プレイブックの作成対象 - AWS Security Incident Response ユーザーガイド

プレイブックの作成対象

プレイブックは、次のようなインシデントシナリオ向けに作成する必要があります。

  • 予想されるインシデント – プレイブックは、予測されるインシデントに合わせて作成する必要があります。これには、サービス拒否 (DoS)、ランサムウェア、認証情報の漏えいなどの脅威が含まれます。

  • 既知のセキュリティ上の検出結果またはアラート – プレイブックは、既知のセキュリティ上の検出結果とアラート (GuardDuty の検出結果など) に基づいて作成する必要があります。GuardDuty の検出結果を受け取っても、どうすればよいかわからないといったことがあるかもしれません。そこで、GuardDuty の検出結果を誤って処理したり無視したりすることがないように、GuardDuty で検出される可能性のある問題ごとにプレイブックを作成しておきます。修正に関する詳細とガイダンスについては、GuardDuty のドキュメントで確認できます。なお、GuardDuty はデフォルトでは有効になっておらず、コストがかかりますので注意してください。GuardDuty の詳細については、「付録 A: クラウド機能定義 - 可視性とアラート」を参照してください。