Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erste Schritte
Erste Schritte

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/NSyUlhDc_d0?si=PguieeTI3HrUbTDs/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/NSyUlhDc_d0?si=PguieeTI3HrUbTDs)


**Topics**
+ [

# Onboarding-Leitfaden
](onboarding-guide.md)
+ [

# RACI-Matrix
](raci-matrix.md)
+ [

# Wählen Sie ein Mitgliedskonto
](select-a-membership-account.md)
+ [

# Einzelheiten zur Mitgliedschaft einrichten
](setup-membership-details.md)
+ [

# Ordnen Sie Konten zu AWS Organizations
](associate-accounts-with-aws-organizations.md)
+ [

# Richten Sie proaktive Reaktions- und Alert-Triaging-Workflows ein
](setup-monitoring-and-investigation-workflows.md)

# Onboarding-Leitfaden
Onboarding-Leitfaden

 Der Onboarding-Leitfaden führt Sie durch die Voraussetzungen sowie die AWS Security Incident Response Onboarding- und Eindämmungsmaßnahmen. 

**Wichtig**  
 Voraussetzungen   
Die einzige Voraussetzung für die Bereitstellung ist die Aktivierung. [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
Obwohl dies nicht erforderlich ist, empfehlen wir, [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) und alle Konten zu aktivieren [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html)und aktiv AWS-Regionen zu sein, um die Vorteile von Security Incident Response zu maximieren.
Überprüfung GuardDuty und Reaktion auf Sicherheitsvorfälle.
Lesen Sie [GuardDutyden Leitfaden mit bewährten Methoden](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html).

AWS Security Hub CSPM berücksichtigt Ergebnisse von Drittanbietern für Endpoint Detection and Response (EDR) (Endpoint Detection and Response) (CrowdStrikeunter anderem FortinetcNapp (Lacework) und Trend Micro). Wenn diese Ergebnisse in Security Hub CSPM aufgenommen werden, werden sie von Security Incident Response automatisch geprüft, um proaktiv Fälle zu erstellen. Informationen zur Einrichtung von Drittanbieter-EDR mit Security Hub CSPM finden Sie unter [Erkennen und Analysieren](https://docs.aws.amazon.com//security-ir/latest/userguide/detect-and-analyze.html).

So richten Sie EDR eines Drittanbieters mit Security Hub CSPM ein:

1. Navigieren Sie zur Seite Security Hub CSPM-Integrationen, um zu überprüfen, ob die Drittanbieter-Integration vorhanden ist.

1. Navigieren Sie von der Konsole aus zur Security Hub CSPM-Serviceseite.

1. Wählen Sie **Integrationen** (am Beispiel von Wiz.io):  
![\[Security Hub CSPM-Integrationsseite mit verfügbaren Integrationen von Drittanbietern.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Security_Hub_CSPM.png)

1. Suchen Sie nach dem Anbieter, den Sie integrieren möchten  
![\[Suchoberfläche für die Suche und Auswahl von Integrationen von Drittanbietern.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Integrations.png)

**Anmerkung**  
 Wenn Sie dazu aufgefordert werden, geben Sie Ihre Konto- oder Abonnementinformationen ein. Nachdem Sie diese Informationen bereitgestellt haben, erfasst Security Incident Response die Ergebnisse von Drittanbietern. Die Preise für die Erfassung von Erkenntnissen durch Dritte finden Sie auf der Seite **Integrationen** in Security Hub CSPM. 

# Implementieren und konfigurieren Sie Security Incident Response
Implementieren und konfigurieren Sie Security Incident Response

1. Wählen Sie **Anmelden**  
![\[AWS Security Incident Response Anmeldeseite mit der Anmeldeschaltfläche.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/AWS_Security_incident_Response.png)

1. Wählen Sie im Verwaltungskonto ein **Security-Tooling-Konto** als Delegierter Administrator aus.
   + [Referenzarchitektur für die Sicherheit](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/introduction.html)
   + [Dokumentation für delegierte Administratoren](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)  
![\[Richten Sie eine zentrale Mitgliederkontoseite für die Auswahl eines delegierten Administratorkontos ein.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Set_Up_Central_Membership_Account.png)

1. Melden Sie sich beim delegierten Administratorkonto an

1. Geben Sie die Mitgliedsdaten ein und verknüpfen Sie die Konten  
![\[Geben Sie die Mitgliedsdaten ein und verknüpfen Sie die Konten.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Define_Membership_Details.png)

# Autorisieren Sie Maßnahmen zur Reaktion auf Sicherheitsvorfälle
Autorisieren Sie Maßnahmen zur Überwachung und Eindämmung

 Auf dieser Seite wird beschrieben, wie Sie Security Incident Response autorisieren, automatisierte Überwachungs- und Eindämmungsmaßnahmen in Ihrer Umgebung durchzuführen. AWS Sie können zwei unterschiedliche Autorisierungsfunktionen aktivieren: proaktive Reaktionsüberwachung und Einstellungen für Eindämmungsmaßnahmen. Diese Funktionen sind unabhängig und können je nach Ihren Sicherheitsanforderungen separat aktiviert werden. 

# Aktivieren Sie die proaktive Reaktion


 Proactive Response ermöglicht Security Incident Response die Überwachung und Untersuchung von Warnmeldungen, die von Amazon GuardDuty und AWS Security Hub CSPM Integrationen in Ihrem Unternehmen generiert wurden. Wenn diese Option aktiviert ist, sortiert Security Incident Response Warnmeldungen mit niedriger Priorität mithilfe von Serviceautomatisierung aus, sodass sich Ihr Team auf die kritischsten Probleme konzentrieren kann. 

 Um eine proaktive Reaktion beim Onboarding zu ermöglichen: 

1. Navigieren Sie in der Security Incident Response-Konsole zum Onboarding-Workflow.

1. Prüfen Sie die Serviceberechtigungen, die es Security Incident Response ermöglichen, die Ergebnisse aller betroffenen Konten und aktiven Support-Konten AWS-Regionen in Ihrem Unternehmen zu überwachen.

1. Wählen Sie **Anmelden**, um die Funktion zu aktivieren.  
![\[Überprüfen Sie den Bildschirm mit den Serviceberechtigungen, der die Berechtigungen anzeigt, die Security Incident Response zur Überwachung der Ergebnisse benötigt.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Review_Service_Permissions.png)  
![\[Bestätigungsbildschirm für die Registrierung zur Aktivierung der proaktiven Antwortüberwachung.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Review_and_Sign_Up.png)

 Diese Funktion erstellt automatisch eine dienstbezogene Rolle für alle betroffenen Mitgliedskonten in Ihrem AWS Organizations. Sie müssen die dienstverknüpfte Rolle jedoch manuell im Verwaltungskonto erstellen, indem Sie mit AWS CloudFormation Stack-Sets arbeiten. 

 **Nächste Schritte:** Weitere Informationen darüber, wie Security Incident Response mit Amazon GuardDuty funktioniert AWS Security Hub CSPM, finden Sie unter *Erkennen und Analysieren* im *AWS Security Incident Response Benutzerhandbuch*. 

# Definieren Sie die Einstellungen für Eindämmungsmaßnahmen


 Eindämmungsmaßnahmen ermöglichen AWS Security Incident Response die Durchführung schneller Reaktionsmaßnahmen während eines aktiven Sicherheitsvorfalls. Diese Maßnahmen tragen dazu bei, die Auswirkungen von Sicherheitsvorfällen in Ihrer Umgebung schnell zu mindern. 

**Wichtig**  
 Security Incident Response aktiviert standardmäßig keine Eindämmungsfunktionen. Sie müssen Containment-Aktionen in Ihren Containment-Einstellungen ausdrücklich autorisieren. 

 Um AWS Security Incident Response Techniker zu autorisieren, Containment-Aktionen in Ihrem Namen durchzuführen, müssen Sie zusätzlich zur Bereitstellung eines Systems, [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html)das die erforderlichen IAM-Rollen erstellt, Ihre Containment-Einstellungen auf Organisations- oder Kontoebene definieren. Einstellungen auf Kontoebene haben Vorrang vor Einstellungen auf Organisationsebene. 

 **Voraussetzungen:** Sie müssen über die erforderlichen Berechtigungen verfügen, um Kundenvorgänge zu erstellen. AWS Support 

 **Eindämmungsoptionen:** 
+ **Genehmigung erforderlich** (Standard): Führen Sie keine proaktive Eingrenzung von Ressourcen ohne ausdrückliche Genehmigung auf einer case-by-case bestimmten Grundlage durch.
+ **Eingrenzen bestätigt**: Führt eine proaktive Eingrenzung einer Ressource durch, bei der bestätigt wurde, dass sie gefährdet ist.
+ **Verdächtigen Schaden eindämmen**: Führen Sie eine proaktive Eingrenzung einer Ressource durch, bei der die Wahrscheinlichkeit, dass sie gefährdet wurde, auf der Grundlage von Analysen, die von Technikern durchgeführt wurden, hoch ist. AWS Security Incident Response 

 So definieren Sie Containment-Einstellungen: 

1. [Erstellen Sie einen AWS Support Fall](https://docs.aws.amazon.com/security-ir/latest/userguide/create-support-case.html), in dem Sie aufgefordert werden, die Einstellungen für Sicherheitsmaßnahmen für die Reaktion auf Sicherheitsvorfälle zu konfigurieren.

1. Geben Sie in Ihrem Support-Fall Folgendes an:
   + Ihre AWS Organizations ID oder ein bestimmtes Konto, für das IDs Eindämmungsmaßnahmen autorisiert werden sollten
   + Ihre bevorzugte Eindämmungsoption (Genehmigung erforderlich, „Enthalten bestätigt“ oder „Verdachtsfall enthalten“).
   + Die Arten von Containment-Aktionen, die Sie autorisieren möchten (z. B. Isolierung von EC2-Instances, Rotation von Anmeldeinformationen oder Änderungen von Sicherheitsgruppen)

1. AWS Support arbeitet mit Ihnen zusammen, um Ihre Containment-Einstellungen zu konfigurieren. Sie müssen das Notwendige bereitstellen AWS CloudFormation StackSet , um die erforderlichen IAM-Rollen zu erstellen. AWS Support kann bei Bedarf Unterstützung leisten.

 Wenn konfiguriert, werden die autorisierten Eindämmungsmaßnahmen bei aktiven Sicherheitsvorfällen AWS Security Incident Response ausgeführt, um Ihre Umgebung zu schützen. 

 **Nächste Schritte:** Nachdem die Containment-Einstellungen konfiguriert wurden, können Sie die bei Vorfällen ergriffenen Sicherheitsmaßnahmen in der Security Incident Response-Konsole überwachen. 

# Nach der Bereitstellung von Security Incident Response


AWS lässt sich in Ihr bestehendes Framework zur Reaktion auf Vorfälle integrieren, anstatt es zu ersetzen.

1. Informieren Sie sich über unsere Möglichkeiten zur betrieblichen Integration, um Ihre aktuellen Verfahren zu verbessern.

1. Sehen Sie sich unsere Demo zur Unterstützung von Mitgliedern auf OU-Ebene, die EventBridge Nutzung und die Jira-ITSM-Integration für effizientere Sicherheitsabläufe an.  
[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/lVSi5XyMlws/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/lVSi5XyMlws)

# Informieren Sie das Incident Response Team


1. *Vergewissern Sie sich, dass Sie abonniert sind und die in diesem Onboarding-Leitfaden beschriebenen Onboarding-Schritte abgeschlossen haben.*

1. Wählen Sie in der linken Navigationsleiste Incident Response Team aus.

1. Wählen Sie die Teammitglieder aus, die Sie Ihrem Team hinzufügen möchten.  
![\[AWS Dienste senden Ereignisse an den EventBridge Standard-Event-Bus. Wenn das Ereignis mit dem Ereignismuster einer Regel übereinstimmt, wird das Ereignis an die für diese Regel angegebenen Ziele EventBridge gesendet.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Teamates.png)

**Anmerkung**  
Das Team kann aus Unternehmensleitern, Rechtsberatern, MDR-Partnern, Cloud-Ingenieuren und anderen bestehen. Sie können bis zu 10 weitere Mitglieder hinzufügen. Geben Sie für jedes Mitglied nur Name, Titel und E-Mail-Adresse an.

# AWS unterstützter Fall


AWS Security Incident Response bietet ein abonnementbasiertes Fallmanagement-Portal, über das Ihr Unternehmen direkt mit unseren Security Incident Response-Technikern Kontakt aufnimmt. Wir unterstützen Sie bei Sicherheitsuntersuchungen und aktiven Vorfällen mit einem SLO von 15 Minuten, ohne Beschränkung auf reaktive Fälle. Weitere Informationen finden Sie in unserer Dokumentation „Einen AWS unterstützten Fall erstellen“.

**Erweitern Sie das Ermittlungsteam**

Über das Case Management Portal können Sie externen Parteien Einblick in den Fall gewähren, indem Sie Beobachter- und IAM-Richtlinien hinzufügen. Nutzen Sie diese Optionen für Partner, Rechtsteams oder Fachexperten.

**So fügen Sie Beobachter zu einem Fall hinzu:**

1. Öffnen Sie einen beliebigen Fall über das Security Incident Response Cases Portal.  
![\[AWS Dienste senden Ereignisse an den EventBridge Standard-Event-Bus. Wenn das Ereignis mit dem Ereignismuster einer Regel übereinstimmt, wird das Ereignis an die für diese Regel angegebenen Ziele EventBridge gesendet.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Cases.png)

1. Wählen Sie die Registerkarte „Berechtigungen“  
![\[AWS Dienste senden Ereignisse an den EventBridge Standard-Event-Bus. Wenn das Ereignis mit dem Ereignismuster einer Regel übereinstimmt, wird das Ereignis an die für diese Regel angegebenen Ziele EventBridge gesendet.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Overview.png)

1. Wählen Sie Hinzufügen  
![\[AWS Dienste senden Ereignisse an den EventBridge Standard-Event-Bus. Wenn das Ereignis mit dem Ereignismuster einer Regel übereinstimmt, wird das Ereignis an die für diese Regel angegebenen Ziele EventBridge gesendet.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Watchers.png)

**Anmerkung**  
Jeder Fall beinhaltet eine vorab ausgefüllte IAM-Richtlinie, die nur für diesen speziellen Fall Zugriff gewährt, wobei die geringsten Rechte beibehalten werden. Kopieren Sie diese Richtlinie und fügen Sie sie direkt in die IAM-Rollen oder -Benutzer von Drittanbietern oder bestimmten Ermittlungsteams ein, um deren Beitrag zu ermöglichen.

# GuardDuty Feststellungen und Regeln zur Unterdrückung


AWS Security Incident Response nimmt proaktiv alle Ergebnisse und GuardDuty AWS Security Hub CSPM Ergebnisse von Amazon, FortinetcNapp (Lacework) und Trend Micro auf CrowdStrike, bewertet sie und reagiert darauf. Unsere Auto-Triage-Technologie macht interne Analyseanforderungen überflüssig. Der Dienst erstellt Regeln zur Unterdrückung und automatischen Archivierung in GuardDuty Security Hub CSPM für harmlose Ergebnisse. Sehen Sie sich diese Regeln in der GuardDuty Amazon-Konsole unter „Ergebnisse“ an oder ändern Sie sie.

Gehen Sie wie folgt vor, um die aktivierten GuardDuty Unterdrückungsregeln zu überprüfen:

1. Öffnen Sie die GuardDuty Amazon-Konsole.

1. Wählen Sie **Findings** aus.

1. Wählen Sie im Navigationsbereich die Option **Unterdrückungsregeln** aus. Auf der Seite mit den **Unterdrückungsregeln** wird eine Liste aller Unterdrückungsregeln für Ihr Konto angezeigt. 

1. Um die Einstellungen für eine Regel zu überprüfen oder zu ändern, wählen Sie die Regel aus und klicken Sie dann im Menü **Aktionen** auf **Unterdrückungsregel aktualisieren**.

**Anmerkung**  
Organizations, die SIEM-Technologie einsetzen, haben im Laufe der Zeit das GuardDuty Fundvolumen erheblich reduziert und damit sowohl den Security Incident Response-Service als auch die SIEM-Effizienz verbessert.

# Amazon EventBridge


Amazon EventBridge ermöglicht eine ereignisgesteuerte Architektur für Security Incident Response, sodass Fallaktivitäten nachgelagerte Dienste (SNS, Lambda, SQS, Step-Functions) oder externe Tools (Jira, Teams, Slack,) auslösen können. ServiceNow PagerDuty

**So konfigurieren Sie Regeln: EventBridge **

1. Zugriff auf Amazon EventBridge

1. Wählen Sie im Drop-down-Menü **Busse** die Option **Regeln** aus.  
![\[AWS Dienste senden Ereignisse an den EventBridge Standard-Event-Bus. Wenn das Ereignis mit dem Ereignismuster einer Regel übereinstimmt, wird das Ereignis an die für diese Regel angegebenen Ziele EventBridge gesendet.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Amazon_EventBridge_rules.png)

1. Wählen Sie **Create Rule (Regel erstellen)** aus.

1. Geben Sie die Regeldetails ein.

1. Wählen Sie **Weiter** aus.  
![\[AWS Dienste senden Ereignisse an den EventBridge Standard-Event-Bus. Wenn das Ereignis mit dem Ereignismuster einer Regel übereinstimmt, wird das Ereignis an die für diese Regel angegebenen Ziele EventBridge gesendet.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Define_Rule.png)

1. Scrollen Sie zu **AWS Service,**. und wählen Sie dann **AWS Security Incident Response**aus dem Dropdownmenü aus.  
![\[AWS Dienste senden Ereignisse an den EventBridge Standard-Event-Bus. Wenn das Ereignis mit dem Ereignismuster einer Regel übereinstimmt, wird das Ereignis an die für diese Regel angegebenen Ziele EventBridge gesendet.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Event_Pattern_Security.png)

1. Wählen Sie in der Dropdownliste **Ereignistyp** das Ereignis oder den API-Aufruf aus, für den Sie ein Muster erstellen möchten.

1. Sie können das Muster manuell bearbeiten, um mehr als ein Ereignis einzubeziehen.

1. Wählen Sie **Weiter** aus.  
![\[AWS Dienste senden Ereignisse an den EventBridge Standard-Event-Bus. Wenn das Ereignis mit dem Ereignismuster einer Regel übereinstimmt, wird das Ereignis an die für diese Regel angegebenen Ziele EventBridge gesendet.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Event_Pattern.png)

**Anmerkung**  
Wählen Sie ein oder mehrere Ziele (Amazon Simple Notification Service AWS Lambda, SSM-Dokument, Step-Function) für Ihre Ereignisse aus. Konfigurieren Sie bei Bedarf kontenübergreifende Ziele.

Sie können im Integrationsmenü unter Partnerereignisquellen nach Mustern bei der EventBridge Partnerintegration suchen. Zu den verfügbaren Partnern gehören unter anderem Atlassian (Jira) DataDog, New Relic PagerDuty, Symantec und Zendesk.

![\[AWS Dienste senden Ereignisse an den Standard-Event-Bus. EventBridge Wenn das Ereignis mit dem Ereignismuster einer Regel übereinstimmt, wird das Ereignis an die für diese Regel angegebenen Ziele EventBridge gesendet.\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/Amazon_EventBridge_Partners.png)


# Integrationen und Workflow für externe Tools


**AWS Lösungen zur Integration von JIRA oder ServiceNow mit Security Incident Response**

Stellen Sie unsere voll entwickelten Lösungen für die bidirektionale Integration mit Jira und bereit. ServiceNow Diese Integrationen ermöglichen eine bidirektionale Kommunikation zwischen AWS Security Incident Response Fällen und Ihrer ITSM-Plattform, wobei Fallaktualisierungen automatisch in den entsprechenden Jira-Aufgaben berücksichtigt werden.

**Vorteile der Integration**

Durch die AWS Security Incident Response Integration in Ihre bestehende ITSM-Plattform werden Ihre Sicherheitsabläufe optimiert, indem die Workflows zur Nachverfolgung und Reaktion auf Vorfälle zentralisiert werden. Diese vorgefertigten Lösungen machen eine kundenspezifische Entwicklung überflüssig und ermöglichen es Ihren Sicherheitsteams, den Überblick sowohl über AWS native als auch über unternehmensweite Incident-Management-Systeme zu behalten. Durch die Nutzung von Amazon EventBridge für die ereignisgesteuerte Automatisierung werden Updates nahtlos und in Echtzeit zwischen den Plattformen ausgetauscht. Dadurch wird sichergestellt, dass Sicherheitsvorfälle unabhängig von ihrem Ursprung konsistent verfolgt werden. Dieser einheitliche Ansatz reduziert den Kontextwechsel für Sicherheitsanalysten, verbessert die Reaktionszeiten und bietet umfassende Prüfprotokolle für Ihren gesamten Reaktionszyklus auf Vorfälle.

So konfigurieren Sie EventBridge Regeln:

1. Greifen Sie auf Amazon EventBridge zu.

1. Wählen Sie im Drop-down-Menü **Busse** die Option **Regeln** aus.

# Arbeitsablauf bei der externen Werkzeugausstattung


Security Incident Response lässt sich auf vielfältige Weise in externe Tools und Partner integrieren:
+ *SIEM-Integration:* Die Security Incident Response-Techniker helfen Ihnen, diese Ergebnisse parallel mit Ihrem Team zu analysieren und zu untersuchen, wenn Sie AWS unterstützte Fälle einreichen. Wir identifizieren Zusammenhänge zwischen Hybrid- und Multi-Cloud-Umgebungen und helfen so, die Bewegungen von Bedrohungsakteuren zwischen Anbietern einzuschätzen.
+ *Verbessert Ihre bestehenden Sicherheitsabläufe:* Wir ersetzen herkömmliche GuardDuty Reaktionsabläufe durch ein effizienteres, paralleles Reaktionsmodell. Viele Unternehmen nutzen derzeit SIEM-Technologie für Erkennungsworkflows im Rahmen des Fallmanagements. Dieser Service bietet eine optimierte Alternative speziell für GuardDuty (und ausgewählte Security Hub CSPM) Ergebnisse. Die Lösung nutzt ausgefeilte Auto-Triage-Technologie mit menschlicher Aufsicht, um proaktive Fälle in Ihrem Portal zu erstellen, gleichzeitig Ihr Reaktionsteam zu benachrichtigen und unsere Security Incident Response Engineers mit koordinierten Abhilfemaßnahmen zu beauftragen.
+ *Ermittlungsteams von Drittanbietern:* Unsere Security Incident Response Engineers arbeiten direkt mit Ihren Partnern und MDR-Anbietern zusammen.

# Anhang A: Ansprechpartner


Wenn Sie Ihre Metadaten im Voraus unseren Security Incident Response-Technikern zur Verfügung stellen, kann dies dazu beitragen, die Profilerstellung zu beschleunigen und das Vertrauen in unsere Triaging-Technologie von Anfang an zu stärken. Dies trägt dazu bei, die Anzahl von Fehlalarmen zu reduzieren, die im Vorfeld festgestellt werden, wenn wir damit beginnen, Ihre Bedrohungserkenntnisse zu erfassen und Ihre „bekanntermaßen gute Welt“ zu schaffen.


**Kontaktinformationen für IR- und SOC-Mitarbeiter**  

| Eintrag | IR \$1 SOC-Personal: Rolle, Name, E-Mail | Primäre und sekundäre Ansprechpartner für Eskalationen | Interne, bekannte CIDR-Bereiche | Externe, bekannte CIDR-Bereiche | Zusätzliche Cloud-Dienstanbieter |  AWS Arbeitsregionen | DNS-Server IPs (falls nicht Amazon Route 53 Resolver) | VPN \$1 Fernzugriffslösungen und IPs | Kritische Anwendungsnamen \$1 Kontonummern | Häufig verwendete ungewöhnliche Ports | EDR \$1 AV \$1 Verwendete Tools für das Schwachstellenmanagement | IDP \$1 Standorte | 
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | 
| 1 | SOC-Kommandeur, John Smith, jsmith@example.com | Primary | 10.0.0.0/16 | 5.5.60.0/20 (Azurblau) | Azure | us-east-1, us-east-2 | – | Direktverbindung, öffentliche VIF 116.32.8.7 | Nginx Webserver (Beispiel kritisch) \$1 1234567890 | 8080 | CrowdStrike Falcon | Entra, Azure | 
|   |   |   |   |   |   |   |   |   |   |   |   |   | 
|   |   |   |   |   |   |   |   |   |   |   |   |   | 
|   |   |   |   |   |   |   |   |   |   |   |   |   | 

Um Metadateninformationen für Ihre Umgebung einzureichen, erstellen Sie einen [AWS Support Fall](https://repost.aws/knowledge-center/get-aws-technical-support).

**Um Metadaten einzureichen**

1. Füllen Sie die Metadatentabelle mit Ihren Umgebungsinformationen aus.

1. Erstellen Sie einen AWS Support Fall mit den folgenden Details:
   + **Art des Falls:** Technisch
   + **Service: Service** zur Reaktion auf Sicherheitsvorfälle
   + **Kategorie:** Andere

1. Hängen Sie die ausgefüllte Metadatentabelle an den Fall an.

# RACI-Matrix
RACI-Matrix

 Die folgende RACI-Matrix definiert Rollen und Verantwortlichkeiten im gesamten Implementierungsprozess von Security Incident Response. RACI steht für Responsible (R), Accountable (A), Consulted (C) und Informed (I). 


| Aktivität | Customer | AWS Kundenbetreuungsteam | SIR-Mannschaft | 
| --- | --- | --- | --- | 
| Vor dem Onboarding | 
| Identifizieren Sie die wichtigsten Stakeholder | R |  | I | 
| Bestätigen Sie die Suche nach Quellen | R | C | I | 
| [EDR-Integration von Drittanbietern] Security Hub CSPM | R | C | I | 
| GuardDuty Validierung/Gesundheitscheck | C | R | I | 
| Ermitteln Sie den Kontobereich | R |  |  | 
| Eskalationsprotokolle einrichten | R | I | C | 
|  AWS Organizations aktivieren | R | C |  | 
| Ordnen Sie Konten zu AWS Organizations | R | I |  | 
| Wählen Sie Delegated Administrator/Security Tooling-Konto aus | R | I |  | 
| Onboarding | 
| Einzelheiten zur Mitgliedschaft einrichten | R | I |  | 
| Exemplarische Vorgehensweise (Einrichtung proaktiver Workflows für Reaktion und Alert-Triaging; Bereitstellung einer serviceverknüpften Rolle für das Verwaltungskonto; Autorisieren von Eindämmungsaktionen) | R | C | I | 
| Konfiguration nach der Bereitstellung | 
| Überprüfen Sie die betrieblichen Integrationsmöglichkeiten | R | C | I | 
| Reichen Sie reaktive Fälle zur Reaktion auf Sicherheitsvorfälle ein | R |  |  | 
|  EventBridge Amazon-Integrationen konfigurieren | R | C | C | 
| Connect Tools von Drittanbietern (Jira, ServiceNow, PagerDuty, Teams usw.) | R | I | C | 
| Tiefer Einblick in den Service und Demo | A | R | C | 

 **RACI-Definitionen:** 
+ **Verantwortlich (R)** — Die Partei, die die Arbeit zur Erledigung der Aufgabe ausführt
+ **Verantwortlich (A) — Die Partei, die letztendlich für die korrekte Ausführung der Aufgabe verantwortlich** ist
+ **Konsultiert (C)** — Die Partei, deren Meinung eingeholt wird und mit der eine wechselseitige Kommunikation besteht
+ **Informiert (I)** — Die Partei, die up-to-date auf dem Laufenden gehalten wird und mit der eine einseitige Kommunikation besteht

# Wählen Sie ein Mitgliedskonto
Wählen Sie ein Mitgliedskonto aus

 Ein Mitgliedskonto ist das AWS Konto, das verwendet wird, um Kontodetails zu konfigurieren, Details für Ihr Incident-Response-Team hinzuzufügen und zu entfernen und in dem alle aktiven und historischen Sicherheitsereignisse erstellt und verwaltet werden können. Es wird empfohlen, dass Sie Ihr AWS Security Incident Response Mitgliedskonto demselben Konto zuordnen, das Sie für Dienste wie Amazon GuardDuty und aktiviert haben AWS Security Hub CSPM. 

 Sie haben zwei Möglichkeiten, Ihr AWS Security Incident Response Mitgliedskonto auszuwählen AWS Organizations. Sie können entweder eine Mitgliedschaft im Verwaltungskonto für Organizations oder in einem delegierten Administratorkonto für Organizations erstellen. 

 **Verwenden Sie das delegierte Administratorkonto:** AWS Security Incident Response Verwaltungsaufgaben und die Fallverwaltung befinden sich im delegierten Administratorkonto. Wir empfehlen, denselben delegierten Administrator zu verwenden, den Sie für andere AWS Sicherheits- und Compliance-Dienste eingerichtet haben. Geben Sie die 12-stellige ID des delegierten Administratorkontos ein und melden Sie sich dann bei diesem Konto an, um fortzufahren. 

**Wichtig**  
 Wenn Sie im Rahmen der Installation ein delegiertes Administratorkonto verwenden, AWS Security Incident Response kann die erforderliche verknüpfte Rolle mit dem Triage-Service nicht automatisch in Ihrem Verwaltungskonto erstellt werden. AWS Organizations   
Sie können das IAM verwenden, um diese Rolle in Ihrem Verwaltungskonto zu erstellen AWS Organizations   
Loggen Sie sich in Ihr AWS Organizations Verwaltungskonto ein.
Greifen Sie mit Ihrer bevorzugten Methode über CLI auf das [AWS CloudShell](https://console.aws.amazon.com/cloudshell/home)Fenster zu oder greifen Sie auf das Konto zu.
Verwenden Sie den CLI-Befehl `aws iam create-service-linked-role --aws-service-name "triage.security-ir.amazonaws.com" --no-cli-pager`
(Optional) Um zu überprüfen, ob der Befehl funktioniert hat, können Sie den Befehl ausführen `aws iam get-role --role-name AWSServiceRoleForSecurityIncidentResponse_Triage`

 **Verwenden Sie das aktuell angemeldete Konto**: Wenn Sie dieses Konto auswählen, wird das aktuelle Konto als zentrales Mitgliedskonto für Ihre AWS Security Incident Response Mitgliedschaft bestimmt. Einzelpersonen in Ihrer Organisation müssen über dieses Konto auf den Service zugreifen, um aktive und gelöste Fälle zu erstellen, darauf zuzugreifen und diese zu verwalten. 

 Stellen Sie sicher, dass Sie über ausreichende Verwaltungsberechtigungen verfügen. AWS Security Incident Response

 Spezifische Schritte zum [Hinzufügen von Berechtigungen finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html). 

 Weitere Informationen finden Sie unter [AWS Security Incident Response Verwaltete Richtlinien](https://docs.aws.amazon.com/security-ir/latest/userguide/aws-managed-policies.html). 

 Gehen Sie wie folgt vor, um IAM-Berechtigungen zu überprüfen: 
+  *Überprüfen Sie die IAM-Richtlinie:* Überprüfen Sie die Ihrem Benutzer, Ihrer Gruppe oder Rolle zugeordnete IAM-Richtlinie, um sicherzustellen, dass sie die erforderlichen Berechtigungen gewährt. Sie können dies tun, indem Sie zu der navigieren [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/), die `Users` Option auswählen, den jeweiligen Benutzer auswählen und dann auf der Übersichtsseite zu der `Permissions` Registerkarte wechseln, auf der Sie eine Liste aller angehängten Richtlinien sehen können. Sie können jede Richtlinienzeile erweitern, um deren Details anzuzeigen. 
+ *Testen Sie die Berechtigungen:* Versuchen Sie, die Aktion auszuführen, die Sie zur Überprüfung der Berechtigungen benötigen. Wenn Sie beispielsweise auf einen Fall zugreifen müssen, versuchen Sie es`ListCases`. Wenn Sie nicht über die erforderlichen Berechtigungen verfügen, erhalten Sie eine Fehlermeldung. 
+  *Verwenden Sie das SDK AWS CLI oder ein SDK:* Sie können das AWS Command Line Interface oder ein AWS SDK in Ihrer bevorzugten Programmiersprache verwenden, um die Berechtigungen zu testen. Mit dem können Sie beispielsweise den `aws sts get-caller-identity` Befehl ausführen AWS Command Line Interface, um Ihre aktuellen Benutzerberechtigungen zu überprüfen. 
+  *Überprüfen Sie die AWS CloudTrail Protokolle:* [Überprüfen Sie die CloudTrail Protokolle](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html), um festzustellen, ob die Aktionen, die Sie ausführen möchten, protokolliert werden. Dies kann Ihnen helfen, etwaige Probleme mit Berechtigungen zu identifizieren. 
+  *Verwenden Sie den IAM-Richtliniensimulator:* [Der IAM-Richtliniensimulator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html) ist ein Tool, mit dem Sie IAM-Richtlinien testen und feststellen können, welche Auswirkungen sie auf Ihre Berechtigungen haben. 

**Anmerkung**  
 Die spezifischen Schritte können je nach AWS Service und den Aktionen, die Sie ausführen möchten, variieren. 

# Einzelheiten zur Mitgliedschaft einrichten
Richten Sie die Mitgliedschaftsdetails ein
+  Wählen Sie einen AWS-Region Ort aus, an dem Ihre Mitgliedschaft und Ihre Fälle gespeichert werden sollen.
**Warnung**  
Sie können die Standardeinstellung AWS-Region nach der ersten Registrierung der Mitgliedschaft nicht ändern.
+ Wählen Sie aus, ob Sie Ihre gesamte Mitgliedschaft oder einen Teil Ihrer AWS Organizations Organisationseinheiten vollständig AWS Organizations oder teilweise abdecken möchten (OUs).
+  Sie können optional einen Namen für diese Mitgliedschaft wählen. 
+  Im Rahmen des Workflows zum Erstellen einer Mitgliedschaft müssen ein primärer und ein sekundärer Kontakt angegeben werden. Diese Kontakte werden automatisch in Ihr Incident-Response-Team aufgenommen. Für eine einzelne Mitgliedschaft müssen mindestens zwei Kontakte vorhanden sein, wodurch auch sichergestellt wird, dass mindestens zwei Kontakte zum Incident-Response-Team gehören. 
+  Definieren Sie optionale Tags für Ihre Mitgliedschaft. Mithilfe von Tags können Sie die AWS Kosten verfolgen und nach Ressourcen suchen. 

# Ordnen Sie Konten zu AWS Organizations
Konten verknüpfen mit AWS Organizations

 Wenn Sie sich AWS Organizations bei der Einrichtung dafür entschieden haben, Ihr gesamtes Konto zuzuordnen, gilt Ihre Mitgliedschaft für alle Mitgliedskonten in der Organisation. Zugeordnete Konten werden automatisch aktualisiert, wenn Konten zu Ihrer Organisation hinzugefügt oder daraus entfernt werden.

 Wenn Sie sich AWS Organizations bei der Einrichtung dafür entschieden haben, einen Teil Ihrer Konten zuzuordnen, und Ihre Mitgliedschaft auf bestimmte Organisationseinheiten (OUs) beschränkt haben, gilt Ihre Mitgliedschaft für alle Konten unter den ausgewählten OUs Konten. Dies schließt Konten ein, die zu den ausgewählten OUs Konten gehören. OUs Zugeordnete Konten werden automatisch aktualisiert, wenn Konten hinzugefügt oder daraus entfernt werden OUs.

 Weitere Informationen zu bewährten Methoden im Zusammenhang mit Organisationseinheiten finden Sie unter [Organisieren Ihrer AWS Umgebung mithilfe mehrerer Konten](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html).

# Richten Sie proaktive Reaktions- und Alert-Triaging-Workflows ein
Richten Sie proaktive Reaktions- und Alert-Triaging-Workflows ein

AWS Security Incident Response überwacht und untersucht Bedrohungswarnungen, die von den CSPM-Integrationen von Amazon GuardDuty und Security Hub generiert wurden. Um diese Funktion nutzen zu können, [ GuardDuty muss Amazon aktiviert sein](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html). AWS Security Incident Response sortiert Warnmeldungen mit niedriger Priorität mithilfe von Serviceautomatisierung aus, sodass sich Ihr Team auf die kritischsten Probleme konzentrieren kann. Weitere Informationen zur AWS Security Incident Response Funktionsweise mit Amazon GuardDuty und AWS Security Hub CSPM finden Sie im Abschnitt [Erkennen und Analysieren](https://docs.aws.amazon.com/security-ir/latest/userguide/detect-and-analyze.html) des Benutzerhandbuchs.

Wenn Sie Probleme beim Onboarding haben, [erstellen Sie einen AWS Support Fall](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case) für zusätzliche Unterstützung. Stellen Sie sicher, dass Sie Details wie die AWS-Konto ID und alle Fehler angeben, die Ihnen während des Einrichtungsvorgangs möglicherweise aufgefallen sind. 

**Anmerkung**  
 Wenn Sie Fragen zu GuardDuty Amazon-Unterdrückungsregeln, Alert-Triaging-Konfigurationen oder proaktiven Reaktionsabläufen haben, können Sie einen AWS unterstützten Fall mit dem Falltyp **Ermittlungen und Anfragen erstellen und** sich an das Team für die Reaktion auf AWS Sicherheitsvorfälle wenden. Weitere Informationen finden Sie unter [Erstellen Sie einen AWS unterstützten Fall](create-an-aws-supported-case.md). 

Mit dieser Funktion können AWS Security Incident Response Sie die Ergebnisse aller betroffenen Konten und aktiven unterstützten AWS Regionen in Ihrem Unternehmen überwachen und untersuchen. Um diese Funktion zu vereinfachen, AWS Security Incident Response wird automatisch eine dienstbezogene Rolle für alle betroffenen Mitgliedskonten innerhalb Ihres AWS Organizations Unternehmens erstellt. Für das Verwaltungskonto müssen Sie die dienstbezogene Rolle jedoch manuell erstellen, um die Überwachung zu aktivieren.

*Der Dienst kann die dienstverknüpfte Rolle im Verwaltungskonto nicht erstellen. Sie müssen diese Rolle manuell im Verwaltungskonto erstellen, indem Sie [mit AWS CloudFormation Stack-Sets arbeiten](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html).*

# Grundlegendes zur automatischen Archivierung mit Proactive Response


Wenn Sie proaktive Reaktion und Alert-Triaging aktivieren, AWS Security Incident Response werden die Sicherheitsergebnisse von Amazon und Security Hub CSPM automatisch überwacht GuardDuty und bewertet. Im Rahmen dieses Auto-Triage-Workflows werden die Ergebnisse automatisch anhand der folgenden Kriterien archiviert:

**Verhalten bei der automatischen Archivierung:**
+ **Gutartige Ergebnisse:** Wenn der Auto-Triage-Prozess feststellt, dass ein Ergebnis harmlos ist (keine echte Sicherheitsbedrohung), wird das Ergebnis AWS Security Incident Response automatisch in Amazon archiviert GuardDuty und Unterdrückungsregeln erstellt, um zu verhindern, dass ähnliche Ergebnisse in future Warnmeldungen auslösen.
+ **Unterdrückungsregeln:** Der Service erstellt Unterdrückungs- und automatische Archivierungsregeln sowohl in Amazon GuardDuty als auch in Security Hub CSPM für Ergebnisse, die den zweifelsfrei funktionierenden Mustern Ihrer Umgebung entsprechen, z. B. erwartete IP-Adressen, IAM-Entitäten und normales Betriebsverhalten.
+ **Geringeres Alarmvolumen:** Organizations, die SIEM-Technologie verwenden, verzeichnen im Laufe der Zeit ein deutlich GuardDuty geringeres Suchvolumen von Amazon, da der Service Ihre Umgebung erkennt und automatisch harmlose Ergebnisse archiviert. Dies verbessert die Effizienz sowohl für den AWS Security Incident Response Service als auch für Ihr SIEM.

**Archivierte Ergebnisse anzeigen:**

Sie können automatisch archivierte Ergebnisse und die Unterdrückungsregeln überprüfen, die erstellt wurden von AWS Security Incident Response:

1. Navigieren Sie zur GuardDuty Amazon-Konsole

1. Wählen Sie **Findings**

1. Wählen Sie im Ergebnisfilter **Archiviert**

1. Überprüfen Sie die Unterdrückungsregeln, indem Sie neben jeder Regel auf den Abwärtspfeil klicken

**Wichtige Überlegungen:**
+ Archivierte Ergebnisse werden 90 Tage lang bei Amazon GuardDuty aufbewahrt und können in diesem Zeitraum jederzeit eingesehen werden.
+ Sie können Unterdrückungsregeln jederzeit über die GuardDuty Amazon-Konsole ändern oder löschen
+ Der Auto-Triage-Prozess passt sich kontinuierlich an Ihre Umgebung an, verbessert die Genauigkeit im Laufe der Zeit und reduziert Fehlalarme

**Eindämmung:** AWS Security Incident Response Kann im Falle eines Sicherheitsvorfalls Eindämmungsmaßnahmen ergreifen, um die Auswirkungen schnell zu mildern, z. B. die Isolierung kompromittierter Hosts oder die Rotation von Zugangsdaten. Security Incident Response aktiviert standardmäßig keine Eindämmungsfunktionen. Um diese Eindämmungsmaßnahmen auszuführen, müssen Sie dem Service zunächst die erforderlichen Berechtigungen erteilen. Dies kann durch die Bereitstellung von erreicht werden [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html), wodurch die erforderlichen Rollen erstellt werden.