本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定主動回應和警示分類工作流程
AWS 安全事件應變 使用 Security Hub CSPM 整合來監控和調查從 Amazon GuardDuty 和第三方威脅偵測工具所產生的威脅警示。 AWS 安全事件應變 會自動分類所有支援的警示,讓您的團隊可以專注於最重要的問題。
重要
AWS 安全事件應變 不需要您啟用 Amazon GuardDuty。不過,主動回應功能依賴於從偵測服務接收威脅調查結果。如果您沒有將 Amazon GuardDuty 或 Security Hub CSPM 設定為擷取問題清單, AWS 安全事件應變 則不會有要監控和調查的提醒,這會限制此功能的值。
AWS 安全事件應變 會監控和調查 AWS 區域 組織中所有涵蓋帳戶和作用中支援的問題清單。為了促進此功能, AWS 安全事件應變 會自動在 內的所有涵蓋成員帳戶中建立服務連結角色 AWS Organizations。不過,對於 管理帳戶,您必須手動建立服務連結角色才能啟用監控。
如果您在 AWS 安全事件應變 中加入到 AWS 管理主控台,安全事件回應會自動在您的 AWS Organizations 管理帳戶和範圍內的所有帳戶中建立AWSServiceRoleForSecurityIncidentResponse_Triage服務連結角色。如果您使用 API/CLI 加入,則必須手動建立角色。如需詳細資訊,請參閱啟用安全事件回應,並使用 API/CLI 設定您的事件回應團隊。
如果您遇到加入問題或需要協助啟用 Amazon GuardDuty 或 Security Hub CSPM,請建立 AWS 支援 案例以取得協助。
注意
如果您對 Amazon GuardDuty 禁止規則、提醒分類組態或主動回應工作流程有任何疑問,您可以使用案例類型 Investigations and Inquiries 建立 AWS 支援案例,以諮詢 AWS 安全事件應變 團隊。如需詳細資訊,請參閱建立 AWS 支援的案例。
遏制:發生安全事件時, AWS 安全事件應變 可以執行遏制動作以快速減輕影響,例如隔離遭入侵的主機或輪換登入資料。根據預設,資安事件應變服務不會啟用遏制功能。若要執行這些遏制動作,您必須先將必要的許可授予服務。這可以透過部署 AWS CloudFormation StackSet 來完成,該 StackSet 會建立所需的角色。
