Definieren Sie die Einstellungen für Eindämmungsaktionen - AWS Security Incident Response Benutzerleitfaden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Definieren Sie die Einstellungen für Eindämmungsaktionen

Sicherheitsmaßnahmen ermöglichen es Security Incident Response, während eines aktiven Sicherheitsvorfalls schnelle Reaktionsmaßnahmen zu ergreifen, wie z. B. das Isolieren kompromittierter Hosts oder das Rotieren von Zugangsdaten. Diese Maßnahmen tragen dazu bei, die Auswirkungen von Sicherheitsvorfällen in Ihrer Umgebung schnell zu mindern.

Wichtig

Security Incident Response aktiviert standardmäßig keine Eindämmungsfunktionen. Sie müssen Eindämmungsaktionen in Ihren Containment-Einstellungen ausdrücklich autorisieren.

Um Security Incident Response-Techniker zu autorisieren, Eindämmungsmaßnahmen in Ihrem Namen durchzuführen, müssen Sie Ihre Containment-Einstellungen auf Organisations- oder Kontoebene definieren. Einstellungen auf Kontoebene haben Vorrang vor Einstellungen auf Organisationsebene.

Voraussetzungen: Sie müssen über die erforderlichen Berechtigungen verfügen, um AWS Support zu erstellen.

Eindämmungsoptionen:

  • Keine Eindämmungsmaßnahmen (Standard) — Die Security Incident Response-Techniker führen in Ihrem Namen keine Eindämmungsmaßnahmen durch.

  • Eindämmung mit Genehmigung — Die Security Incident Response-Techniker werden Ihre Zustimmung einholen, bevor sie Eindämmungsmaßnahmen durchführen.

  • Automatische Eindämmung — Die Techniker für die Reaktion auf Sicherheitsvorfälle können bei aktiven Vorfällen sofort und ohne vorherige Genehmigung Maßnahmen zur Eindämmung durchführen.

So definieren Sie Containment-Einstellungen:

  1. Erstellen Sie einen AWS Support-Fall, in dem Sie aufgefordert werden, die Einstellungen für Eindämmungsmaßnahmen für die Reaktion auf Sicherheitsvorfälle zu konfigurieren.

  2. Geben Sie in Ihrem Support-Fall Folgendes an:

    • Ihre AWS Organisations-ID oder ein bestimmtes Konto, für das IDs Eindämmungsmaßnahmen autorisiert werden sollen

    • Ihre bevorzugte Eindämmungsoption (keine Eindämmung, Eindämmung mit Genehmigung oder automatische Eindämmung)

    • Die Arten von Containment-Aktionen, die Sie autorisieren möchten (z. B. EC2 Instanzisolierung, Rotation von Anmeldeinformationen oder Änderungen von Sicherheitsgruppen)

  3. AWS Der Support wird mit Ihnen zusammenarbeiten, um Ihre Containment-Einstellungen zu konfigurieren. Sie müssen das Notwendige bereitstellen, um AWS CloudFormation StackSet die erforderlichen IAM-Rollen zu erstellen. AWS Der Support kann bei Bedarf Hilfe leisten.

Nach der Konfiguration kann Security Incident Response die autorisierten Eindämmungsmaßnahmen bei aktiven Sicherheitsvorfällen ausführen, um Ihre Umgebung zu schützen.

Nächste Schritte: Nachdem die Containment-Einstellungen konfiguriert wurden, können Sie die bei Vorfällen ergriffenen Sicherheitsmaßnahmen in der Security Incident Response-Konsole überwachen.