偵測和分析

AWS 安全事件應變 會監控、分類、調查來自 Amazon GuardDuty 的安全調查結果，並透過 整合 AWS Security Hub。可大幅增強 AWS 安全事件應變監控和調查功能範圍和有效性的其他動作包括：

啟用支援的偵測來源

注意

AWS 安全事件應變 服務成本不包括與受支援偵測或使用其他服務來源相關的用量和其他成本和費用 AWS 。如需成本詳細資訊，請參閱個別功能或服務頁面。

Amazon GuardDuty

GuardDuty 是一種威脅偵測服務，可持續監控、分析和處理您 AWS 環境中的資料來源和日誌。不需要啟用 GuardDuty AWS 安全事件應變；但是，若要使用主動回應和提醒分類功能，必須啟用 Amazon GuardDuty。

若要在整個組織中啟用 GuardDuty，請參閱《Amazon GuardDuty 使用者指南》中的Setting up GuardDuty一節。

強烈建議您在所有支援的 中啟用 GuardDuty AWS 區域。這可讓 GuardDuty 產生有關未經授權或異常活動的調查結果，即使在您未主動使用的區域中也是如此。如需詳細資訊，請參閱 Amazon GuardDuty 區域和端點

啟用 GuardDuty 可讓您 AWS 安全事件應變 存取關鍵威脅偵測資料，增強其識別和回應 AWS 環境中潛在安全問題的能力。

AWS Security Hub

Security Hub 可以從數個 AWS 服務和支援的第三方安全解決方案中擷取安全調查結果。這些整合有助於 AWS 安全事件應變 監控和調查來自其他偵測工具的問題清單。

若要啟用 Security Hub 與 Organizations 整合，請參閱 AWS Security Hub 使用者指南。

有多種方式可在 Security Hub 上啟用整合。對於第三方產品整合，您可能需要從 購買整合 AWS Marketplace，然後設定整合。整合資訊提供完成這些任務的連結。進一步了解如何啟用 AWS Security Hub 整合。

AWS 安全事件應變 可以監控和調查下列工具與 整合時的調查結果 AWS Security Hub：

• CrowdStrike – CrowdStrike Falcon

• 浮水印 – 浮水印

• Trend Micro – Cloud One

透過啟用這些整合，您可以大幅提升 AWS 安全事件應變監控和調查功能的範圍和有效性。

分析問題清單。

AWS 安全事件應變 自動化和 AWS CIRT 服務團隊將分析支援工具的所有調查結果。我們將使用 AWS Support Cases 與您通訊，開始了解您的環境。例如，當我們需要了解問題清單是預期的行為，還是應該呈報至事件時。隨著我們從您的環境進一步了解，我們將自訂服務並減少通訊次數。

報告事件。

您可以透過 AWS 安全事件應變 服務入口網站引發安全事件。在安全事件期間不要等待。 AWS 安全事件應變 會使用自動化和手動技術來調查安全事件、分析日誌，以及尋找異常模式。您的合作夥伴關係和對您環境的了解可加速此分析。

通訊。

AWS 安全事件應變 透過事件案例與您的安全聯絡人互動，在調查期間通知您。多個團隊成員可能支援您的事件，所有 都會使用事件票證進行客戶提供的內容和 AWS 更新。

通訊可能包括產生安全提醒時的自動通知；事件分析期間的通訊；建立通話橋接器；日誌檔案等成品的持續分析；以及在安全事件期間向您取得調查結果。

此服務將建立 AWS 安全事件應變 案例，以與您的團隊進行通訊。我們會針對您的成員帳戶建立案例。此方法會將所有帳戶的通訊集中到單一位置。「【主動案例】」字首有助於識別由 起始的案例 AWS 安全事件應變。

透過積極參與這些通訊並提供及時的回應，您可以協助 AWS 安全事件應變 服務：

• 更好地了解您的環境和預期行為。

• 隨著時間的推移減少誤報。

• 改善警示的準確性和相關性。

• 確保快速回應真正的安全事件。

• 請記住， AWS 安全事件應變 服務的有效性會隨著您的協同合作而改善，進而產生更安全且有效率監控 AWS 的環境。