予此服务必要的权限。这可以通过部署 AWS CloudFormation StackSet 来完成，该堆栈集会创建所需的角色。