本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 多帳戶架構的安全事件回應
<a name="security-incident-response"></a>

當您轉換到多個 時 AWS 帳戶，請務必保持組織中可能發生的安全事件的可見性。在 [身分管理與存取控制](identity-management.md) 中，您使用 AWS Control Tower 來設定登陸區域。在該設定程序期間， 為安全 AWS Control Tower 指定 AWS 帳戶 了 。應該將安全服務的管理委派給 **security-tooling-prod** 帳戶並使用此帳戶集中管理這些服務。

本指南會檢閱下列項目的使用 AWS 服務 ，以協助保護您的 AWS 帳戶 和組織：
+ [Amazon GuardDuty](#amazon-guardduty)
+ [Amazon Macie](#amazon-macie)
+ [AWS Security Hub CSPM](#amazon-security-hub)

## Amazon GuardDuty
<a name="amazon-guardduty"></a>

[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 是一種持續的安全監控服務，可分析資料來源，例如 AWS CloudTrail 事件日誌。如需受支援資料來源的完整清單，請參閱 [Amazon GuardDuty 如何使用其資料來源](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_data-sources.html#guardduty_vpc) (GuardDuty 文件)。它使用威脅智慧饋送 (例如惡意 IP 地址和域清單以及機器學習) 以在您的 AWS 環境中識別意外和可能未經授權且惡意的活動。

當您搭配 GuardDuty 使用 時 AWS Organizations，組織中的管理帳戶可以將組織中的任何帳戶指定為 GuardDuty *委派管理員*。委派的管理員會成為該區域的 GuardDuty 管理員帳戶。GuardDuty 會在該 ： 中自動啟用AWS 區域，委派管理員帳戶具有許可，可為該區域內組織中的所有帳戶啟用和管理 GuardDuty。如需詳細資訊，請參閱[使用 AWS Organizations管理 GuardDuty 帳戶](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html) (GuardDuty 文件)。

GuardDuty 是一項區域性服務。這表示您必須在要監控的每個區域中啟用 GuardDuty。

### 最佳實務
<a name="w2aac17b9b9"></a>
+ 在所有支援的 中啟用 GuardDuty AWS 區域。GuardDuty 可產生有關未授權或不尋常的活動問題清單，甚至在未使用中的區域中也一樣。GuardDuty 的定價基於分析的事件數。即使在您沒有操作工作負載的區域，啟用 GuardDuty 也是一種有效且具成本效益的偵測工具，可提醒您潛在惡意活動。如需有關可提供 GuardDuty 的區域詳細資訊，請參閱 [Amazon GuardDuty 服務端點](https://docs.aws.amazon.com/general/latest/gr/guardduty.html#guardduty_region) (AWS 一般參考)。
+ 在每個區域內，為您的組織委派 **security-tooling-prod** 帳戶以管理 GuardDuty。如需詳細資訊，請參閱[指定 GuardDuty 委派的管理員](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#delegated-admin-designate) (GuardDuty 文件)。
+ 將 GuardDuty 設定為在新增至組織 AWS 帳戶 時自動註冊新的 。如需詳細資訊，請參閱[使用 AWS Organizations管理帳戶](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#delegated-admin-designate)中的*步驟 3 - 以成員身分自動新增組織帳戶* (GuardDuty 文件)。

## Amazon Macie
<a name="amazon-macie"></a>

[Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) 是一種全受管資料安全和資料隱私權服務，該服務使用機器學習和模式比對來協助您探索、監控和保護 Amazon Simple Storage Service (Amazon S3) 中的敏感資料。可以將資料從 Amazon Relational Database Service (Amazon RDS) 和 Amazon DynamoDB 匯出到 S3 儲存貯體，然後使用 Macie 掃描資料。

當您搭配 Macie 使用 時 AWS Organizations，組織中的管理帳戶可以將組織中的任何帳戶指定為 Macie *管理員帳戶*。管理員帳戶可以為組織中的成員帳戶啟用和管理 Macie、存取 Amazon S3 庫存清單資料以及執行帳戶的敏感資料探索作業。如需詳細資訊，請參閱[使用 AWS Organizations管理帳戶](https://docs.aws.amazon.com/macie/latest/user/accounts-mgmt-ao.html) (Macie 文件)。

Macie 是一項區域性服務。這表示您必須在要監控的每個區域中啟用 Macie，而且 Macie 管理員帳戶只能在同一區域內管理成員帳戶。

### 最佳實務
<a name="w2aac17c11b9"></a>
+ 遵守[搭配使用 Macie 與 AWS Organizations的考量事項和建議](https://docs.aws.amazon.com/macie/latest/user/accounts-mgmt-ao-notes.html) (Macie 文件)。
+ 在每個區域內，為您的組織委派 **security-tooling-prod** 帳戶以管理 Macie。若要集中管理多個 Macie 帳戶 AWS 區域，管理帳戶必須登入組織目前使用或將使用 Macie 的每個區域，然後在每個區域中指定 Macie 管理員帳戶。然後，Macie 管理員帳戶就可以在這些區域中設定組織。如需詳細資訊，請參閱[整合並設定組織](https://docs.aws.amazon.com/macie/latest/user/accounts-mgmt-ao-integrate.html) (Macie 文件)。
+ Macie 為敏感資料探索作業提供[每月免費方案](https://docs.aws.amazon.com/macie/latest/user/account-mgmt-costs-calculations.html)。如果您在 Amazon S3 中儲存了敏感資料，請使用 Macie 來分析 S3 儲存貯體，作為每月免費方案的一部分。如果超出免費方案範圍，就會開始向您的帳戶收取敏感資料探索費用。

## AWS Security Hub CSPM
<a name="amazon-security-hub"></a>

[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 可讓您全面檢視 的安全狀態 AWS。可使用它來檢查環境是否符合安全業界標準和最佳實務。Security Hub CSPM 會從您所有 AWS 帳戶服務 （包括 GuardDuty 和 Macie) 和支援的第三方合作夥伴產品收集安全資料。Security Hub CSPM 可協助您分析安全趨勢，並識別最高優先順序的安全問題。Security Hub CSPM 提供各種安全標準，可讓您在每個 中執行合規檢查 AWS 帳戶。

當您搭配 Security Hub CSPM 使用 時 AWS Organizations，組織中的管理帳戶可以將組織中的任何帳戶指定為 Security Hub CSPM *管理員帳戶*。然後，Security Hub CSPM 管理員帳戶可以啟用和管理組織中的其他成員帳戶。如需詳細資訊，請參閱[使用 AWS Organizations 管理帳戶](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-orgs.html) (Security Hub CSPM 文件）。

Security Hub CSPM 是一項區域服務。這表示您必須在要分析的每個區域中啟用 Security Hub CSPM，而且 AWS Organizations您必須為每個區域定義委派管理員。

### 最佳實務
<a name="w2aac17c13b9"></a>
+ 遵守[先決條件和建議 ](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-setup-prereqs.html)(Security Hub CSPM 文件）。
+ 在每個區域中，委派 **security-tooling-prod** 帳戶來管理組織的 Security Hub CSPM。如需詳細資訊，請參閱[指定 Security Hub CSPM 管理員帳戶](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html) (Security Hub CSPM 文件）。
+ 將 Security Hub CSPM 設定為在新增至組織 AWS 帳戶 時自動註冊新的 。
+ 啟用[AWS 基礎安全最佳實務標準](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) (Security Hub CSPM 文件），以偵測資源何時偏離安全最佳實務。
+ 啟用[跨區域彙總 ](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)(Security Hub CSPM 文件），以便您可以從單一區域檢視和管理所有 Security Hub CSPM 調查結果。