# 设置主动响应和警报分级工作流程
<a name="setup-monitoring-and-investigation-workflows"></a>

AWS 安全事件响应会监控和调查由 Amazon GuardDuty 和 Security Hub CSPM 集成生成的威胁警报。要使用此功能，[必须启用 Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)。AWS 安全事件响应会通过服务自动化对低优先级警报进行分类，以便您的团队可以专注于最关键的问题。有关如何将 AWS 安全事件响应与 Amazon GuardDuty、AWS Security Hub CSPM 结合使用的更多信息，请查看用户指南[检测和分析](https://docs.aws.amazon.com/security-ir/latest/userguide/detect-and-analyze.html)章节。

如果您遇到信息载入问题，请[创建 AWS 支持 案例](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case)以获得更多帮助。请务必提供详细信息，包括 AWS 账户 ID 和您在设置过程中看到的任何错误。

**注意**  
 如果您对 Amazon GuardDuty 隐藏规则、警报分类配置或主动响应工作流有疑问，可以使用**调查与咨询**案例类型，创建一个由 AWS 支持的案例，从而咨询 AWS 安全事件响应团队。有关更多信息，请参阅 [创建 AWS 托管案例](create-an-aws-supported-case.md)。

此功能可让 AWS 安全事件响应 监控和调查组织中所有范围内账户以及处于活动状态且受支持的 AWS 区域的调查发现。为便于使用此功能，AWS 安全事件响应 会自动在您 AWS Organizations 内的所有覆盖的成员账户中创建服务相关角色。但是，对于管理账户，您必须手动创建服务相关角色才能启用监控。

*此服务无法在管理账户中创建服务相关角色。您必须[使用 AWS CloudFormation 堆栈集](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html)在管理账户\$1中手动创建此角色。*

# 了解主动响应的自动存档行为
<a name="understanding-automatic-archiving"></a>

启用主动响应和警报分级后，AWS 安全事件响应 会自动监控来自 Amazon GuardDuty 和 Security Hub CSPM 的安全调查发现并进行分级。作为这一自动分级工作流的一部分，系统会根据以下标准将调查发现自动存档：

**自动存档行为：**
+ **无害调查发现：**当自动分级过程确定某项调查发现是无害的（不是真正的安全威胁）时，AWS 安全事件响应会自动在 Amazon GuardDuty 中将该调查发现存档，并创建隐藏规则来防止类似的调查发现在未来生成警报。
+ **隐藏规则：**服务会针对符合您环境中已知无害模式（例如符合预期的 IP 地址、IAM 实体和正常运行行为）的调查发现，在 Amazon GuardDuty 和 Security Hub CSPM 中创建隐藏和自动存档规则。
+ **减少警报量：**随着时间推移，服务会了解您的环境并自动存档无害的调查发现，因此使用 SIEM 技术的组织所看到的 Amazon GuardDuty 调查发现数量将会显著减少。这有助 AWS 安全事件响应 服务和您的 SIEM 提高效率。

**查看已存档调查发现：**

您可以查看自动存档的调查发现以及由 AWS 安全事件响应创建的抑制规则：

1. 导航到 Amazon GuardDuty 控制台

1. 选择**调查发现**

1. 选择调查发现筛选条件中的**已存档**

1. 选择每条规则旁边的向下箭头，查看隐藏规则

**重要注意事项：**
+ 已存档调查发现将在 Amazon GuardDuty 中保留 90 天，您可以在此期间随时查看
+ 您可以随时通过 Amazon GuardDuty 控制台修改或删除隐藏规则
+ 自动分级流程会不断适应您的环境，随着时间推移逐渐提高准确性和减少误报

**遏制：**发生安全事件时，AWS 安全事件响应可以执行遏制措施，快速缓解影响，例如隔离受影响的主机或轮换凭证。安全事件响应默认不会启用遏制功能。要执行这些遏制操作，您必须先授予此服务必要的权限。这可以通过部署 [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html) 来完成，该堆栈集会创建所需的角色。