プロアクティブレスポンスとアラートのトリアージワークフローを設定する - AWS Security Incident Response ユーザーガイド

プロアクティブレスポンスとアラートのトリアージワークフローを設定する

プロアクティブレスポンスとアラートのトリアージワークフローは、組織内で有効なセキュリティサービスをモニタリングするためのオプション機能です。有効にする機能の横にあるトグルを選択します。

オンボーディングの問題が発生した場合は、追加のサポートを受けるために AWS サポート ケースを作成してください。AWS アカウント ID やセットアッププロセス中に発生した可能性のあるエラーなどの詳細を必ず含めてください。

プロアクティブレスポンスとアラートのトリアージ: AWS Security Incident Response は Amazon GuardDuty と Security Hub の統合から生成されたアラートをモニタリングして調査します。この機能を使用するには、Amazon GuardDuty を有効にする必要があります。AWS Security Incident Response は、サービス自動化を使用して優先度の低いアラートをトリアージし、チームが最も重要な問題に集中できるようにします。AWS Security Incident Response が Amazon GuardDuty および AWS Security Hub とどのように連携するかの詳細については、ユーザーガイドの「検出と分析」セクションを参照してください。

この機能を使用すると、AWS Security Incident Response はすべてのアカウントおよび組織でサポートされているアクティブな AWS リージョン の検出結果をモニタリングおよび調査できます。この機能を実現するために、AWS Security Incident Response は AWS Organizations 内のすべてのメンバーアカウントのサービスにリンクされたロールを自動的に作成します。ただし、管理アカウントの場合、モニタリングを有効にするには、サービスにリンクされたロールを手動で作成する必要があります。

サービスは、サービスにリンクされたロールを管理アカウント内に作成できません。このロールは、AWS CloudFormation スタックセットを使用して管理アカウント内に手動で作成する必要があります。

封じ込め: セキュリティインシデントが発生した場合、AWS Security Incident Response は、侵害されたホストの分離や認証情報のローテーションなど、封じ込めアクションを実行して、影響を迅速に軽減できます。Security Incident Response では、デフォルトで封じ込め機能は有効になりません。これらの封じ込めアクションを実行するには、まずサービスに必要なアクセス許可を付与する必要があります。これは、必要なロールを作成する AWS CloudFormation StackSet をデプロイすることで実行できます。