本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定主動回應和警示分類工作流程
<a name="setup-monitoring-and-investigation-workflows"></a>

AWS 安全事件應變 會監控和調查從 Amazon GuardDuty 和 Security Hub CSPM 整合產生的威脅警示。若要使用此功能，[必須啟用 Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)。 會使用服務自動化 AWS 安全事件應變 來分類低優先順序警示，讓您的團隊可以專注於最關鍵的問題。如需 如何使用 AWS 安全事件應變 Amazon GuardDuty 和 的詳細資訊 AWS Security Hub CSPM，請參閱 使用者指南的[偵測和分析](https://docs.aws.amazon.com/security-ir/latest/userguide/detect-and-analyze.html)一節。

如果您遇到加入問題，請[建立 AWS 支援 案例](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case)以取得其他協助。請務必包含詳細資訊，包括 AWS 帳戶 ID 和您在設定程序期間可能看到的任何錯誤。

**注意**  
 如果您對 Amazon GuardDuty 禁止規則、提醒分類組態或主動回應工作流程有任何疑問，您可以使用案例類型 **Investigations and Inquiries** 建立 AWS 支援案例，以諮詢 AWS 安全事件回應團隊。如需詳細資訊，請參閱[建立 AWS 支援的案例](create-an-aws-supported-case.md)。

此功能可讓 AWS 安全事件應變 監控和調查組織中所有涵蓋帳戶和作用中支援 AWS 區域的調查結果。為了促進此功能， 會在您 內所有涵蓋的成員帳戶中 AWS 安全事件應變 自動建立服務連結角色 AWS Organizations。不過，對於 管理帳戶，您必須手動建立服務連結角色才能啟用監控。

*服務無法在 管理帳戶中建立服務連結角色。您必須[使用 AWS CloudFormation 堆疊集](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html)，在管理帳戶中手動建立此角色。*

# 了解具有主動回應的自動封存
<a name="understanding-automatic-archiving"></a>

當您啟用主動回應和警示分類時， AWS 安全事件應變 會自動監控和分類來自 Amazon GuardDuty 和 Security Hub CSPM 的安全調查結果。在此自動分類工作流程中，問題清單會根據下列條件自動封存：

**自動封存行為：**
+ **良性問題清單：**當自動分類程序判斷問題清單為良性 （非真正的安全威脅） 時， AWS 安全事件應變 會自動在 Amazon GuardDuty 中封存問題清單，並建立抑制規則，以防止類似的問題清單在未來產生提醒。
+ **抑制規則：**此服務會在 Amazon GuardDuty 和 Security Hub CSPM 中建立抑制和自動封存規則，以取得符合您環境已知良好模式的問題清單，例如預期的 IP 地址、IAM 實體和正常操作行為。
+ **減少提醒磁碟區：**使用 SIEM 技術的組織發現 Amazon GuardDuty 調查結果磁碟區會隨著時間的推移而大幅減少，因為服務會學習您的環境並自動封存良性調查結果。這可改善 AWS 安全事件應變 服務和 SIEM 的效率。

**檢視封存的問題清單：**

您可以檢閱自動封存的問題清單和由下列人員建立的禁止規則 AWS 安全事件應變：

1. 導覽至 Amazon GuardDuty 主控台

1. 選擇**問題清單**

1. 從問題清單篩選條件中選取**封存** 

1. 選取每個規則旁的向下箭頭，以檢閱禁止規則

**重要考量事項：**
+ 封存的問題清單會保留在 Amazon GuardDuty 中 90 天，並可在該期間內隨時檢視
+ 您可以隨時透過 Amazon GuardDuty 主控台修改或刪除禁止規則
+ 自動分類程序會持續適應您的環境，隨著時間提升準確性並減少誤報

**遏制：**發生安全事件時， AWS 安全事件應變 可以執行遏制動作以快速減輕影響，例如隔離遭入侵的主機或輪換登入資料。根據預設，資安事件應變服務不會啟用遏制功能。若要執行這些遏制動作，您必須先將必要的許可授予服務。這可以透過部署 [AWS CloudFormation StackSet 來完成，該 StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html) 會建立所需的角色。