Imposta flussi di lavoro di risposta proattiva e valutazione degli avvisi - AWS Security Incident Response Guida per l'utente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Imposta flussi di lavoro di risposta proattiva e valutazione degli avvisi

Il flusso di lavoro di risposta proattiva e valutazione degli avvisi è una funzionalità opzionale da abilitare all'interno dell'organizzazione per il monitoraggio dei servizi di sicurezza abilitati. Seleziona l'interruttore accanto alla funzione da abilitare.

Se riscontri problemi di onboarding, crea una Supporto AWS richiesta per ricevere ulteriore assistenza. Assicurati di includere i dettagli, tra cui l' Account AWS ID e gli eventuali errori che potresti aver riscontrato durante il processo di configurazione.

Risposta proattiva e triaging degli avvisi: AWS Security Incident Response monitora e analizza gli avvisi generati dalle integrazioni di Amazon e GuardDuty Security Hub. Per utilizzare questa funzionalità, Amazon GuardDuty deve essere abilitato. AWS Security Incident Response classifica gli avvisi a bassa priorità con l'automazione dei servizi in modo che il team possa concentrarsi sui problemi più critici. Per ulteriori informazioni su come AWS Security Incident Response funziona con Amazon GuardDuty and AWS Security Hub, consulta la sezione Rileva e analizza della guida per l'utente.

Questa funzionalità consente di AWS Security Incident Response monitorare e analizzare i risultati di tutti gli account coperti e supportati attivamente Regioni AWS nell'organizzazione. Per facilitare questa funzionalità, crea AWS Security Incident Response automaticamente un ruolo collegato al servizio in tutti gli account dei soci coperti all'interno dell'azienda. AWS Organizations Tuttavia, per l'account di gestione, è necessario creare manualmente il ruolo collegato al servizio per abilitare il monitoraggio.

Il servizio non può creare il ruolo collegato al servizio nell'account di gestione. È necessario creare questo ruolo manualmente nell'account di gestione utilizzando i set di AWS CloudFormation stack.

Contenimento: in caso di incidente di sicurezza, AWS Security Incident Response può eseguire azioni di contenimento per mitigare rapidamente l'impatto, come isolare gli host compromessi o ruotare le credenziali. Security Incident Response non abilita le funzionalità di contenimento per impostazione predefinita. Per eseguire queste azioni di contenimento, è necessario innanzitutto concedere le autorizzazioni necessarie al servizio. Ciò può essere fatto implementando un AWS CloudFormation StackSet, che crea i ruoli richiesti.