本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定主動回應和警示分類工作流程
AWS 安全事件應變 會監控和調查從 Amazon GuardDuty 和 Security Hub CSPM 整合產生的威脅警示。若要使用此功能,必須啟用 Amazon GuardDuty。 會使用服務自動化 AWS 安全事件應變 來分類低優先順序警示,讓您的團隊可以專注於最關鍵的問題。如需 如何使用 AWS 安全事件應變 Amazon GuardDuty 和 的詳細資訊 AWS Security Hub CSPM,請參閱 使用者指南的偵測和分析一節。
如果您遇到加入問題,請建立 AWS 支援 案例以取得其他協助。請務必包含詳細資訊,包括 AWS 帳戶 ID 和您在設定程序期間可能看到的任何錯誤。
注意
如果您對 Amazon GuardDuty 禁止規則、提醒分類組態或主動回應工作流程有任何疑問,您可以使用案例類型 Investigations and Inquiries 建立 AWS 支援案例,以諮詢 AWS 安全事件回應團隊。如需詳細資訊,請參閱建立 AWS 支援的案例。
此功能可讓 AWS 安全事件應變 監控和調查組織中所有涵蓋帳戶和作用中支援 AWS 區域的調查結果。為了促進此功能, 會在您 內所有涵蓋的成員帳戶中 AWS 安全事件應變 自動建立服務連結角色 AWS Organizations。不過,對於 管理帳戶,您必須手動建立服務連結角色才能啟用監控。
服務無法在 管理帳戶中建立服務連結角色。您必須使用 AWS CloudFormation 堆疊集,在管理帳戶中手動建立此角色。
遏制:發生安全事件時, AWS 安全事件應變 可以執行遏制動作以快速減輕影響,例如隔離遭入侵的主機或輪換登入資料。根據預設,資安事件應變服務不會啟用遏制功能。若要執行這些遏制動作,您必須先將必要的許可授予服務。這可以透過部署 AWS CloudFormation StackSet 來完成,該 StackSet 會建立所需的角色。
