本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 加入指南
入門指南會逐步引導您完成先決條件,以及 AWS 安全事件應變 入門和遏制動作。
**重要**
先決條件
唯一的部署先決條件是啟用 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)。
雖然並非必要,但建議您[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html)在所有帳戶中啟用 [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 和 ,並啟用 AWS 區域 以最大化安全事件回應優勢。
檢閱 GuardDuty 和安全事件回應。
檢閱 [GuardDuty 最佳實務指南](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)。
AWS Security Hub CSPM 從第三方端點偵測和回應 (EDR) 供應商 (CrowdStrike、FortinetCNAPP (Lacework) 和 Trend Micro 等) 擷取調查結果。如果將這些問題清單擷取到 Security Hub CSPM,它們會由安全事件回應自動分類,以主動建立案例。若要使用 Security Hub CSPM 設定第三方 EDR,請參閱[偵測和分析](https://docs.aws.amazon.com//security-ir/latest/userguide/detect-and-analyze.html)。
若要使用 Security Hub CSPM 設定第三方 EDR:
1. 導覽至 Security Hub CSPM 整合頁面,以驗證第三方整合是否存在
1. 從主控台導覽至 Security Hub CSPM 服務頁面。
1. 選擇**整合 **(使用 Wiz.IO 作為範例):
![\[Security Hub CSPM 整合頁面顯示可用的第三方整合。\]](http://docs.aws.amazon.com/zh_tw/security-ir/latest/userguide/images/Security_Hub_CSPM.png)
1. 搜尋您要整合的廠商
![\[尋找和選取第三方供應商整合的搜尋界面。\]](http://docs.aws.amazon.com/zh_tw/security-ir/latest/userguide/images/Integrations.png)
**注意**
出現提示時,請提供您的帳戶或訂閱資訊。在您提供此資訊後,安全事件回應會擷取第三方調查結果。若要檢閱第三方問題清單擷取的定價,請參閱 Security Hub CSPM 中的**整合**頁面。
# 部署和設定安全事件回應
1. 選擇**註冊**
![\[AWS 安全事件應變 使用註冊按鈕的註冊頁面。\]](http://docs.aws.amazon.com/zh_tw/security-ir/latest/userguide/images/AWS_Security_incident_Response.png)
1. 從 管理帳戶選取**安全工具**帳戶做為委派管理員。
+ [安全參考架構](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/introduction.html)
+ [委派的管理員文件](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)
![\[設定中央成員資格帳戶頁面以選取委派管理員帳戶。\]](http://docs.aws.amazon.com/zh_tw/security-ir/latest/userguide/images/Set_Up_Central_Membership_Account.png)
1. 登入委派管理員帳戶
1. 輸入成員資格詳細資訊並關聯帳戶
![\[輸入成員資格詳細資訊並關聯帳戶。\]](http://docs.aws.amazon.com/zh_tw/security-ir/latest/userguide/images/Define_Membership_Details.png)
# 授權安全事件回應動作
此頁面說明如何授權安全事件回應在您的 AWS 環境中執行自動監控和遏制動作。您可以啟用兩個不同的授權功能:主動回應監控和遏制動作偏好設定。這些功能是獨立的,可以根據您的安全需求單獨啟用。
# 啟用主動回應
主動回應可讓安全事件回應監控和調查從 Amazon GuardDuty 產生的警示,以及整個組織的 AWS Security Hub CSPM 整合。啟用時,安全事件回應會使用服務自動化來分類低優先順序警示,讓您的團隊可以專注於最關鍵的問題。
若要在加入期間啟用主動回應:
1. 在安全事件回應主控台中,導覽至加入工作流程。
1. 檢閱允許安全事件回應監控組織中所有涵蓋帳戶和作用中支援的問題清單的服務許可 AWS 區域 。
1. 選擇**註冊**以啟用此功能。
![\[檢閱服務許可畫面,顯示安全事件回應監控問題清單所需的許可。\]](http://docs.aws.amazon.com/zh_tw/security-ir/latest/userguide/images/Review_Service_Permissions.png)
![\[註冊啟用主動回應監控的確認畫面。\]](http://docs.aws.amazon.com/zh_tw/security-ir/latest/userguide/images/Review_and_Sign_Up.png)
此功能會自動在 內的所有涵蓋成員帳戶中建立服務連結角色 AWS Organizations。不過,您必須使用 AWS CloudFormation 堆疊集,在管理帳戶中手動建立服務連結角色。
**後續步驟:**如需安全事件回應如何與 Amazon GuardDuty 搭配使用的詳細資訊 AWS Security Hub CSPM,請參閱*AWS 安全事件應變 《 使用者指南*》中的*偵測和分析*。
# 定義遏制動作偏好設定
遏制動作 AWS 安全事件應變 可讓 在作用中的安全事件期間執行快速回應措施。這些動作有助於快速減輕 環境中安全事件的影響。
**重要**
根據預設,資安事件應變服務不會啟用遏制功能。您必須透過遏制偏好設定明確授權遏制動作。
若要授權 AWS 安全事件應變 工程師代表您執行遏制動作,除了部署建立必要 IAM 角色的 [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html) 之外,您還必須定義組織或帳戶層級的遏制偏好設定。帳戶層級偏好設定會取代組織層級偏好設定。
**先決條件:**您必須具有建立 AWS 支援 案例的許可。
**限制選項:**
+ **需要核准** (預設):若未依case-by-case明確授權,請勿主動遏制任何資源。
+ **包含已確認**:對已確認遭到入侵的資源執行主動遏制。
+ **包含可疑**:根據 AWS 安全事件應變 工程執行的分析,對具有高度可能遭到入侵的資源執行主動遏制。
若要定義遏制偏好設定:
1. [建立請求為安全事件回應設定遏制動作偏好設定的 AWS 支援 案例](https://docs.aws.amazon.com/security-ir/latest/userguide/create-support-case.html)。
1. 在您的支援案例中,指定:
+ 您的 AWS Organizations ID 或應授權遏制動作的特定帳戶 IDs
+ 您偏好的遏制選項 (需要核准、已確認包含或疑似包含)。
+ 您想要授權的遏制動作類型 (例如 EC2 執行個體隔離、登入資料輪換或安全群組修改)
1. AWS 支援 會與您一起設定您的遏制偏好設定。您必須部署必要的 AWS CloudFormation StackSet,以建立所需的 IAM 角色。如有需要, AWS 支援 可以提供協助。
設定後, 會在作用中的安全事件期間 AWS 安全事件應變 執行授權的遏制動作,以協助保護您的環境。
**後續步驟:**設定遏制偏好設定後,您可以在安全事件回應主控台中監控事件期間採取的遏制動作。
# 部署後安全事件回應
AWS 會與您現有的事件回應架構整合,而不是取代它。
1. 檢閱我們的營運整合功能,以增強您目前的實務。
1. 觀看我們的 OU 層級成員資格支援示範、EventBridge 使用率和 Jira-ITSM 整合,以獲得更有效率的安全操作。
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/lVSi5XyMlws)
# 更新事件回應團隊
1. 請確定您已訂閱並完成本加入*指南中所述的加入*步驟。
1. 從左側導覽選取事件回應團隊。
1. 選取您要新增至團隊的團隊成員。
![\[AWS 服務會將事件傳送至 EventBridge 預設事件匯流排。如果事件與規則的事件模式相符,則 EventBridge 會將事件傳送至該規則的指定目標。\]](http://docs.aws.amazon.com/zh_tw/security-ir/latest/userguide/images/Teamates.png)
**注意**
團隊可以包括組織領導層、法律顧問、MDR 合作夥伴、雲端工程師等。您最多可以新增 10 個其他成員。只包含每個成員的名稱、標題和電子郵件地址。
# AWS 支援的案例
AWS 安全事件應變 提供訂閱型案例管理入口網站,讓您的組織直接與我們的安全事件回應工程師互動。我們透過 15 分鐘的 SLO 協助安全調查和作用中事件,沒有反應案例的限制。請參閱我們的建立 AWS 支援的案例文件。
**展開調查團隊**
透過案例管理入口網站,您可以透過新增監看程式和 IAM 政策,將案例可見性授予外部各方。為合作夥伴、法務團隊或主題專家使用這些選項。
**若要將監看程式新增至案例:**
1. 從安全事件回應案例入口網站開啟任何案例。
![\[AWS 服務會將事件傳送至 EventBridge 預設事件匯流排。如果事件與規則的事件模式相符,則 EventBridge 會將事件傳送至該規則的指定目標。\]](http://docs.aws.amazon.com/zh_tw/security-ir/latest/userguide/images/Cases.png)
1. 選擇許可索引標籤
![\[AWS 服務會將事件傳送至 EventBridge 預設事件匯流排。如果事件與規則的事件模式相符,則 EventBridge 會將事件傳送至該規則的指定目標。\]](http://docs.aws.amazon.com/zh_tw/security-ir/latest/userguide/images/Overview.png)
1. 選取新增
![\[AWS 服務會將事件傳送至 EventBridge 預設事件匯流排。如果事件與規則的事件模式相符,則 EventBridge 會將事件傳送至該規則的指定目標。\]](http://docs.aws.amazon.com/zh_tw/security-ir/latest/userguide/images/Watchers.png)
**注意**
每個案例都包含預先填入的 IAM 政策,僅授予該特定案例的存取權,以維護最低權限。直接複製此政策並貼到第三方 MDR 合作夥伴或特定調查團隊的 IAM 角色或使用者,以啟用其貢獻。
# GuardDuty 調查結果和禁止規則
AWS 安全事件應變 主動擷取、分類和回應來自 CrowdStrike、FortinetCNAPP (Lacework) 和 Trend Micro 的所有 Amazon GuardDuty 調查結果和 AWS Security Hub CSPM 調查結果。我們的自動分類技術可消除內部分析需求。此服務會在 GuardDuty 和 Security Hub CSPM 中為良性問題清單建立抑制和自動封存規則。在 Amazon GuardDuty 主控台的「尋找」下檢視或修改這些規則。
若要檢閱已啟用的 GuardDuty 抑制規則,請完成下列步驟:
1. 開啟 Amazon GuardDuty 主控台。
1. 選擇**問題清單**。
1. 在導覽窗格中,選擇**隱藏規則**。**隱藏規則**頁面會顯示您帳戶的所有隱藏規則清單。
1. 若要檢閱或變更規則的設定,請選擇規則,然後從**動作**功能表中選擇**更新隱藏規則**。
**注意**
使用 SIEM 技術的組織隨著時間大幅減少了 GuardDuty 調查結果量,同時改善了安全事件回應服務和 SIEM 效率。
# Amazon EventBridge
Amazon EventBridge 為安全事件回應啟用事件驅動型架構,允許案例活動觸發下游服務 (SNS、Lambda、SQS、Step-Functions) 或外部工具 (Jira、ServiceNow、Team、Slack、PagerDuty)。
**若要設定 EventBridge 規則:**
1. 存取 Amazon EventBridge
1. 從 **Buss** 下拉式清單中選取**規則**。
![\[AWS 服務會將事件傳送至 EventBridge 預設事件匯流排。如果事件與規則的事件模式相符,則 EventBridge 會將事件傳送至該規則的指定目標。\]](http://docs.aws.amazon.com/zh_tw/security-ir/latest/userguide/images/Amazon_EventBridge_rules.png)
1. 選擇 **Create Rule** (建立規則)。
1. 輸入規則詳細資訊。
1. 選擇**下一步**。
![\[AWS 服務會將事件傳送至 EventBridge 預設事件匯流排。如果事件與規則的事件模式相符,則 EventBridge 會將事件傳送至該規則的指定目標。\]](http://docs.aws.amazon.com/zh_tw/security-ir/latest/userguide/images/Define_Rule.png)
1. 捲動至**AWS 服務。**然後從**AWS 安全事件應變**下拉式選單中選取 。
![\[AWS 服務會將事件傳送至 EventBridge 預設事件匯流排。如果事件與規則的事件模式相符,則 EventBridge 會將事件傳送至該規則的指定目標。\]](http://docs.aws.amazon.com/zh_tw/security-ir/latest/userguide/images/Event_Pattern_Security.png)
1. 從**事件類型**下拉式清單中,選取要為其建立模式的事件或 API 呼叫。
1. 您可以手動編輯模式,以包含多個事件。
1. 選擇**下一步**。
![\[AWS 服務會將事件傳送至 EventBridge 預設事件匯流排。如果事件與規則的事件模式相符,則 EventBridge 會將事件傳送至該規則的指定目標。\]](http://docs.aws.amazon.com/zh_tw/security-ir/latest/userguide/images/Event_Pattern.png)
**注意**
為您的事件選取一或多個目標 (Amazon Simple Notification Service AWS Lambda、SSM 文件、Step-Function)。視需要設定跨帳戶目標。
您可以在 EventBridge 整合選單中的合作夥伴事件來源下檢查合作夥伴整合模式。可用的合作夥伴包括 Atlassian (Jira)、DataDog、New Relic、PagerDuty、Symantec 和 Zendesk 等。
![\[AWS 服務會將事件傳送至 EventBridge 預設事件匯流排。如果事件與規則的事件模式相符,則 EventBridge 會將事件傳送至該規則的指定目標。\]](http://docs.aws.amazon.com/zh_tw/security-ir/latest/userguide/images/Amazon_EventBridge_Partners.png)
# 整合和外部工具工作流程
**AWS 將 JIRA 或 ServiceNow 與安全事件回應整合的解決方案**
部署我們全開發的解決方案,以與 Jira 和 ServiceNow 雙向整合。這些整合可在 AWS 安全事件應變 Cases 和 ITSM 平台之間進行雙向通訊,並在對應的 Jira 任務中自動反映案例更新。
**整合的優點**
AWS 安全事件應變 與現有的 ITSM 平台整合,透過集中事件追蹤和回應工作流程,簡化您的安全操作。這些預先建置的解決方案消除了自訂開發的需求,讓您的安全團隊能夠維持 AWS 原生和企業整體事件管理系統的可見性。透過利用 Amazon EventBridge 進行事件驅動型自動化, 可即時更新平台之間的流程,協助確保無論安全事件源自何處,都能持續追蹤。這種統一的方法可減少安全分析師的內容切換、改善回應時間,並在整個事件回應生命週期中提供全面的稽核線索。
若要設定 EventBridge 規則:
1. 存取 Amazon EventBridge。
1. 從 **Buss** 下拉式清單中選取**規則**。
# 外部工具工作流程
安全事件回應會以多種方式與外部工具和合作夥伴整合:
+ *SIEM 整合:*當您提交 AWS 支援的案例時,安全事件回應工程師會與您的團隊平行分析和調查這些調查結果。我們識別混合雲端和多雲端環境之間的關聯性,協助限制供應商之間的威脅行為者移動範圍。
+ *增強您現有的安全操作:*我們將傳統的 GuardDuty 回應工作流程取代為更有效率的平行回應模型。許多組織目前透過案例管理使用 SIEM 技術來偵測工作流程。此服務為 GuardDuty (和選取 Security Hub CSPM) 調查結果提供簡化的替代方案。該解決方案利用複雜的自動分類技術與人工監督,在您的入口網站中建立主動案例,同時提醒您的回應團隊,並吸引我們的安全事件回應工程師進行協調修補工作。
+ *第三方調查團隊:*我們的安全事件回應工程師會直接與您的合作夥伴和 MDR 供應商合作。
# 附錄 A:聯絡點
將您的中繼資料預先提供給我們的安全事件回應工程師,有助於加速設定檔建立時間,提高我們分類技術離開大門的信心。這有助於減少我們開始擷取您的威脅調查結果並建立「已知的良好世界」時所識別的前期誤報。
**IR 和 SOC 人員聯絡資訊**
| 實體 | IR \$1 SOC 人員:角色、名稱、電子郵件 | 主要、次要呈報聯絡人 | 內部、已知 CIDR 範圍 | 外部、已知 CIDR 範圍 | 其他雲端服務供應商 | 工作 AWS 區域 | DNS 伺服器 IPs(如果不是 Amazon Route 53 Resolver) | VPN \$1 遠端存取解決方案和 IPs | 關鍵應用程式名稱 \$1 帳號 | 常用的不常見連接埠 | EDR \$1 AV \$1 使用的漏洞管理工具 | IDP \$1 位置 |
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- |
| 1 | SOC Commander、John Smith、jsmith@example.com | Primary | 10.0.0.0/16 | 5.5.60.0/20 (Azure) | Azure | us-east-1、us-east-2 | N/A | Direct Connect、公有 VIF 116.32.8.7 | Nginx Webserver (關鍵範例) \$1 1234567890 | 8080 | CrowdStrike Falcon | Entra、Azure |
| | | | | | | | | | | | | |
| | | | | | | | | | | | | |
| | | | | | | | | | | | | |
若要提交您環境的中繼資料資訊,請建立 [AWS 支援 案例](https://repost.aws/knowledge-center/get-aws-technical-support)。
**提交中繼資料**
1. 使用您的環境資訊完成中繼資料表。
1. 建立具有下列詳細資訊的 AWS 支援 案例:
+ **案例類型:**技術
+ **服務:**安全事件回應服務
+ **類別:**其他
1. 將完成的中繼資料表連接至案例。