AWS でサポートされているケースを作成する - AWS Security Incident Response ユーザーガイド

AWS でサポートされているケースを作成する

AWS Security Incident Response の AWS でサポートされているケースは、コンソール、API、または AWS Command Line Interface を使用して作成できます。AWS でサポートされているケースでは、AWS カスタマーインシデント対応チーム (CIRT) からサポートを受けることができます。

注記

AWS CIRT は 15 分以内にケースに応答します。応答時間は、AWS CIRT からの最初の応答までの時間です。お客様の初回のリクエストには、この時間内に応答するよう取り組んでいます。この応答時間は、後続の応答には適用されません。

次の例では、コンソールの使用について説明します。

  1. AWS Management Consoleにサインインします。https://console.aws.amazon.com/security-ir/ の Security Incident Response コンソールを開きます。

  2. [ケースを作成] を選択します

  3. [AWS を利用してケースを解決] を選択します

  4. リクエストのタイプを選択します

    1. アクティブなセキュリティインシデント: このタイプは、緊急のインシデント対応サポートとサービス用です。

    2. 調査: 調査では、AWS CIRT がログダイブとインシデント対応調査のセカンダリ確認をサポートできる、認識されたセキュリティインシデントのサポートを受けることができます。

  5. 開始日の見積もりを、インシデントの最も早い兆候が確認された日付に設定します。例えば、初めて異常な動作が発生したときや、関連する最初のセキュリティアラートを受け取ったときなどです。

  6. ケースのタイトルを定義します

  7. ケースの詳細な説明を提供してください。  インシデントレスポンダーがケースを解決するのに役立つ以下の側面を考慮してください。

    1. 何が起きたのか。

    2. インシデントを発見して報告したのは誰ですか?

    3. ケースの影響を受けるのは誰ですか?

    4. 既知の影響は何ですか?

    5. このケースの緊急性はどれくらいですか?

    6. ケースの範囲内にある 1 つ以上の AWS アカウント ID を追加します。

  8. オプションで、ケース詳細を追加します。

    1. ドロップダウンリストから、影響を受ける主なサービスを選択します。

    2. ドロップダウンリストから、影響を受ける主なリージョンを選択します。

    3. このケースの一部として特定した 1 つ以上の脅威アクター IP アドレスを追加します。 

  9. オプションで、通知を受け取る追加のインシデントレスポンダーをケースに追加します 個人を追加するには、以下を実行します。

    1. E メールアドレスを追加します。

    2. オプションで、姓名を追加します。

    3. [新規追加] を選択して、別の個人を追加します。

    4. 個人を削除するには、個人の [削除] オプションを選択します。

    5. [追加] を選択して、リストされているすべての個人をケースに追加します。

      1. 複数の個人を選択し、[削除] を選択してリストから削除できます。

  10. オプションで、ケースにタグを追加します。

    1. タグを追加するには、次の操作を行います。

    2. [新しいタグを追加] をクリックします。

    3. [Key] (キー) で、タグの名前を入力します。

    4. [Value] (値) で、タグの値を入力します。

    5. タグを削除するには、そのタグの [Remove] (削除) オプションを選択します。

AWS でサポートされているケースが作成されると、AWS CIRT とインシデント対応チームにすぐに通知されます。