View a markdown version of this page

Schritt 1: Aktivieren AWS Security Incident Response - AWS Security Incident Response User Guide

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 1: Aktivieren AWS Security Incident Response

Der Onboarding-Prozess dauert etwa 10 bis 15 Minuten pro Organisation. AWS Eine exemplarische Vorgehensweise finden Sie im Video Erste Schritte in der Servicedokumentation.

Anmerkung

In den Anweisungen in diesem Abschnitt wird beschrieben, wie Sie Security Incident Response aktivieren und Ihr Team mithilfe der AWS Security Incident Response Konsole einrichten (Schritt 1 und Schritt 2). Sie können diese Schritte auch mit dem ausführen API/CLI. Anweisungen zur Verwendung von finden API/CLI Sie unterAktivieren Sie Security Incident Response und konfigurieren Sie Ihr Incident-Response-Team mithilfe der API/CLI.

Aktivieren AWS Security Incident Response unter Verwendung des AWS Security Incident Response Konsole

  1. Melden Sie sich mit Ihrem AWS Verwaltungskonto bei der Management Console an.

  2. Öffnen Sie die AWS Security Incident Response Konsole und wählen Sie Anmelden.

    AWS Security Incident Response Anmeldeseite mit der Anmeldeschaltfläche.

  3. Richten Sie Ihr zentrales Mitgliedskonto ein. Weitere Informationen finden Sie unter Security Reference Architecture in AWS Prescriptive Guidance und Überlegungen und Empfehlungen darüber, wie ein delegiertes Security Incident Response-Administratorkonto funktioniert.

    Richten Sie eine zentrale Mitgliederkontoseite für die Auswahl eines delegierten Administratorkontos ein.

  4. Melden Sie sich mit dem delegierten Administratorkonto an.

  5. Geben Sie Ihre Mitgliedsdaten ein und verknüpfen Sie die entsprechenden Konten.

  6. Wählen Sie unter Kontoumfang aus, ob die Aktivierung AWS Security Incident Response für Ihre gesamte AWS Organisation oder für bestimmte Organisationseinheiten erfolgen soll. Sie können den Versicherungsschutz auf der Ebene der Organisationseinheiten auswählen, jedoch nicht auf der Ebene der einzelnen Konten.

  7. Die proaktive Reaktion ist standardmäßig aktiviert und erstellt eine servicebezogene Rolle, die es Security Incident Response Engineering ermöglicht, GuardDuty Ergebnisse zu erfassen und proaktive Untersuchungen einzuleiten, wenn Bedrohungen entdeckt werden. Weitere Informationen finden Sie unter Proaktive Reaktion.

    AWS Security Incident Response erstellt automatisch die AWSServiceRoleForSecurityIncidentResponse_Triage dienstbezogene Rolle in Ihrem AWS Organizations Verwaltungskonto und in allen Konten, die in den Geltungsbereich fallen.

  8. (Optional) Entscheiden Sie sich dafür, Security Incident Response Engineering vorab zu autorisieren, um bei aktiven Vorfällen Eindämmungsmaßnahmen in Ihrem Namen durchzuführen. Zu den unterstützten Eindämmungsaktionen gehören Runbooks für gefährdete S3-Buckets, EC2-Instances und IAM-Principals. Wenn Sie diesen Schritt überspringen, bietet Security Incident Response Engineering während der Untersuchungen manuelle Anleitungen. Weitere Informationen finden Sie unter Maßnahmen zur Eindämmung.

  9. Überprüfen Sie die Serviceberechtigungen und die Onboarding-Konfiguration und wählen Sie dann Registrieren aus.

    Überprüfen Sie den Bildschirm mit den Serviceberechtigungen, auf dem die Berechtigungen angezeigt werden, die für die Überwachung der Ergebnisse AWS Security Incident Response erforderlich sind.
    Bestätigungsbildschirm für die Registrierung, um die proaktive Überwachung der Antworten zu aktivieren.