Erstellen Sie einen AWS unterstützten Fall - AWS Security Incident Response Benutzerleitfaden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie einen AWS unterstützten Fall

Sie können einen AWS unterstützten Fall für AWS Security Incident Response über die Konsole, die API oder die erstellen AWS Command Line Interface. AWS Unterstützte Fälle ermöglichen es Ihnen, Support von Security Incident Response-Technikern zu erhalten.

Wichtig

Demo-/Simulationsfälle werden nach einem Zeitraum von 90 Tagen geschlossen.

Anmerkung

AWS Die Techniker für die Reaktion auf Sicherheitsvorfälle werden innerhalb von 15 Minuten auf Ihren Fall antworten. Die Reaktionszeit bezieht sich auf eine erste Antwort von Technikern für die Reaktion auf AWS Sicherheitsvorfälle. Wir werden alle zumutbaren Anstrengungen unternehmen, um Ihre erste Anfrage innerhalb dieses Zeitraums zu beantworten. Diese Antwortzeit gilt nicht für nachfolgende Antworten.

Anmerkung

Sie können AWS unterstützte Fälle nicht nur für aktive Sicherheitsvorfälle und Untersuchungen erstellen, sondern auch für Anfragen zu den Funktionen zur Reaktion auf AWS Sicherheitsvorfälle. Dazu gehören Fragen zu GuardDuty Unterdrückungsregeln, Konfigurationen für die Alert-Triaging-Konfiguration, Workflows zur proaktiven Reaktion und allgemeine Hinweise zur Sicherheitslage. Wählen Sie für diese Zwecke den Falltyp Ermittlungen und Anfragen aus.

Das folgende Beispiel behandelt die Verwendung der Konsole.

  1. Melden Sie sich AWS Security Incident Response über das an AWS-Managementkonsole.

  2. Wählen Sie „Fall erstellen

  3. Wählen Sie „Fall lösen mit“ AWS

  4. Wählen Sie die Art der Anfrage

    1. Aktiver Sicherheitsvorfall: Dieser Typ ist für Support und Services zur Reaktion auf dringende Vorfälle vorgesehen.

    2. Untersuchungen und Anfragen: Verwenden Sie diesen Typ für festgestellte Sicherheitsvorfälle, bei denen die Techniker für die Reaktion auf AWS Sicherheitsvorfälle bei der Protokollanalyse und der sekundären Bestätigung der Untersuchung der Reaktion auf Sicherheitsvorfälle behilflich sein können. Sie können diesen Typ auch für Anfragen zu GuardDuty Ergebnissen, Unterdrückungsregeln, Alert-Triaging-Konfigurationen, proaktiven Reaktionsabläufen und allgemeinen Fragen zur Sicherheitslage im Zusammenhang mit den Funktionen zur Reaktion auf AWS Sicherheitsvorfälle verwenden.

  5. Geben Sie als voraussichtliches Startdatum das Datum an, an dem Sie den Vorfall am frühesten erkannt haben. Zum Beispiel, wenn Sie zum ersten Mal ungewöhnliches Verhalten festgestellt haben oder als Sie die erste entsprechende Sicherheitswarnung erhalten haben.

  6. Definieren Sie einen Titel für den Fall

  7. Geben Sie eine detaillierte Beschreibung des Falls an.  Beachten Sie die folgenden Aspekte, die Einsatzkräften bei der Lösung des Falls helfen können:

    1. Was ist passiert?

    2. Wer hat den Vorfall entdeckt und gemeldet?

    3. Wer ist von dem Fall betroffen?

    4. Was sind die bekannten Auswirkungen?

    5. Was ist die Dringlichkeit dieses Falls?

    6. Fügen Sie einen oder mehrere hinzu AWS-Konto IDs , die in den Anwendungsbereich des Falls fallen.

  8. Fügen Sie optionale Falldetails hinzu:

    1. Wählen Sie aus der Drop-down-Liste die wichtigsten Dienste aus, die betroffen sind.

    2. Wählen Sie aus der Drop-down-Liste die wichtigsten betroffenen Regionen aus.

    3. Fügen Sie eine oder mehrere IP-Adressen von Bedrohungsakteuren hinzu, die Sie im Rahmen dieses Falls identifiziert haben. 

  9. Fügen Sie dem Fall optionale zusätzliche Incident-Responder hinzu, die Benachrichtigungen erhalten. Gehen Sie wie folgt vor, um eine Person hinzuzufügen:

    1. Fügen Sie eine E-Mail-Adresse hinzu.

    2. Fügen Sie optional einen Vor- und Nachnamen hinzu.

    3. Wählen Sie Neu hinzufügen, um eine weitere Person hinzuzufügen.

    4. Um eine Person zu entfernen, wählen Sie die Option Entfernen für eine Person.

    5. Wählen Sie Hinzufügen, um alle aufgelisteten Personen zum Fall hinzuzufügen.

      1. Sie können mehrere Personen auswählen und auf Entfernen klicken, um sie aus der Liste zu löschen.

  10. Fügen Sie dem Fall optionale Tags hinzu.

    1. Führen Sie die folgenden Schritte aus, um ein Tag hinzuzufügen:

    2. Wählen Sie Neues Tag hinzufügen aus.

    3. Geben Sie unter Schlüssel den Namen des Tags ein.

    4. Geben Sie für Wert den Tag-Wert ein.

    5. Um ein Tag zu entfernen, wählen Sie die Option Entfernen für dieses Tag.

Nachdem ein AWS unterstützter Fall erstellt wurde, werden die AWS Security Incident Response Engineers und Ihr Incident Response Team sofort benachrichtigt.

Um einen Fall mit AWS KI-gestützter Untersuchung zu erstellen

  1. Öffnen Sie die AWS Security Incident Response Konsole unter console.aws.amazon.com/.

  2. Wählen Sie im Navigationsbereich die Option Fälle aus.

  3. Wählen Sie Create case (Fall erstellen) aus.

  4. Wählen Sie als Falltyp die Option AWS-unterstützter Fall aus.

  5. Geben Sie Falldetails an, einschließlich Titel, Startdatum des Vorfalls und AWS Konto-ID der betroffenen Person.

  6. Geben Sie im Abschnitt „Beschreibung des Sicherheitsereignisses“ eine ausführliche Beschreibung des Vorfalls ein.

  7. Geben Sie zusätzliche Informationen zu den betroffenen AWS Diensten, Regionen und anderen relevanten Details an.

  8. Wählen Sie Create case (Fall erstellen) aus.

Nach der Erstellung des Falls beginnen sowohl die Security Incident Response-Techniker als auch der KI-Agent gleichzeitig mit der Arbeit.

Um auf klärende Fragen zur KI zu antworten (optional)

  1. Navigieren Sie in Ihrem Fall zur Registerkarte Untersuchung.

  2. Überprüfe alle klärenden Fragen, die dir der KI-Agent gestellt hat.

  3. Beantworten Sie die Fragen oder wählen Sie Überspringen, wenn Sie nicht antworten möchten.

  4. Wählen Sie Senden, um fortzufahren. Alle Felder sind optional.

Verantwortungsvolle Offenlegung von KI

Zusammenfassungen von Untersuchungen werden mithilfe AWS generativer KI-Funktionen erstellt. Sie sind dafür verantwortlich, von KI generierte Empfehlungen in Ihrem spezifischen Kontext zu bewerten, geeignete Aufsichtsmechanismen zu implementieren, die Ergebnisse unabhängig zu verifizieren und die menschliche Aufsicht über alle Sicherheitsentscheidungen aufrechtzuerhalten.