设置主动响应和警报分级工作流程
AWS 安全事件响应 使用 Security Hub CSPM 集成,监控并调查由 Amazon GuardDuty 和第三方威胁检测工具生成的威胁警报。AWS 安全事件响应 会自动对所有支持的警报进行分级,以便您的团队可以专注于最关键的问题。
重要
AWS 安全事件响应 不需要您启用 Amazon GuardDuty。但是,主动响应功能依赖于从检测服务接收威胁调查发现。如果您没有将 Amazon GuardDuty 或 Security Hub CSPM 配置为摄取调查发现,则 AWS 安全事件响应 不会有需要监控和调查的警报,这会限制此功能的价值。
AWS 安全事件响应 监控并调查贵组织中所有覆盖的账户和处于活动状态且受支持的 AWS 区域 的调查发现。为便于使用此功能,AWS 安全事件响应 会自动在您 AWS Organizations 内的所有覆盖的成员账户中创建服务相关角色。但是,对于管理账户,您必须手动创建服务相关角色才能启用监控。
如果您在 AWS 管理控制台 中接入 AWS 安全事件响应,“安全事件响应”会自动在您的 AWS Organizations 管理账户和范围内的所有账户中创建 AWSServiceRoleForSecurityIncidentResponse_Triage 服务相关角色。如果您使用 API/CLI 进行接入,则必须手动创建该角色。有关更多信息,请参阅 启用“安全事件响应”并使用 API/CLI 配置您的事件响应团队。
如果您在启用 Amazon GuardDuty 或 Security Hub CSPM 时遇到接入问题或需要帮助,请创建 AWS 支持 案例寻求帮助。
注意
如果您对 Amazon GuardDuty 抑制规则、警报分级配置或主动响应工作流有疑问,可以使用调查与咨询案例类型创建 AWS 支持的案例,从而咨询AWS 安全事件响应团队。有关更多信息,请参阅 创建 AWS 托管案例。
遏制:发生安全事件时,AWS 安全事件响应可以执行遏制措施,快速缓解影响,例如隔离受影响的主机或轮换凭证。安全事件响应默认不会启用遏制功能。要执行这些遏制操作,您必须先授予此服务必要的权限。这可以通过部署 AWS CloudFormation StackSet 来完成,该堆栈集会创建所需的角色。
