创建 AWS 托管案例

您可通过控制台、API 或 AWS Command Line Interface为 AWS 安全事件响应创建 AWS 托管案例。AWS 托管案例可获得 AWS 客户事件响应团队（CIRT）的支持。

注意

AWS CIRT 会在 15 分钟内响应您的案例。响应时间指 AWS CIRT 发出首次回复的时间。我们会尽一切合理努力在此时间范围内响应您的初次请求。该响应时效不适用于后续响应。

以下示例演示控制台操作流程：

1. 登录到 AWS Management Console。在 https://console.aws.amazon.com/security-ir/ 上打开安全事件响应控制台。

2. 选择创建案例

3. 选择通过 AWS 解决案例。

4. 选择请求类型：

   1. 活跃安全事件：用于紧急事件响应支持服务。

   2. 调查：允许获取对可疑安全事件的支持，AWS CIRT 可协助进行日志深度分析和事件响应调查的二次确认。

5. 将预估开始日期设置为事件最早出现迹象的日期，例如：首次出现异常行为或收到首个相关安全警报的日期。

6. 为案例定义标题

7. 请提供案例的详细描述。  以下内容将帮助事件响应人员更快解决问题：

   1. 发生了什么？

   2. 是谁发现并报告的该事件？

   3. 哪些对象受到该案例影响？

   4. 目前已知的影响范围？

   5. 该案例的紧急程度？

   6. 添加一个或多个属于案例范围内的 AWS 账户 ID。

8. 添加案例详细信息（选填）：

   1. 从下拉列表中选择受影响的主要服务。

   2. 从下拉列表中选择受影响的主要区域。

   3. 添加一个或多个在该案例中确定的威胁行为者 IP 地址。 

9. 为案例添加其他事件响应人员，以便接收通知。要添加响应人员，请执行以下操作：

   1. 添加电子邮件地址。

   2. 添加姓名（选填）。

   3. 选择新增添加其他响应人员。

   4. 要删除响应人员，选择对应人员的删除选项。

   5. 选择添加，可将所列出的所有人员添加到案例中。

      1. 您可以选择多人，然后选择删除，即可批量删除所选人员。

10. 将标签添加到案例（可选）。

    1. 要添加标签，请执行以下操作：

    2. 选择添加新标签。

    3. 对于键，输入标签的名称。

    4. 对于值，输入标签的值。

    5. 要删除标签，请为该标签选择删除选项。

创建 AWS 托管案例后，AWS CIRT 和您的事件响应团队会立即收到通知。