监控与调查

AWS 安全事件响应会审查并分级处理来自 Amazon GuardDuty 和 AWS Security Hub 的安全警报，然后根据您的环境配置抑制规则来减少不必要的警报。AWS CIRT 团队会调查未分级的调查发现并快速升级事件，指导您的团队及时遏制潜在问题。您也可以选择授权 AWS 安全事件响应代表自己执行遏制措施。

AWS 安全事件响应会遵循 NIST 800-61r2 Computer Security event Handling Guide 的安全事件响应标准。通过采用这一行业标准，AWS 安全事件响应提供一致的安全事件管理方法，并在您的 AWS 环境中遵循安全事件防护和响应的最佳实践。

当 AWS 安全事件响应检测到安全警报或您请求安全协助时，AWS CIRT 团队会进行调查。该团队会收集日志事件和服务数据（如 GuardDuty 警报），对这些数据进行分级和分析，执行修复和遏制措施，并提供事件后分析报告。

内容

• 准备

• 检测与分析

• 遏制

• 根除

• 恢复

• 事件后报告