Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Benutzeraufgaben
**Topics**
+ [Dashboard](dashboard.md)
+ [Ich verwalte mein Incident Response Team](managing-my-incident-response-team.md)
# Dashboard
Auf der AWS Security Incident Response Konsole bietet Ihnen das Dashboard einen Überblick über Ihr Incident-Response-Team, Ihren proaktiven Reaktionsstatus und eine fortlaufende Anzahl von Fällen über vier Wochen.
Wählen Sie **Incident Response Team anzeigen** aus, um auf Details zu Ihren Incident-Response-Teamkollegen zuzugreifen.
Im Bereich *Meine Fälle* des Dashboards wird die Anzahl der geöffneten und geschlossenen AWS unterstützten Fälle sowie die Anzahl der selbst verwalteten Fälle angezeigt, die Ihnen innerhalb eines bestimmten Zeitraums zugewiesen wurden. Außerdem wird die durchschnittliche Zeit, die zur Lösung der abgeschlossenen Fälle benötigt wurde, in Stunden angezeigt.
# Ich verwalte mein Incident Response Team
Ihr Incident-Response-Team besteht aus Stakeholdern für den Incident-Response-Prozess. Im Rahmen Ihrer Mitgliedschaft können Sie bis zu zehn Stakeholder konfigurieren.
Zu den internen Stakeholdern gehören beispielsweise Mitglieder Ihres Incident-Response-Teams, Sicherheitsanalysten, Anwendungseigentümer und Ihr Sicherheitsteam.
Zu den externen Stakeholdern gehören beispielsweise Personen von unabhängigen Softwareanbietern (ISV) und Managed Service Providern (MSP), die Sie in einen Incident-Response-Prozess einbeziehen möchten.
**Anmerkung**
Durch die Einrichtung Ihres Incident-Response-Teams erhalten Teammitglieder nicht automatisch Zugriff auf Serviceressourcen wie Mitgliedschaften und Fälle. Sie können AWS verwaltete Richtlinien verwenden AWS Security Incident Response , um Lese- und Schreibzugriff auf Ressourcen zu gewähren. [ Klicken Sie hier, um mehr zu erfahren.](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)
Ihre auf einer Mitgliedschaftsstufe angegebenen Teammitglieder für die Reaktion auf Vorfälle werden automatisch zu jedem Fall hinzugefügt. Sie können jederzeit einzelne Teammitglieder hinzufügen oder entfernen, nachdem ein Fall erstellt wurde.
Das Incident-Response-Team erhält eine E-Mail-Benachrichtigung über die Ereignisse, die in den [Kommunikationseinstellungen](https://docs.aws.amazon.com/security-ir/latest/APIReference/API_IncidentResponder.html#securityir-Type-IncidentResponder-communicationPreferences) aufgeführt sind.
# Kommunikationspräferenzen
Konfigurieren Sie Ihre Kommunikationseinstellungen, um zu steuern, wie Sie bei Sicherheitsvorfällen Benachrichtigungen erhalten und mit dem Incident-Response-System interagieren.
Auf der Dashboard-Seite können Sie die Kommunikationspräferenzen für einzelne Personen in Ihrem Incident-Response-Team konfigurieren.
Gehen Sie wie folgt vor, um die Kommunikationseinstellungen für Teammitglieder zu verwalten:
1. Navigieren Sie von Ihrem Dashboard aus zur Seite des Incident Response Teams
1. Führen Sie eine der folgenden Aktionen aus:
+ **Um ein vorhandenes Teammitglied zu aktualisieren: Wählen Sie das Teammitglied aus, dessen Kommunikationseinstellungen Sie ändern möchten, und wählen Sie dann Bearbeiten**
+ **Um ein neues Teammitglied hinzuzufügen: Wähle Hinzufügen**
1. Am Ende des Formulars sehen Sie Kommunikation
1. Wählen Sie die Kontrollkästchen für Mitteilungen aus, die Sie erhalten möchten
1. Deaktivieren Sie die Kontrollkästchen für Mitteilungen, die Sie nicht erhalten möchten
![\[alt text not found\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/CommPref.png)
1. Speichern Sie Ihre Änderungen
![\[alt text not found\]](http://docs.aws.amazon.com/de_de/security-ir/latest/userguide/images/CommPreferencesDashboard.png)
Standardmäßig ist für Mitglieder des Incident-Response-Teams die gesamte Kommunikation aktiviert. Sie können diese Einstellungen jederzeit mit den oben genannten Schritten ändern.
Ihre Kommunikationseinstellungen steuern, wie Sie mit dem Incident Response System interagieren und wie Ihnen bei Sicherheitsvorfällen Benachrichtigungen zugestellt werden.
**Anmerkung**
Diese Einstellungen gelten für die gesamte future Kommunikation innerhalb des Security Incident Response-Systems. Sie können diese Einstellungen jederzeit ändern, indem Sie die obigen Schritte wiederholen.
# Kontozuweisung zu AWS Organizations
Wenn Sie die Option aktivieren AWS Security Incident Response, haben Sie die Möglichkeit, Ihre gesamte Organisation oder bestimmte Organisationseinheiten auszuwählen (OUs). Wenn bestimmte Konten ausgewählt OUs sind, deckt Ihre Mitgliedschaft nur die Konten ab, die zu den ausgewählten Konten gehören OUs. Wenn die gesamte Organisation ausgewählt ist, deckt Ihre Mitgliedschaft alle Konten innerhalb Ihrer Organisation ab.
Weitere Informationen finden Sie unter [AWS Security Incident Response Konten verwalten mit AWS Organizations](https://docs.aws.amazon.com/security-ir/latest/userguide/security-ir-organizations.html).
# Verwaltung Ihres Mitgliedschaftsschutzes
Sie können Ihre Versicherungsoption jederzeit ändern, einschließlich der Umstellung vom unternehmensweiten Versicherungsschutz auf einen spezifischen Versicherungsschutz. OUs
# Aktualisierung von OU-Zuordnungen
So verwalten Sie den Versicherungsschutz Ihrer Mitgliedschaft:
1. Navigieren Sie zur Seite mit den Einstellungen für die Kontoverknüpfung
1. Wählen Sie **Hinzufügen** aus OUs, um das auszuwählen, was OUs Sie mit Ihrer Mitgliedschaft verknüpfen möchten
1. Wählen OUs Sie die aus, die Sie mit Ihrer Mitgliedschaft verknüpfen möchten
1. Klicken Sie auf **Zuordnung aktualisieren**, um die OU-Zuordnung in Ihrer Mitgliedschaft zu speichern
Nachdem Sie Ihre Verknüpfungen aktualisiert haben, können Sie zur gleichen Seite zurückkehren und alle Verknüpfungen entfernen OUs , die Sie von Ihrer Mitgliedschaft trennen möchten. Diese Flexibilität gilt auch dann, wenn Sie zunächst Ihre gesamte Organisation ausgewählt haben. Sie können Ihre Mitgliedschaft später so aktualisieren, dass sie nur bestimmte Bereiche abdeckt, OUs ohne den Service kündigen und erneut aktivieren zu müssen.
Weitere Informationen finden Sie unter [Mitgliedschaft mit Organisationseinheiten verwalten](https://docs.aws.amazon.com/security-ir/latest/userguide/managing-membership-with-ou.html) (). OUs
# Wichtige Überlegungen
**Konten direkt unter dem Stammverzeichnis**: Wenn Sie bestimmte Konten OUs für Ihre Mitgliedschaft auswählen, werden Konten, die sich direkt unter dem Stammverzeichnis der Organisation befinden (nicht Teil einer Organisationseinheit), nicht mit Ihrer Mitgliedschaft verknüpft. Um diese Konten in den Geltungsbereich Ihrer Mitgliedschaft aufzunehmen, müssen Sie sie zunächst einer Organisationseinheit hinzufügen und diese dann Ihrer Mitgliedschaft zuordnen.
**Anmerkung**
Wir verbessern kontinuierlich die Benutzererfahrung der OU Association, um den Vorgang intuitiver und selbsterklärender zu gestalten.
# Überwachung und Untersuchung
AWS Security Incident Response überprüft und sortiert Sicherheitswarnungen von Amazon GuardDuty und konfiguriert dann Unterdrückungsregeln auf der Grundlage Ihrer Umgebung AWS Security Hub CSPM, um unnötige Warnungen zu verhindern. Das AWS Security Incident Response Engineering-Team (SIRE) untersucht die Ergebnisse und eskaliert und leitet Ihr Team schnell an, um potenzielle Probleme schnell einzudämmen. Falls gewünscht, können Sie die AWS Security Incident Response Genehmigung zur Durchführung von Eindämmungsmaßnahmen in Ihrem Namen erteilen.
AWS Security Incident Response entspricht dem NIST 800-61r2 [https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final). Die Ausrichtung an diesem Industriestandard AWS Security Incident Response bietet einen konsistenten Ansatz für das Management von Sicherheitsereignissen und die Einhaltung bewährter Verfahren bei der Absicherung und Reaktion auf Sicherheitsereignisse in Ihrer Umgebung. AWS
Wenn eine AWS Security Incident Response Sicherheitswarnung erkannt wird oder Sie Sicherheitsunterstützung anfordern, untersucht das AWS SIRE das Problem. Das Team sammelt Protokollereignisse und Servicedaten wie GuardDuty Warnmeldungen, sortiert und analysiert diese Daten, führt Maßnahmen zur Behebung und Eindämmung durch und erstellt Berichte nach dem Vorfall.
**Topics**
+ [Vorbereitung](prepare.md)
+ [Erkennen und Analysieren](detect-and-analyze.md)
+ [KI-Ermittlungsagent](ai-investigative-agent.md)
+ [Enthalten](contain.md)
+ [Ausrotten](eradicate.md)
+ [Wiederherstellung](recover.md)
+ [Bericht nach dem Vorfall](post-incident-report.md)
# Vorbereitung
Das AWS Security Incident Response Team untersucht und arbeitet während des gesamten Lebenszyklus der Reaktion auf Sicherheitsereignisse mit Ihnen zusammen. Es wird empfohlen, dieses Team zusammenzustellen und die erforderlichen Berechtigungen zuzuweisen, bevor ein Sicherheitsereignis eintritt.
# Erkennen und Analysieren
**Ein Ereignis melden**
Sie können über das AWS Security Incident Response Portal ein Sicherheitsereignis auslösen. Es ist wichtig, während eines Sicherheitsereignisses nicht zu warten. AWS Security Incident Response verwendet automatisierte und manuelle Techniken, um Sicherheitsereignisse zu untersuchen, Protokolle zu analysieren und nach anomalen Mustern zu suchen. Ihre Partnerschaft und Ihr Verständnis Ihrer Umgebung beschleunigen diese Analyse.
**Aktivierung unterstützter Erkennungsquellen**
**Anmerkung**
AWS Security Incident Response Die Servicekosten beinhalten keine Nutzungs- und sonstigen Kosten und Gebühren im Zusammenhang mit unterstützten Erkennungsquellen oder der Nutzung anderer AWS Dienste. Einzelheiten zu den Kosten finden Sie auf den Seiten der einzelnen Funktionen oder Dienste.
*Amazon GuardDuty*
Informationen zur Aktivierung GuardDuty in Ihrer gesamten Organisation finden Sie im `Setting up GuardDuty` Abschnitt des [ GuardDuty Amazon-Benutzerhandbuchs](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html#guardduty_enable-gd).
Wir empfehlen Ihnen dringend, alle unterstützten GuardDuty Optionen zu aktivieren AWS-Regionen. Auf diese Weise können GuardDuty Sie auch in Regionen, die Sie nicht aktiv nutzen, Erkenntnisse über unbefugte oder ungewöhnliche Aktivitäten gewinnen. Weitere Informationen finden Sie unter [ GuardDuty Amazon-Regionen und -Endpunkte](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_regions.html)
GuardDuty Die Aktivierung ermöglicht AWS Security Incident Response den Zugriff auf wichtige Daten zur Bedrohungserkennung und verbessert so die Fähigkeit, potenzielle Sicherheitsprobleme in Ihrer AWS Umgebung zu erkennen und darauf zu reagieren.
*AWS Security Hub CSPM*
Security Hub CSPM kann Sicherheitsergebnisse von verschiedenen AWS Diensten und unterstützten Sicherheitslösungen von Drittanbietern aufnehmen. Diese Integrationen können dabei helfen, Ergebnisse anderer Erkennungstools zu AWS Security Incident Response überwachen und zu untersuchen.
Informationen zur Aktivierung von Security Hub CSPM mit Organisationsintegration finden Sie im [AWS Security Hub CSPM Benutzerhandbuch](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html#securityhub-orgs-setup-overviews).
Es gibt mehrere Möglichkeiten, Integrationen auf Security Hub CSPM zu aktivieren. Für Integrationen von Drittanbieterprodukten müssen Sie die Integration möglicherweise bei der erwerben und AWS Marketplace anschließend konfigurieren. Die Integrationsinformationen enthalten Links, mit denen Sie diese Aufgaben ausführen können. Erfahren Sie mehr darüber[, wie Sie AWS Security Hub CSPM Integrationen aktivieren](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integration-enable.html) können.
AWS Security Incident Response kann die Ergebnisse der folgenden Tools überwachen und untersuchen, wenn diese integriert AWS Security Hub CSPM sind:
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-crowdstrike-falcon](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-crowdstrike-falcon)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-lacework](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-lacework)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-trend-micro](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-trend-micro)
Durch die Aktivierung dieser Integrationen können Sie den Umfang und die Effektivität der Überwachungs- und AWS Security Incident Response Ermittlungsfunktionen erheblich verbessern.
**Erkennung**
Wenn „Proactive Response“ aktiviert ist, [https://docs.aws.amazon.com/security-ir/latest/userguide/setup AWS Security Incident Response nimmt monitoring-and-investigation-workflows .html](https://docs.aws.amazon.com/security-ir/latest/userguide/setup-monitoring-and-investigation-workflows.html) Ergebnisse von Amazon GuardDuty und AWS Security Hub CSPM anhand von EventBridge Amazon-Regeln auf, die während des Onboardings auf Ihre Konten übertragen werden.
AWS Security Incident Response archiviert automatisch GuardDuty Amazon-Ergebnisse, die während der automatisierten Triage als harmlos eingestuft wurden oder mit erwarteten Aktivitäten in Verbindung stehen. Sie können archivierte Ergebnisse in der GuardDuty Amazon-Konsole anzeigen, indem Sie im Filter Status der Ergebnisse die Option Archiviert auswählen. Weitere Informationen finden Sie im * GuardDuty Amazon-Benutzerhandbuch* unter [Generierte Ergebnisse in der GuardDuty Konsole anzeigen](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_working-with-findings.html).
AWS Security Incident Response archiviert automatisch GuardDuty Amazon-Ergebnisse, die während der automatisierten Triage als harmlos eingestuft wurden oder mit erwarteten Aktivitäten in Verbindung stehen. Diese Archivierung erfolgt nur für Ergebnisse, die einer Triage unterzogen wurden und deren Ergebnis als „Archiv“ bezeichnet wurde. Ergebnisse, die derzeit untersucht werden, bleiben auch nach Abschluss einer Untersuchung in der GuardDuty Amazon-Konsole sichtbar. Sie können archivierte Ergebnisse in der GuardDuty Amazon-Konsole anzeigen, indem Sie im Ergebnisfilter **Archiviert** auswählen. Weitere Informationen zur Arbeit mit archivierten Ergebnissen finden Sie unter [Arbeiten mit Ergebnissen](https://docs.aws.amazon.com/guardduty/latest/ug/findings_managing.html) im * GuardDuty Amazon-Benutzerhandbuch*.
Bei AWS Security Hub CSPM der Erfassung von Sicherheitsergebnissen aktualisiert das System jedes Ergebnis mit einem Hinweis, dass die automatische Prüfung begonnen hat. Der Workflow-Status ändert sich von NEU in BENACHRICHTIGT, wodurch das Ergebnis aus der Standardansicht der AWS Security Hub CSPM Ergebnisse entfernt wird. Wenn die Triage feststellt, dass ein Ergebnis harmlos ist oder mit einer erwarteten Aktivität zusammenhängt, fügt das System dem Ergebnis eine Notiz hinzu und aktualisiert den Workflow-Status auf UNTERDRÜCKT.
**Analyse: Automatisierte Triage**
AWS Security Incident Response analysiert automatisch Sicherheitsresultate. Der Triage-Prozess bestimmt, ob die erkannte Aktivität dem erwarteten Verhalten entspricht, indem Daten aus mehreren Quellen analysiert werden, darunter die gefundene Nutzlast, AWS Dienstmetadaten, AWS Protokollierungs- und Überwachungsdaten (wie AWS CloudTrail VPC-Flow-Logs), AWS Bedrohungsinformationen und den Kontext, den Sie über Ihre AWS und Ihre lokalen Umgebungen bereitstellen können.
Wenn die automatische Triage feststellt, dass die erkannte Aktivität erwartet wird, ergreift das System keine weiteren Ermittlungsmaßnahmen.
**Analyse: Reaktion auf Sicherheitsvorfälle**
AWS Security Incident Response Engineering ist ein globales, stets verfügbares Team von Sicherheitsexperten mit Fachwissen in der Reaktion auf Sicherheitsvorfälle AWS und der Reaktion auf Sicherheitsvorfälle. Wenn durch die automatische Triage nicht festgestellt werden kann, dass die Aktivität erwartet wird, wird die AWS Security Incident Response technische Abteilung mit der Durchführung einer Sicherheitsuntersuchung beauftragt. Wenn das Ereignis von Security Hub aufgenommen wurde, wird ein Hinweis zu dem entsprechenden Ergebnis veröffentlicht, der besagt, dass die Untersuchung durch AWS Security Incident Response Engineering im Gange ist.
AWS Security Incident Response Engineering führt eine praktische Sicherheitsuntersuchung durch, indem es zusätzliche Servicemetadaten und Bedrohungsinformationen analysiert, Erkenntnisse aus früheren Erkenntnissen und Untersuchungen in Ihrer Umgebung überprüft und Fachwissen zur Reaktion auf Vorfälle einsetzt. Abhängig von Ihren Containment-Einstellungen (siehe Contain) kann AWS Security Incident Response Engineering das Incident Response Team Ihres Unternehmens anhand eines Security Incident Response-Falls in der AWS Security Incident Response Konsole kontaktieren, um zu überprüfen, ob die erkannte Aktivität erwartet und autorisiert ist. [Reaktion auf einen AWS](https://docs.aws.amazon.com/security-ir/latest/userguide/responding-to-an-aws-generated-case.html) generierten Fall.
**Kommunizieren**
AWS Security Incident Response hält Sie bei Sicherheitsuntersuchungen auf dem Laufenden, indem es Ihr Incident Response-Team im Rahmen eines Security Incident Response-Falls kontaktiert. Eine Untersuchung kann von mehreren AWS Security Incident Response Technikern unterstützt werden. Die Kommunikation kann Folgendes umfassen: Bestätigung oder Benachrichtigung über die Einleitung einer Sicherheitsuntersuchung, Einrichtung einer Call Bridge, Analyse von Artefakten wie Protokolldateien, Anfragen zur Bestätigung erwarteter Aktivitäten und Weitergabe von Untersuchungsergebnissen.
Wenn Sie Ihr Incident-Response-Team AWS Security Incident Response proaktiv einbeziehen, wird ein Fall in Ihrem AWS Security Incident Response Mitgliedskonto erstellt, wodurch die Kommunikation für alle Unternehmenskonten an einem Ort zentralisiert wird. Diese Fälle enthalten das Präfix „[Proactive case]“ im Titel, wodurch sie als initiiert von identifiziert werden. AWS Security Incident Response Indem Ihr Incident-Response-Team aktiv auf diese Mitteilungen eingeht und zeitnah darauf reagiert, kann es Sie bei folgenden Aufgaben unterstützen AWS Security Incident Response :
+ Sorgen Sie für eine schnelle Reaktion auf echte Sicherheitsvorfälle.
+ Machen Sie sich mit Ihrer Umgebung und den erwarteten Verhaltensweisen vertraut.
+ Reduzieren Sie im Laufe der Zeit die Anzahl falsch positiver Erkennungen.
Die Effektivität von AWS Security Incident Response verbessert sich mit Ihrer Zusammenarbeit und führt zu einer besser überwachten und sichereren AWS Umgebung.
**Aktualisierung der Ergebnisse**
AWS Security Incident Response verwaltet Ergebnisse je nach Quelle und Ergebnis der Triage unterschiedlich.
**Optimierung der Dienste**
Wenn Ihre Kontoservice-Kontingente dies zulassen, wird AWS Security Incident Response versucht, eine [ GuardDuty Amazon-Unterdrückungsregel](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html) oder eine [AWS Security Hub CSPM Automatisierungsregel](https://docs.aws.amazon.com/securityhub/latest/userguide/automation-rules.html) bereitzustellen. Diese Regeln unterdrücken future Ergebnisse, die dem Typ und der Quelle bekannter autorisierter Aktivitäten entsprechen (z. B. Quell-IP-Adresse, ASN, Identity Principal oder Ressource). AWS Security Hub CSPM Regeln werden mit Priorität 10 bereitgestellt, sodass Sie diese Automatisierungen bei Bedarf mit selbst definierten Regeln außer Kraft setzen können.
Auf diese Weise stimmen Sie die AWS Security Incident Response Erkennungsquellen auf der Grundlage des erwarteten Verhaltens in Ihrer AWS Umgebung ab. Ihr Incident Response Team wird über Änderungen an diesen Regelsätzen informiert, und Änderungen werden auf Anfrage rückgängig gemacht.
# KI-Ermittlungsagent
## -Übersicht
Der KI-gestützte Ermittlungsagent arbeitet mit Kunden und AWS Security Incident Response Ingenieuren zusammen, um Sicherheitsuntersuchungen zu beschleunigen. Wenn ein Kunde einen AWS unterstützten Fall erstellt, wird der Agent automatisch parallel zum Einsatz des Security Incident Response-Technikers aktiviert, wodurch die Lösungszeit von Tagen auf Stunden reduziert wird.
Bei Kundeneskalationen können Fälle zur Reaktion auf Sicherheitsvorfälle von Ihnen oder proaktiv von Ihnen erstellt werden. AWS Security Incident Response Wenn ein neuer AWS unterstützter Fall erstellt wird, wird der Investigative Agent automatisch ausgelöst. Sie können alle Fälle über die Konsole, API oder EventBridge Amazon-Integrationen verwalten.
**Die wichtigsten Vorteile**
+ **Parallele Untersuchung** — Der Agent arbeitet gleichzeitig mit den Einsatzkräften zusammen und bietet sowohl KI-gestützte Automatisierung als auch menschliches Fachwissen.
+ **Automatisierte Beweiserhebung** — Eliminiert die manuelle Protokollanalyse durch automatische Abfragen AWS CloudTrail, IAM, Amazon EC2 und Cost Explorer.
+ **Benutzeroberfläche in natürlicher Sprache** — Beschreiben Sie Sicherheitsbedenken in einfacher Sprache, ohne dass Sie sich mit Protokollformaten auskennen müssen. AWS
+ **Schnellere Reaktion** — Zusammenfassungen der Ermittlungen sind innerhalb weniger Minuten auf der Registerkarte Untersuchung verfügbar.
+ **Vollständige Überprüfbarkeit** — Alle Agentenaktionen werden AWS CloudTrail unter der `AWSServiceRoleForSupport` Rolle protokolliert.
**Wichtig**
Diese Funktion ist nur für Fälle verfügbar, die von AWS-unterstützt werden. Selbstverwaltete Fälle beinhalten keine KI-Ermittlungsfunktionen.
## Funktionsweise
Der KI-Ermittlungsagent folgt bei der Analyse AWS unterstützter Sicherheitsfälle einem strukturierten Arbeitsablauf:
**Arbeitsablauf bei der Untersuchung**
1. **Fallerstellung** — Der Kunde erstellt in der Security Incident Response-Konsole einen AWS unterstützten Fall, in dem das Sicherheitsproblem beschrieben wird.
1. **Parallele Aktivierung**
+ Die Techniker für die Reaktion auf Sicherheitsvorfälle befassen sich mit dem Fall.
+ Gleichzeitig beginnt der KI-Agent mit seinem Ermittlungsablauf.
1. **Kontextfragen (optional)** — Der Agent kann klärende Fragen stellen, um spezifische Informationen zu erhalten:
+ AWS Betroffenes Konto IDs
+ Beteiligte IAM-Prinzipale (Benutzer, Rollen, Zugriffsschlüssel)
+ Spezifische Ressourcen-Identifikatoren (S3-Buckets, EC2-Instances,) ARNs
+ Zeitrahmen verdächtiger Aktivitäten
1. **Erfassung von Beweisen** — Der Agent fragt automatisch AWS Datenquellen ab:
+ *AWS CloudTrail*— API-Aufrufe und Aktivitäten im Zusammenhang mit dem Vorfall
+ *IAM* — Benutzer- und Rollenberechtigungen, Richtlinienänderungen und Erstellung neuer Identitäten
+ *Amazon EC2 EC2-Instance APIs* — Informationen zu Rechenressourcen, falls betroffen
+ *Cost Explorer* — Kosten- und Nutzungskennzahlen für ungewöhnlichen Ressourcenverbrauch
1. **Analyse und Korrelation** — Der Agent korreliert Beweise für verschiedene Dienste, identifiziert Muster und erstellt einen Zeitplan für Ereignisse.
1. **Generierung von Zusammenfassungen** — Innerhalb weniger Minuten präsentiert der Agent auf der Registerkarte Untersuchung eine umfassende Zusammenfassung der Untersuchung.
**Anmerkung**
Alle Felder sind optional. Wenn innerhalb von 10 Minuten keine Antwort erfolgt, wird die Untersuchung automatisch gestartet. In einigen Fällen, wenn bereits ausreichende Informationen verfügbar sind, kann der Mitarbeiter die optionalen Fragen vollständig überspringen.
**Zugriff auf Untersuchungsergebnisse**
So sehen Sie sich die KI-Analyse an:
1. Navigieren Sie in der Security Incident Response-Konsole zu Ihrem Fall.
1. Wählen Sie den Tab **Investigation** aus.
1. Sehen Sie sich die Zusammenfassung der Untersuchung mit Ergebnissen, Zeitplan und Kontext an.
Die Zusammenfassung der KI-Ermittlungsbeamten wird automatisch als Kommentar im Bereich **Kommunikation** des Falls veröffentlicht, sodass sie zusammen mit anderen Fallaktualisierungen leicht überprüft werden kann.
**Datenzugriff und Berechtigungen**
Der KI-Ermittlungsagent verwendet die `AWSServiceRoleForSupport` serviceverknüpfte Rolle, um auf AWS Ressourcen zuzugreifen. Diese Rolle bietet nur Leseberechtigungen, die für die Beweiserhebung erforderlich sind.
Alle vom Agenten ausgeführten Aktionen werden angemeldet AWS CloudTrail, sodass Kunden genau überprüfen können, auf welche Daten während der Untersuchung zugegriffen wurde. In den AWS CloudTrail Protokollen werden diese Aktionen zugeordnet`AWSServiceRoleForSupport`.
## Voraussetzungen
Bevor Sie die KI-gestützten Ermittlungsfunktionen nutzen, stellen Sie Folgendes sicher:
**Erforderliches Setup**
+ **AWS Security Incident Response aktiviert** — Der Dienst muss über das AWS Organizations Verwaltungskonto aktiviert werden.
+ **AWS unterstützter Falltyp** — Die KI-Untersuchung ist nur für AWS unterstützte Fälle (nicht für selbst verwaltete Fälle) verfügbar.
+ **AWSServiceRoleForSupport**— Diese dienstbezogene Rolle wird automatisch erstellt und gewährt dem Ermittler die erforderlichen Berechtigungen.
**Erforderliche **-Berechtigungen
Um AWS unterstützte Fälle zu erstellen und auf Untersuchungsergebnisse zuzugreifen, benötigt der IAM-Principal die folgenden Berechtigungen:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"security-ir:CreateCase",
"security-ir:GetCase",
"security-ir:ListCases",
"security-ir:UpdateCase"
],
"Resource": "*"
}
]
}
```
## Den Ermittlungsagenten verwenden
Der KI-Ermittlungsagent wird automatisch aktiviert, wenn ein Fall erstellt wird, der von der KI AWS unterstützt wird.
**Um den Fortschritt der KI-Untersuchung zu überwachen**
1. Öffnen Sie Ihren Fall in der AWS Security Incident Response Konsole.
1. Wählen Sie den Tab **Untersuchung**.
1. Zeigen Sie den Status der Untersuchung an (*In Bearbeitung* oder *Abgeschlossen*).
1. Lesen Sie nach Abschluss die umfassende Zusammenfassung der Untersuchung mit Ergebnissen, Zeitplan und Empfehlungen.
**Verantwortungsvolle Offenlegung von KI**
Zusammenfassungen von Untersuchungen werden mithilfe AWS generativer KI-Funktionen erstellt. Sie sind dafür verantwortlich, KI-generierte Empfehlungen in Ihrem spezifischen Kontext zu bewerten, geeignete Aufsichtsmechanismen zu implementieren, die Ergebnisse unabhängig zu verifizieren und die menschliche Aufsicht über alle Sicherheitsentscheidungen aufrechtzuerhalten.
**Verwendung von Kundendaten**
AI Investigative Agent verwendet keine Kundendaten für Modelltrainings und gibt Kundendaten nicht an Dritte weiter.
# Enthalten
AWS Security Incident Response arbeitet mit Ihnen zusammen, um Ereignisse einzudämmen. Sie können den Service so konfigurieren, dass er als Reaktion auf Sicherheitslücken proaktive Eindämmungsmaßnahmen in Ihrem Konto ergreift. Sie können die Eindämmung auch selbst oder in Partnerschaft mit Ihren Partnern durchführen, indem Sie die unter [Unterstützte](https://docs.aws.amazon.com/security-ir/latest/userguide/supported-containment-actions.html) Sicherheitsmaßnahmen beschriebenen [SSM-Dokumente](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-runbook-reference.html) verwenden.
**Wichtig**
AWS Security Incident Response aktiviert standardmäßig keine Containment-Funktionen.
Zwei Schritte sind erforderlich, um proaktive Eindämmungsfunktionen zu aktivieren:
**Erteilen Sie dem Service mithilfe von IAM-Rollen die erforderlichen Berechtigungen**. Sie können diese Rollen einzeln pro Konto oder für Ihre gesamte Organisation erstellen, indem Sie mit AWS CloudFormation Stacksets arbeiten, die die erforderlichen Rollen erstellen.
**Definieren Sie Ihre Containment-Einstellungen** pro Konto oder unternehmensweit, um proaktive Eindämmungsmaßnahmen zu autorisieren. Einstellungen auf Kontoebene haben Vorrang vor Einstellungen auf Organisationsebene. Dies kann durch die Erstellung eines AWS Support-Falls (technisch: Security Incident Response Service/Other) geschehen. Die verfügbaren Containment-Einstellungen sind:
**Genehmigung erforderlich (Standard):** Führen Sie keine proaktive Eingrenzung von Ressourcen ohne ausdrückliche Genehmigung auf einer case-by-case bestimmten Grundlage durch.
**Bestätigt eindämmen: Führt** eine proaktive Eingrenzung einer Ressource durch, bei der bestätigt wurde, dass sie gefährdet ist.
**Vermuteten Schaden eindämmen:** Führen Sie eine proaktive Eingrenzung einer Ressource durch, bei der die Wahrscheinlichkeit hoch ist, dass sie gefährdet wurde, und zwar auf der Grundlage einer Analyse durch AWS Security Incident Response Engineering.
# Entscheidungsfindung bei der Eindämmung
Ein wesentlicher Bestandteil der Eindämmung ist die Entscheidungsfindung, z. B. ob ein System heruntergefahren, eine Ressource vom Netzwerk isoliert, der Zugriff deaktiviert oder Sitzungen beendet werden sollen. Diese Entscheidungen werden einfacher, wenn es vorher festgelegte Strategien und Verfahren gibt, um das Ereignis einzudämmen. AWS Security Incident Response liefert die Eindämmungsstrategie, informiert Sie über mögliche Auswirkungen und unterstützt Sie bei der Implementierung der Lösung erst, nachdem Sie die damit verbundenen Risiken abgewogen und ihnen zugestimmt haben.
# Unterstützte Eindämmungsmaßnahmen
AWS Security Incident Response führt in Ihrem Namen unterstützte Eindämmungsmaßnahmen aus, um die Reaktion zu beschleunigen und die Zeit zu verkürzen, die ein Bedrohungsakteur benötigt, um in Ihrer Umgebung potenziell Schaden anzurichten. Diese Funktion ermöglicht eine schnellere Abwehr identifizierter Bedrohungen, minimiert potenzielle Auswirkungen und verbessert Ihre allgemeine Sicherheitslage. Je nach den zu analysierenden Ressourcen gibt es unterschiedliche Eindämmungsoptionen. Die unterstützten Eindämmungsmaßnahmen werden in den folgenden Unterabschnitten beschrieben.
# EC2-Eindämmung
Die `AWSSupport-ContainEC2Instance` Containment-Automatisierung führt eine umkehrbare Netzwerkeindämmung einer EC2-Instance durch, wobei die Instance intakt bleibt und läuft, sie jedoch von jeder neuen Netzwerkaktivität isoliert wird und verhindert, dass sie mit Ressourcen innerhalb und außerhalb Ihrer VPC kommuniziert.
**Wichtig**
Es ist wichtig zu beachten, dass bestehende nachverfolgte Verbindungen nicht aufgrund von wechselnden Sicherheitsgruppen geschlossen werden — nur future Datenverkehr wird durch die neue Sicherheitsgruppe und dieses SSM-Dokument effektiv blockiert. Weitere Informationen finden Sie im Abschnitt [Source Containment](https://docs.aws.amazon.com/security-ir/latest/userguide/source-containment.html) des technischen Leitfadens zum Service.
# IAM-Eindämmung
Die `AWSSupport-ContainIAMPrincipal` Containment-Automatisierung führt eine umkehrbare Netzwerkeindämmung eines IAM-Benutzers oder einer IAM-Rolle durch, sodass der Benutzer oder die Rolle in IAM verbleibt, sie jedoch von der Kommunikation mit Ressourcen in Ihrem Konto isoliert wird.
# S3-Eindämmung
Die `AWSSupport-ContainS3Resource` Containment-Automatisierung führt eine umkehrbare Beschränkung eines S3-Buckets durch, wobei die Objekte im Bucket belassen und der Amazon S3-Bucket oder das Amazon S3-Objekt durch Änderung seiner Zugriffsrichtlinien isoliert werden.
# Entwicklung von Eindämmungsstrategien
AWS Security Incident Response ermutigt Sie, für jede Art von Großereignis Eindämmungsstrategien in Betracht zu ziehen, die Ihrer Risikobereitschaft entsprechen. Dokumentieren Sie klare Kriterien, um Ihnen bei der Entscheidungsfindung während einer Veranstaltung zu helfen. Zu den zu berücksichtigenden Kriterien gehören:
+ Mögliche Schäden an Ressourcen
+ Beweissicherung und regulatorische Anforderungen
+ Nichtverfügbarkeit von Diensten (z. B. Netzwerkkonnektivität, Dienste, die für externe Parteien bereitgestellt werden)
+ Zeit und Ressourcen, die für die Umsetzung der Strategie benötigt wurden
+ Wirksamkeit der Strategie (z. B. teilweise oder vollständige Eindämmung)
+ Dauerhaftigkeit der Lösung (z. B. reversibel oder irreversibel)
+ Dauer der Lösung (z. B. Notfall-Problemumgehung, vorübergehende Behelfslösung, permanente Lösung)
Wenden Sie Sicherheitskontrollen an, die das Risiko verringern und Zeit für die Definition und Umsetzung einer effektiveren Eindämmungsstrategie bieten.
# Stufenweiser Eindämmungsansatz
AWS Security Incident Response empfiehlt einen schrittweisen Ansatz zur Erreichung einer effizienten und wirksamen Eindämmung, der je nach Ressourcentyp kurz- und langfristige Strategien umfasst.
# Strategie zur Eindämmung
**Kann der Umfang des Sicherheitsereignisses AWS Security Incident Response ermittelt werden?**
+ Falls ja, identifizieren Sie alle Ressourcen (Benutzer, Systeme, Ressourcen).
+ Falls nein, untersuchen Sie dies parallel zur Ausführung des nächsten Schritts für identifizierte Ressourcen.
**Kann die Ressource isoliert werden?**
+ Falls ja, fahren Sie mit der Isolierung der betroffenen Ressourcen fort.
+ Falls nein, arbeiten Sie mit den Systembesitzern und Managern zusammen, um weitere Maßnahmen zur Eindämmung des Problems zu ergreifen.
**Sind alle betroffenen Ressourcen von den nicht betroffenen Ressourcen isoliert?**
+ Falls ja, fahren Sie mit dem nächsten Schritt fort.
+ Falls nein, sollten Sie die betroffenen Ressourcen weiter isolieren, um eine kurzfristige Eindämmung zu erreichen und eine weitere Eskalation des Ereignisses zu verhindern.
# Systemsicherung
**Wurden für weitere Analysen Sicherungskopien der betroffenen Systeme erstellt?**
**Werden die forensischen Kopien verschlüsselt und an einem sicheren Ort gespeichert?**
+ Falls ja, fahren Sie mit dem nächsten Schritt fort.
+ Falls nein, verschlüsseln Sie die forensischen Bilder und speichern Sie sie an einem sicheren Ort, um eine versehentliche Verwendung, Beschädigung und Manipulation zu verhindern.
# Geben Sie Ihre Containment-Einstellungen ein
[Um die Containment-Einstellungen für Ihr Konto oder Ihre Organisation zu konfigurieren, erstellen Sie einen AWS Support Fall.](https://repost.aws/knowledge-center/get-aws-technical-support)
Geben Sie in Ihrem Support-Fall die folgenden Informationen an:
+ Ihre AWS Organizations ID oder ein bestimmtes Konto IDs , für das Eindämmungsmaßnahmen autorisiert werden sollten.
+ Ihre bevorzugte Eindämmungsoption.
Wenn konfiguriert, AWS Security Incident Response führt Executes die autorisierten Eindämmungsaktionen bei aktiven Sicherheitsvorfällen aus, um Ihre Umgebung zu schützen.
**Anmerkung**
AWS Security Incident Response führt Containment-Aktionen nur aus, wenn sie mit den entsprechenden Einstellungen konfiguriert wurden und nachdem die erforderlichen Berechtigungen bereitgestellt wurden, um die erforderlichen Berechtigungen zu AWS CloudFormation StackSet gewähren.
# Ausrotten
Während der Eliminierungsphase ist es wichtig, alle betroffenen Konten, Ressourcen und Instanzen zu identifizieren und zu beheben — beispielsweise durch das Löschen von Malware, das Entfernen kompromittierter Benutzerkonten und die Beseitigung aller entdeckten Sicherheitslücken —, um eine einheitliche Problembehebung in der gesamten Umgebung durchzuführen.
Es hat sich bewährt, bei der Beseitigung und Wiederherstellung einen schrittweisen Ansatz zu verwenden und die Maßnahmen zur Behebung nach Prioritäten zu ordnen. Der Zweck der frühen Phasen besteht darin, die allgemeine Sicherheit schnell (Tage bis Wochen) zu erhöhen und wichtige Änderungen vorzunehmen, um future Ereignisse zu verhindern. Die späteren Phasen können sich auf längerfristige Änderungen (z. B. Änderungen der Infrastruktur) und laufende Arbeiten konzentrieren, um das Unternehmen so sicher wie möglich zu halten. Jeder Fall ist einzigartig und die AWS Security Incident Response-Techniker werden mit Ihnen zusammenarbeiten, um die erforderlichen Maßnahmen zu bewerten.
Berücksichtigen Sie dabei Folgendes:
+ Können Sie das System neu abbilden und es mit Patches oder anderen Gegenmaßnahmen absichern, um das Risiko von Angriffen zu verhindern oder zu verringern?
+ Können Sie das infizierte System durch eine neue Instanz oder Ressource ersetzen und so eine saubere Baseline aktivieren und gleichzeitig das infizierte Objekt beenden?
+ Haben Sie alle Schadsoftware und andere Artefakte entfernt, die bei der unbefugten Nutzung zurückgeblieben sind, und die betroffenen Systeme gegen weitere Angriffe abgesichert?
+ Ist für die betroffenen Ressourcen eine forensische Untersuchung erforderlich?
# Wiederherstellung
AWS Security Incident Response bietet Ihnen Anleitungen zur Wiederherstellung des normalen Betriebs von Systemen, zur Bestätigung, dass sie ordnungsgemäß funktionieren, und zur Behebung von Sicherheitslücken, um ähnliche Ereignisse in future zu verhindern. AWS Security Incident Response hilft nicht direkt bei der Wiederherstellung von Systemen. Zu den wichtigsten Überlegungen gehören:
+ Wurden die betroffenen Systeme gepatcht und sind sie gegen den jüngsten Angriff abgesichert?
+ Was ist der realisierbare Zeitplan, um die Systeme wieder in Betrieb zu nehmen?
+ Welche Tools werden Sie verwenden, um die wiederhergestellten Systeme zu testen, zu überwachen und zu verifizieren?
# Bericht nach dem Vorfall
AWS Security Incident Response bietet eine Zusammenfassung des Ereignisses nach Abschluss der Sicherheitsaktivitäten zwischen Ihrem und unserem Team.
Am Ende eines jeden Monats sendet der AWS Security Incident Response Service monatliche Berichte per E-Mail an den Hauptansprechpartner für jeden Kunden. Die Berichte werden im PDF-Format unter Verwendung der unten beschriebenen Kennzahlen bereitgestellt. Kunden erhalten einen Bericht pro AWS Organizations.
# Fallmetriken
+ Erstellte Fälle
+ Name der Dimension: Typ
+ Dimensionswerte: AWS unterstützt, selbst unterstützt
+ Einheit: Anzahl
+ Beschreibung: Die Anzahl der erstellten Fälle.
+ Geschlossene Fälle
+ Name der Dimension: Typ
+ Dimensionswerte: AWS unterstützt, selbst verwaltet
+ Einheit: Anzahl
+ Beschreibung: Ein Maß für die Gesamtzahl der abgeschlossenen Fälle.
+ Eröffnete Fälle
+ Name der Dimension: Typ
+ Dimensionswerte: AWS unterstützt, selbst unterstützt
+ Einheit: Anzahl
+ Beschreibung: Die Anzahl der offenen Fälle.
# Triaging-Metriken
+ Eingegangene Ergebnisse
+ Einheit: Anzahl
+ Beschreibung: Die Anzahl der Ergebnisse, die zur Prüfung gesendet wurden.
+ Archivierte Ergebnisse
+ Einheit: Anzahl
+ Beschreibung: Die Anzahl der Ergebnisse, die nach der Verarbeitung ohne manuelle Untersuchung archiviert wurden.
+ Manuell untersuchte Ergebnisse
+ Einheit: Anzahl
+ Beschreibung: Die Anzahl der Ergebnisse, bei denen eine manuelle Untersuchung durchgeführt wurde.
+ Archivierte Untersuchungen
+ Einheit: Anzahl
+ Beschreibung: Die Anzahl der manuellen Untersuchungen, die zu Fehlalarmen geführt und zur Archivierung gesendet wurden
+ Die Ermittlungen eskalierten
+ Einheit: Anzahl
+ Beschreibung: Die Anzahl der manuellen Untersuchungen, die zu einem Sicherheitsvorfall geführt haben
# Fälle
AWS Security Incident Response ermöglicht es Ihnen, zwei Arten von Fällen zu erstellen: AWS unterstützte oder selbst verwaltete Fälle.
# Erstellen Sie einen AWS unterstützten Fall
Sie können einen AWS unterstützten Fall für AWS Security Incident Response über die Konsole, die API oder die erstellen AWS Command Line Interface. AWS Unterstützte Fälle ermöglichen es Ihnen, Support von Security Incident Response-Technikern zu erhalten.
**Wichtig**
Demo-/Simulationsfälle werden nach einem Zeitraum von 90 Tagen geschlossen.
**Anmerkung**
AWS Die Techniker für die Reaktion auf Sicherheitsvorfälle werden innerhalb von 15 Minuten auf Ihren Fall antworten. Die Reaktionszeit bezieht sich auf eine erste Antwort von Technikern für die Reaktion auf AWS Sicherheitsvorfälle. Wir werden alle zumutbaren Anstrengungen unternehmen, um Ihre erste Anfrage innerhalb dieses Zeitraums zu beantworten. Diese Antwortzeit gilt nicht für nachfolgende Antworten.
**Anmerkung**
Sie können AWS unterstützte Fälle nicht nur für aktive Sicherheitsvorfälle und Untersuchungen erstellen, sondern auch für Anfragen zu den Funktionen zur Reaktion auf AWS Sicherheitsvorfälle. Dazu gehören Fragen zu GuardDuty Unterdrückungsregeln, Konfigurationen für die Alert-Triaging-Konfiguration, Workflows zur proaktiven Reaktion und allgemeine Hinweise zur Sicherheitslage. Wählen Sie für diese Zwecke den Falltyp „**Ermittlungen und Anfragen**“ aus.
# Wann sollten Sie Kontakt aufnehmen AWS Security Incident Response
Je nach Ihren Bedürfnissen können Sie AWS Security Incident Response für verschiedene Zwecke kontaktieren. In der folgenden Tabelle werden die verschiedenen Szenarien und die jeweils passende Kontaktmethode beschrieben.
| Szenario | Wann sollte dies verwendet werden? | Reaktionszeit | Art des Falls |
| --- | --- | --- | --- |
| **Aktiver Sicherheitsvorfall** | Sie haben einen dringenden Sicherheitsvorfall, der sofortige Unterstützung und Services zur Reaktion auf den Vorfall erfordert | 15 Minuten (erste Antwort) | [Aktiver Sicherheitsvorfall](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Untersuchung** | Sie haben einen Sicherheitsvorfall erkannt und benötigen Unterstützung bei der Protokollanalyse und der sekundären Bestätigung der Untersuchung des Vorfalls | 15 Minuten (erste Antwort) | [Ermittlungen und Anfragen](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Anfragen und Anleitungen** | Sie haben Fragen zu GuardDuty Amazon-Ergebnissen, Unterdrückungsregeln, Alert-Triaging-Konfigurationen, Workflows zur proaktiven Reaktion oder zur allgemeinen Sicherheitslage in Bezug auf Funktionen AWS Security Incident Response | 15 Minuten (erste Antwort) | [Ermittlungen und Anfragen](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Probleme beim Onboarding** | Sie haben während des Onboarding-Prozesses für AWS Security Incident Response technische Probleme | Variiert je nach Supportplan | [AWS Support Fall](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case) |
Bei allen AWS unterstützten Fällen (aktiver Sicherheitsvorfall und Ermittlungen und Anfragen) antworten die Techniker für die Reaktion auf AWS Sicherheitsvorfälle innerhalb von 15 Minuten, um eine erste Antwort zu erhalten. Diese Reaktionszeit gilt nur für den ersten Kontakt und nicht für nachfolgende Antworten.
Das folgende Beispiel behandelt die Verwendung der Konsole.
1. Melden Sie sich AWS Security Incident Response über das an AWS-Managementkonsole.
1. Wählen Sie **Create Case**
1. Wählen Sie **Fall lösen mit AWS**
1. Wählen Sie die Art der Anfrage
1. **Aktiver Sicherheitsvorfall**: Dieser Typ ist für Support und Services zur Reaktion auf dringende Vorfälle vorgesehen.
1. **Untersuchungen und Anfragen**: Verwenden Sie diesen Typ für festgestellte Sicherheitsvorfälle, bei denen die Techniker für die Reaktion auf AWS Sicherheitsvorfälle Sie bei der Protokollanalyse und der sekundären Bestätigung der Untersuchung von Sicherheitsvorfällen unterstützen können. Sie können diesen Typ auch für Anfragen zu GuardDuty Ergebnissen, Unterdrückungsregeln, Alert-Triaging-Konfigurationen, proaktiven Reaktionsabläufen und allgemeinen Fragen zur Sicherheitslage im Zusammenhang mit den Funktionen zur Reaktion auf AWS Sicherheitsvorfälle verwenden.
1. Geben Sie als voraussichtliches Startdatum das Datum an, an dem Sie den Vorfall am frühesten erkannt haben. Zum Beispiel, wenn Sie zum ersten Mal ungewöhnliches Verhalten festgestellt haben oder als Sie die erste entsprechende Sicherheitswarnung erhalten haben.
1. Definieren Sie einen Titel für den Fall
1. Geben Sie eine detaillierte Beschreibung des Falls an. Beachten Sie die folgenden Aspekte, die Einsatzkräften bei der Lösung des Falls helfen können:
1. Was ist passiert?
1. Wer hat den Vorfall entdeckt und gemeldet?
1. Wer ist von dem Fall betroffen?
1. Was sind die bekannten Auswirkungen?
1. Was ist die Dringlichkeit dieses Falls?
1. Fügen Sie einen oder mehrere hinzu AWS-Konto IDs , die in den Anwendungsbereich des Falls fallen.
1. Fügen Sie optionale Falldetails hinzu:
1. Wählen Sie aus der Drop-down-Liste die wichtigsten Dienste aus, die betroffen sind.
1. Wählen Sie aus der Drop-down-Liste die wichtigsten betroffenen Regionen aus.
1. Fügen Sie eine oder mehrere IP-Adressen von Bedrohungsakteuren hinzu, die Sie im Rahmen dieses Falls identifiziert haben.
1. Fügen Sie dem Fall optionale zusätzliche Incident-Responder hinzu, die Benachrichtigungen erhalten. Gehen Sie wie folgt vor, um eine Person hinzuzufügen:
1. Fügen Sie eine E-Mail-Adresse hinzu.
1. Fügen Sie optional einen Vor- und Nachnamen hinzu.
1. Wählen Sie **Neu hinzufügen**, um eine weitere Person hinzuzufügen.
1. Um eine Person zu entfernen, wählen Sie die Option **Entfernen** für eine Person.
1. Wählen Sie „**Hinzufügen**“, um alle aufgelisteten Personen zum Fall hinzuzufügen.
1. Sie können mehrere Personen auswählen und auf **Entfernen** klicken, um sie aus der Liste zu löschen.
1. Fügen Sie dem Fall optionale Tags hinzu.
1. Führen Sie die folgenden Schritte aus, um ein Tag hinzuzufügen:
1. Wählen Sie **Neues Tag hinzufügen** aus.
1. Geben Sie unter **Schlüssel** den Namen des Tags ein.
1. Geben Sie für **Wert** den Tag-Wert ein.
1. Um ein Tag zu entfernen, wählen Sie die Option **Entfernen** für dieses Tag.
Nachdem ein AWS unterstützter Fall erstellt wurde, werden die AWS Security Incident Response Engineers und Ihr Incident Response Team sofort benachrichtigt.
**Um einen Fall mit AWS KI-gestützter Untersuchung zu erstellen**
1. Öffnen Sie die AWS Security Incident Response Konsole unter [console.aws.amazon.com/](https://console.aws.amazon.com/).
1. **Wählen Sie im Navigationsbereich die Option Fälle aus.**
1. Wählen Sie **Create case** (Fall erstellen) aus.
1. Wählen Sie als **Falltyp** die Option **AWS-unterstützter Fall** aus.
1. Geben Sie Falldetails an, einschließlich Titel, Startdatum des Vorfalls und AWS Konto-ID der betroffenen Person.
1. Geben **Sie im Abschnitt „Beschreibung des Sicherheitsereignisses**“ eine ausführliche Beschreibung des Vorfalls ein.
1. Geben Sie zusätzliche Informationen zu den betroffenen AWS Diensten, Regionen und anderen relevanten Details an.
1. Wählen Sie **Create case** (Fall erstellen) aus.
Nach der Erstellung des Falls beginnen sowohl die Security Incident Response-Techniker als auch der KI-Agent gleichzeitig mit der Arbeit.
**Um auf klärende Fragen zur KI zu antworten (optional)**
1. Navigieren Sie in Ihrem Fall zur Registerkarte **Untersuchung**.
1. Überprüfe alle klärenden Fragen, die dir der KI-Agent gestellt hat.
1. Beantworten Sie die Fragen oder wählen Sie **Überspringen**, wenn Sie nicht antworten möchten.
1. Wählen Sie **Absenden**, um fortzufahren. Alle Felder sind optional.
**Verantwortungsvolle Offenlegung von KI**
Zusammenfassungen von Untersuchungen werden mithilfe AWS generativer KI-Funktionen erstellt. Sie sind dafür verantwortlich, KI-generierte Empfehlungen in Ihrem spezifischen Kontext zu bewerten, geeignete Aufsichtsmechanismen zu implementieren, die Ergebnisse unabhängig zu verifizieren und die menschliche Aufsicht über alle Sicherheitsentscheidungen aufrechtzuerhalten.
# Erstellen Sie einen selbst verwalteten Fall
Sie können ein selbstverwaltetes Formular AWS Security Incident Response über die Konsole, die API oder erstellen. AWS Command Line Interface Bei dieser Art von Fall sind die AWS Security Incident Response Engineers *NICHT* involviert. Das folgende Beispiel behandelt die Verwendung der Konsole.
1. Melden Sie sich AWS Security Incident Response über die Adresse AWS-Managementkonsole an [https://console.aws.amazon.com/security-ir/](https://console.aws.amazon.com/).
1. Wählen Sie **Create Case (Fall erstellen)** aus.
1. Wählen Sie „**Fall mit meinem eigenen Incident-Response-Team lösen“.**
1. Geben Sie als voraussichtliches Startdatum das Datum an, an dem Sie den Vorfall am frühesten erkannt haben. Zum Beispiel, wenn Sie zum ersten Mal ungewöhnliches Verhalten festgestellt haben oder als Sie die erste entsprechende Sicherheitswarnung erhalten haben.
1. Definieren Sie einen Titel für den Fall. Es wird empfohlen, die Daten in den Falltitel aufzunehmen, wie es bei der Auswahl der Option „**Titel generieren**“ vorgeschlagen wurde.
1. Geben Sie an AWS-Konto IDs , dass sie Teil des Falls sind. Gehen Sie wie folgt vor, um eine Konto-ID hinzuzufügen:
1. Geben Sie die 12-stellige Konto-ID ein und wählen Sie **Konto hinzufügen**.
1. **Um ein Konto zu entfernen, wählen Sie neben dem Konto, das Sie aus dem Fall entfernen möchten, die Option Entfernen aus.**
1. Geben Sie eine detaillierte Beschreibung des Falls ein.
1. Beachten Sie die folgenden Aspekte, die Einsatzkräften bei der Lösung des Falls helfen können:
1. Was ist passiert?
1. Wer hat den Vorfall entdeckt und gemeldet?
1. Wer ist von dem Fall betroffen?
1. Was sind die bekannten Auswirkungen?
1. Was ist die Dringlichkeit dieses Falls?
1. Fügen Sie optionale Falldetails hinzu:
1. Wählen Sie aus der Drop-down-Liste die wichtigsten Dienste aus, die betroffen sind.
1. Wählen Sie aus der Drop-down-Liste die wichtigsten betroffenen Regionen aus.
1. Fügen Sie eine oder mehrere IP-Adressen von Bedrohungsakteuren hinzu, die Sie im Rahmen dieses Falls identifiziert haben.
1. Fügen Sie dem Fall optionale zusätzliche Incident-Responder hinzu, die Benachrichtigungen erhalten. Gehen Sie wie folgt vor, um eine Person hinzuzufügen:
1. Fügen Sie eine E-Mail-Adresse hinzu.
1. Fügen Sie optional einen Vor- und Nachnamen hinzu.
1. Wählen Sie **Neu hinzufügen**, um eine weitere Person hinzuzufügen.
1. Um eine Person zu entfernen, wählen Sie die Option **Entfernen** für eine Person.
1. Wählen Sie „**Hinzufügen**“, um alle aufgelisteten Personen zum Fall hinzuzufügen. Sie können mehrere Personen auswählen und auf **Entfernen** klicken, um sie aus der Liste zu löschen.
1. Fügen Sie dem Fall optionale Tags hinzu. Führen Sie die folgenden Schritte aus, um ein Tag hinzuzufügen:
1. Wählen Sie **Neues Tag hinzufügen** aus.
1. Geben Sie unter **Schlüssel** den Namen des Tags ein.
1. Geben Sie für **Wert** den Tag-Wert ein.
1. Um ein Tag zu entfernen, wählen Sie die Option **Entfernen** für dieses Tag.
Das Incident-Response-Team wird nach der Erstellung des Falls per E-Mail benachrichtigt.
# Zusammenarbeit mit Technikern für die Reaktion auf AWS Sicherheitsvorfälle
Nachdem Sie einen Sicherheitsvorfall eröffnet haben, beginnen die AWS Security Incident Response Engineers mit der Bearbeitung Ihres Vorfalls. In diesem Abschnitt wird erklärt, was Sie bei der Untersuchung erwartet und wie Sie effektiv mit unserem Team zusammenarbeiten können.
# Was Sie von den AWS Security Incident Response-Technikern erwarten können
Wenn Sie einen AWS unterstützten Fall öffnen, wird Ihrem Vorfall ein Security Incident Response Engineer zugewiesen. Ihr zugewiesener Responder wird:
+ Überprüfen Sie die ursprünglichen Informationen, die Sie in dem Fall angegeben haben
+ Analysieren Sie relevante AWS Serviceprotokolle und Sicherheitsergebnisse
+ Identifizieren Sie den Umfang und die Auswirkungen des Sicherheitsvorfalls
+ Entwickeln Sie einen auf Ihre Situation zugeschnittenen Untersuchungs- und Reaktionsplan
**Reaktionszeit**: Das Service Level Objective (SLO) für die Bestätigung neuer Fälle durch AWS Security Incident Response Techniker liegt innerhalb von 15 Minuten. Der Zeitplan für die erste Bewertung kann je nach Schweregrad und Komplexität des Falls variieren. Wenn die AWS Security Incident Response Techniker innerhalb von 5 Werktagen keine Antwort oder wichtige Informationen von Ihnen erhalten, ist der Fall abgeschlossen.
# Arbeitsablauf bei der Untersuchung
AWS Die Techniker für die Reaktion auf Sicherheitsvorfälle folgen einem strukturierten Prozess zur Reaktion auf Vorfälle, der auf das NIST 800-61r2-Framework abgestimmt ist. Während Ihrer Untersuchung können Sie mit den folgenden Phasen rechnen:
1. **Erste** Prüfung — Die Techniker für die Reaktion auf Sicherheitsvorfälle überprüfen Ihre Falldetails und bestätigen den Umfang des Vorfalls
1. **Untersuchung** — Die Techniker für die Reaktion auf Sicherheitsvorfälle analysieren Protokolle, identifizieren Anzeichen für eine Gefährdung und ermitteln die Ursache
1. **Eindämmung** — Die Experten für die Reaktion auf Sicherheitsvorfälle empfehlen Maßnahmen, um die Auswirkungen des Vorfalls zu begrenzen
1. **Beseitigung und Wiederherstellung** — Die Security Incident Response-Techniker helfen Ihnen dabei, Bedrohungen zu entfernen und den normalen Betrieb wiederherzustellen
1. **Überprüfung nach dem Vorfall** — Die Experten für die Reaktion auf Sicherheitsvorfälle geben Erkenntnisse und Empfehlungen zur Vermeidung future Vorfälle
Während dieser Phasen hält Sie Ihr Security Incident Response Engineer über Fallaktualisierungen auf dem Laufenden und kann zusätzliche Informationen oder Maßnahmen von Ihnen anfordern.
# Techniker für die Reaktion auf Informationssicherheitsvorfälle können folgende Anfragen stellen
Um Ihren Vorfall effektiv untersuchen zu können, bitten Sie die Techniker für die Reaktion auf AWS Sicherheitsvorfälle möglicherweise um folgende Angaben:
+ **Angaben zum Zeitplan** — Wann Sie den Vorfall und alle relevanten Ereignisse, die dazu geführt haben, zum ersten Mal entdeckt haben
+ **Betroffene Ressourcen** — Spezifisches AWS Konto IDs, Dienste, Regionen und ARNs beteiligte Ressourcen
+ **Zugriffsinformationen** — Einzelheiten darüber, wer Zugriff auf die betroffenen Ressourcen hat, sowie alle kürzlich erfolgten Zugriffsänderungen
+ **Geschäftlicher Kontext** — Wie die betroffenen Ressourcen genutzt werden und welche potenziellen Auswirkungen dies auf das Unternehmen hat
+ **Protokolle und Beweise** — Zusätzliche Protokolle, Screenshots oder Artefakte, die bei der Untersuchung hilfreich sein könnten
+ **Autorisierung** — Genehmigung zur Durchführung bestimmter Eindämmungs- oder Sanierungsmaßnahmen in Ihrem Namen
Ihr Security Incident Response Engineer erklärt Ihnen, warum die einzelnen Informationen benötigt werden und wie sie bei der Untersuchung helfen.
# Bewährte Methoden im Bereich Kommunikation
Effektive Kommunikation beschleunigt die Lösung von Vorfällen. Beachten Sie bei der Zusammenarbeit mit AWS Security Incident Response-Technikern die folgenden Vorgehensweisen:
+ **Reagieren Sie umgehend auf** Informationsanfragen Ihres Security Incident Response Engineers
+ **Geben Sie vollständige Informationen** an, auch wenn Sie sich nicht sicher sind, ob sie relevant sind
+ **Stellen Sie Fragen**, wenn Sie eine Empfehlung nicht verstehen oder weitere Informationen benötigen
+ **Informieren Sie den Fall** über alle neuen Entwicklungen oder Änderungen des Vorfalls
+ **Benennen Sie einen Hauptansprechpartner** aus Ihrem Team, der sich mit den Security Incident Response-Technikern abstimmt
**Wichtig**
Wenn AWS Security Incident Response Techniker innerhalb von 5 Werktagen keine Antwort auf Anfragen zu wichtigen Informationen erhalten, bemühen wir uns, den Fall abzuschließen. Sie können einen Fall erneut öffnen, wenn neue Informationen verfügbar werden.
# Ihre Rolle bei der Untersuchung
Während die AWS Security Incident Response Ingenieure die Untersuchung leiten, ist Ihre Teilnahme unerlässlich. Sie sind für die folgenden Aktionen verantwortlich:
+ Rechtzeitige Beantwortung von Informationsanfragen
+ Implementierung der empfohlenen Eindämmungs- und Problembehebungsmaßnahmen in Ihrer Umgebung AWS
+ Autorisierung der Security Incident Response-Techniker, in Ihrem Namen Maßnahmen zu ergreifen (sofern Sie die proaktive Reaktion aktiviert haben)
+ Abstimmung mit Ihren internen Teams (Sicherheit, Recht, Compliance) nach Bedarf
+ Treffen von Geschäftsentscheidungen über Prioritäten und Kompromisse bei der Reaktion auf Vorfälle
AWS Security Incident Response Techniker bieten Fachwissen und Empfehlungen, aber Sie behalten die Kontrolle über Ihre AWS Ressourcen und treffen die endgültigen Entscheidungen über Reaktionsmaßnahmen.
# Abschluss des Falls
AWS Security Incident Response Techniker schließen Ihren Fall ab, wenn:
+ Der Vorfall wurde eingedämmt und behoben
+ Alle Ergebnisse der Untersuchung wurden mit Ihnen geteilt
+ Es ist keine weitere Unterstützung durch einen Security Incident Response Engineer erforderlich
+ Sie beantragen den Abschluss des Falls
Bevor Sie einen Fall abschließen, gibt Ihnen Ihr Security Incident Response Engineer eine Zusammenfassung der Ergebnisse, ergriffenen Maßnahmen und Empfehlungen zur Verbesserung Ihrer Sicherheitslage.
Wenn Sie nach Abschluss des Falls weitere Unterstützung benötigen, können Sie einen neuen Fall eröffnen oder Kontakt aufnehmen AWS Support.
# Auf einen AWS generierten Fall antworten
AWS Security Incident Response kann zu einer ausgehenden Benachrichtigung oder einem Fall führen, wenn Sie auf etwas reagieren müssen oder sich dessen bewusst sein müssen, das sich möglicherweise auf Ihr Konto oder Ihre Ressourcen auswirkt. Dies ist nur der Fall, wenn Sie die Workflows proaktive Reaktion und Alert-Triaging als Teil Ihres Abonnements aktiviert haben.
Diese Benachrichtigungen werden in der AWS Security Incident Response Konsole als Security Incident Response-Fälle mit dem Präfix „[Proactive case]“ angezeigt. Gehen Sie wie folgt vor, um diese Fälle anzuzeigen und zu verwalten:
+ Öffnen Sie die Security Incident Response-Konsole unter https://console.aws.amazon.com/security-ir/
+ Wählen Sie **Fälle** aus.
+ Sie sehen alle Fälle, einschließlich der Fälle mit dem Präfix „[Proaktiver Fall]“.
Sie können diese Fälle nach Bedarf aktualisieren, lösen und erneut öffnen. In diesen Fällen können Sie direkt mit dem AWS Security Incident Response Team kommunizieren und so eine effiziente Behandlung potenzieller Sicherheitsprobleme sicherstellen.
# Fälle verwalten
**Topics**
+ [Den Fallstatus ändern](changing-the-case-status.md)
+ [Den Resolver ändern](changing-the-resolver.md)
+ [Aktionselemente](action-items.md)
+ [Bearbeiten eines Falls](edit-a-case.md)
+ [Kommunikation](communications.md)
+ [Berechtigungen](sir-permissions.md)
+ [Anlagen](attachments.md)
+ [Tags (Markierungen)](tags.md)
+ [Fallaktivitäten](case-activities.md)
+ [Einen Fall schließen](closing-a-case.md)
# Den Fallstatus ändern
Ein Fall befindet sich in einem der folgenden Staaten:
+ Eingereicht: Dies ist der ursprüngliche Status eines Falls. Fälle in diesem Status wurden von einer angefragten Person eingereicht, werden aber noch nicht bearbeitet.
+ Erkennung und Analyse: Dieser Status zeigt an, dass ein Incident-Responder mit der Bearbeitung des Falls begonnen hat. Diese Phase umfasst die Erfassung von Daten, die Einstufung des Ereignisses und die Durchführung von Analysen, um datengestützte Schlussfolgerungen zu ziehen.
+ Eindämmung, Beseitigung und Wiederherstellung: In diesem Status hat der Incident Responder verdächtige Aktivitäten identifiziert, deren Beseitigung zusätzlichen Aufwand erfordert. Der Incident Responder gibt Ihnen Empfehlungen für die Analyse des Geschäftsrisikos und weitere Maßnahmen. Wenn Sie die Opt-in-Funktionen für den Service aktiviert haben, wird ein AWS Incident Responder Sie um Ihre Zustimmung bitten, Eindämmungsmaßnahmen anhand von SSM-Dokumenten in den betroffenen Konten durchzuführen.
+ Aktivitäten nach dem Vorfall: In diesem Status wurde das primäre Sicherheitsereignis eingedämmt. Der Schwerpunkt liegt nun auf der Wiederherstellung und Wiederherstellung des normalen Geschäftsbetriebs. Wenn der Resolver für den Fall unterstützt wird, werden eine Zusammenfassung und eine AWS Ursachenanalyse bereitgestellt.
+ Geschlossen: Dies ist der endgültige Status des Workflows. Fälle mit dem Status „Abgeschlossen“ weisen darauf hin, dass die Arbeit abgeschlossen wurde. Geschlossene Fälle können nicht erneut geöffnet werden. Stellen Sie daher sicher, dass alle Aktionen abgeschlossen sind, bevor Sie zu diesem Status wechseln.
Wählen Sie **Aktion/Status aktualisieren, um den Status** des Falls für selbst verwaltete Fälle zu ändern. Bei AWS unterstützten Fällen wird der Status von den AWS Security Incident Response-Technikern festgelegt.
# Den Resolver ändern
Bei selbst verwalteten Fällen kann Ihr Incident-Response-Team Hilfe von anfordern. AWS Wählen **Sie Hilfe anfordern von AWS**, um den Resolver für diesen Fall auf zu ändern. AWS Sobald der Fall auf „ AWS Unterstützt“ aktualisiert wurde, wird der Status in „**Eingereicht**“ geändert. Die bestehende Fallhistorie wird den Technikern von AWS Security Incident Response zur Verfügung stehen. Sobald Sie Hilfe von angefordert haben, können AWS Sie diese nicht mehr auf „Selbstverwaltung“ umstellen.
# Aktionselemente
Ein Techniker für die Reaktion auf AWS Sicherheitsvorfälle, der an dem Fall arbeitet, kann Ihr internes Team um Maßnahmen bitten.
Zu den Aktionselementen, die nach der Erstellung eines Falls angezeigt werden, gehören:
+ Anfrage, einem Incident-Responder die Erlaubnis zu erteilen, auf einen Fall zuzugreifen
+ Bitte um weitere Informationen zu dem Fall
Aktionspunkte, wenn ein Fall zum Abschluss bereit ist:
+ Bitte um Überprüfung des Fallberichts
+ Antrag auf Abschluss des Falls
# Bearbeiten eines Falls
Wählen Sie **Bearbeiten**, um die Details eines Falls zu ändern.
**Für AWS unterstützte und selbst verwaltete Fälle:**
Sie können die folgenden Falldetails ändern, nachdem ein Fall erstellt wurde:
+ Title
+ Description
**Nur für AWS unterstützte Fälle:**
Sie können die zusätzlichen Felder ändern:
+ **Typ der Anforderung:**
+ **Aktiver Sicherheitsvorfall**: Dieser Typ ist für Support und Services zur Reaktion auf dringende Vorfälle vorgesehen.
+ **Untersuchungen**: Untersuchungen ermöglichen es Ihnen, Unterstützung bei festgestellten Sicherheitsvorfällen zu erhalten, wobei die AWS Security Incident Response Engineers Sie bei der Protokollierung und sekundären Bestätigung des Sicherheitsvorfalls unterstützen können.
+ **Voraussichtliches Startdatum**: Ändern Sie dieses Feld, wenn Sie für diesen Fall Indikatoren erhalten haben, die vor dem ursprünglich angegebenen Startdatum liegen. Erwägen Sie, zusätzliche Details zu dem neu erkannten Indikator im Beschreibungsfeld anzugeben oder auf der Registerkarte Kommunikation einen Kommentar hinzuzufügen.
# Kommunikation
AWS Security Incident Response-Techniker können Kommentare hinzufügen, um ihre Aktivitäten bei der Bearbeitung eines Falls zu dokumentieren. Verschiedene AWS Security Incident Response-Techniker können gleichzeitig an einem Fall arbeiten. Sie werden im Kommunikationsprotokoll als **AWS Responder** dargestellt.
# Berechtigungen
Auf der Registerkarte „Berechtigungen“ sind alle Personen aufgeführt, die bei jeder Änderung des Falls benachrichtigt werden. Sie können Personen zur Liste hinzufügen und daraus entfernen, bis der Fall abgeschlossen ist.
**Anmerkung**
In Einzelfällen können Sie insgesamt bis zu 30 Interessengruppen einbeziehen. Um diesen Stakeholdern Zugriff auf Fallebene zu gewähren, ist eine zusätzliche Berechtigungskonfiguration erforderlich.
**Gewähren Sie Zugriff auf einen Fall in der Konsole**
Um Zugriff auf den Fall in der zu gewähren AWS-Managementkonsole, können Sie die Vorlage für die IAM-Berechtigungsrichtlinie kopieren und diese Berechtigung einem Benutzer oder einer Rolle hinzufügen.
Hinzufügen der IAM-Richtlinie zu einem Benutzer oder einer Rolle:
1. Kopieren Sie die IAM-Berechtigungsrichtlinie.
1. Öffnen Sie IAM in der Via. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich **Benutzer** oder **Rollen** aus.
1. Wählen Sie einen Benutzer oder eine Rolle aus, um die Detailseite zu öffnen.
1. Wählen Sie auf der Registerkarte „Berechtigungen“ die Option „**Berechtigungen hinzufügen“ aus.**
1. Wählen Sie **Richtlinie anfügen** aus.
1. Wählen Sie die entsprechende [AWS Security Incident Response verwaltete Richtlinie](https://docs.aws.amazon.com/security-ir/latest/userguide/aws-managed-policies.html) aus.
1. Wählen Sie **Richtlinie hinzufügen** aus.
# Anlagen
Ihre Incident-Responder können einem Fall Anlagen hinzufügen, die anderen Incident-Respondern bei der Untersuchung selbst verwalteter Fälle helfen.
**Anmerkung**
Wenn Sie sich für einen AWS unterstützten Fall entscheiden, können keine Anlagen angezeigt werden. AWS Alle Informationen zu AWS unterstützten Fällen müssen in Form von Fallkommentaren oder durch die Bereitstellung eines Screenshots mit Ihrer bevorzugten Kommunikationstechnologie geteilt werden.
Wählen Sie **Hochladen**, um eine Datei von Ihrem Computer auszuwählen, die dem Fall hinzugefügt werden soll.
**Anmerkung**
Alle hochgeladenen Anlagen werden sieben Tage nach Abschluss eines Falls gelöscht`Closed`.
# Tags (Markierungen)
Ein Tag ist eine optionale Bezeichnung, die Sie Ihren Fällen zuweisen können, um Metadaten zu dieser Ressource zu speichern. Jedes Tag ist eine Bezeichnung, die aus einem Schlüssel und einem optionalen Wert besteht. Sie können Tags verwenden, um nach Ressourcen zu suchen, Kosten zuzuweisen und Berechtigungen zu authentifizieren.
Führen Sie die folgenden Schritte aus, um ein Tag hinzuzufügen:
1. Wählen Sie **Neues Tag hinzufügen** aus.
1. Geben Sie unter **Schlüssel** den Namen des Tags ein.
1. Geben Sie für **Wert** den Tag-Wert ein.
Um ein Tag zu entfernen, wählen Sie die Option **Entfernen** für dieses Tag.
# Fallaktivitäten
Prüfprotokolle bieten detaillierte chronologische Aufzeichnungen aller Fallaktivitäten. Sie liefern wichtige Informationen für Aktivitäten nach der Veranstaltung und helfen dabei, Verbesserungspotenziale zu identifizieren. Die Uhrzeit, der Benutzer, die Aktion und die Einzelheiten aller Falländerungen werden im Fallprüfprotokoll protokolliert.
# Einen Fall schließen
Wählen Sie für AWS unterstützte Fälle auf **der Seite mit den Falldetails** die Option „Fall schließen“, um den Fall in einem beliebigen Status dauerhaft zu schließen. Ein Fall erreicht in der Regel den Status **Bereit zum Abschluss,** bevor er dauerhaft geschlossen ist. Wenn Sie einen Fall vorzeitig mit einem anderen Status als **Bereit zum Abschluss schließen**, bitten Sie die Techniker für die Reaktion auf AWS Sicherheitsvorfälle, die Bearbeitung dieses AWS unterstützten Falls einzustellen.
Wenn Ihr Incident-Response-Team der Responder ist, wählen Sie auf der Seite mit den Falldetails die Option **Aktion/Fall schließen** aus.
**Anmerkung**
Der Status „Bereit zum Abschluss“ bedeutet, dass ein Fall dauerhaft abgeschlossen werden kann und dass an einem Fall keine weiteren Arbeiten erforderlich sind.
Ein Fall kann nicht erneut geöffnet werden, nachdem er dauerhaft geschlossen wurde. Alle Informationen werden schreibgeschützt verfügbar sein. Um ein versehentliches Schließen zu verhindern, werden Sie aufgefordert, zu bestätigen, dass Sie das Gehäuse schließen möchten.
# Arbeitet mit CloudFormation StackSets
**Wichtig**
AWS Security Incident Response aktiviert standardmäßig keine Containment-Funktionen. Um diese Containment-Aktionen auszuführen, müssen Sie dem Service mithilfe AWS Identity and Access Management von Rollen die erforderlichen Berechtigungen erteilen. Sie können diese Rollen einzeln für jedes Konto oder für Ihre gesamte Organisation StackSets erstellen CloudFormation StackSets, indem Sie die erforderlichen Rollen bereitstellen.
Spezifische Anweisungen zum Erstellen einer StackSet mit vom Dienst verwalteten Berechtigungen finden Sie unter [Erstellen CloudFormation StackSets mit vom Dienst verwalteten Berechtigungen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-associate-stackset-with-org.html) im *AWS CloudFormation Benutzerhandbuch*.
Im Folgenden finden Sie Vorlagen zum Erstellen der Rollen *AWSSecurityIncidentResponseContainment*und *AWSSecurityIncidentResponseContainmentExecution*.
```
AWSTemplateFormatVersion: '2010-09-09'
Description: 'Template for production SIR containment roles'
Resources:
AWSSecurityIncidentResponseContainment:
Type: 'AWS::IAM::Role'
Properties:
RoleName: AWSSecurityIncidentResponseContainment
AssumeRolePolicyDocument:
{
'Version': '2012-10-17',
'Statement':
[
{
'Effect': 'Allow',
'Principal': { 'Service': 'containment.security-ir.amazonaws.com' },
'Action': 'sts:AssumeRole',
'Condition': { 'StringEquals': { 'sts:ExternalId': !Sub '${AWS::AccountId}' } },
},
{
'Effect': 'Allow',
'Principal': { 'Service': 'containment.security-ir.amazonaws.com' },
'Action': 'sts:TagSession',
},
],
}
Policies:
- PolicyName: AWSSecurityIncidentResponseContainmentPolicy
PolicyDocument:
{
'Version': '2012-10-17',
'Statement':
[
{
'Effect': 'Allow',
'Action': ['ssm:StartAutomationExecution'],
'Resource':
[
!Sub 'arn:${AWS::Partition}:ssm:*:*:automation-definition/AWSSupport-ContainEC2Instance:$DEFAULT',
!Sub 'arn:${AWS::Partition}:ssm:*:*:automation-definition/AWSSupport-ContainS3Resource:$DEFAULT',
!Sub 'arn:${AWS::Partition}:ssm:*:*:automation-definition/AWSSupport-ContainIAMPrincipal:$DEFAULT',
],
},
{
'Effect': 'Allow',
'Action':
['ssm:DescribeInstanceInformation', 'ssm:GetAutomationExecution', 'ssm:ListCommandInvocations'],
'Resource': '*',
},
{
'Effect': 'Allow',
'Action': ['iam:PassRole'],
'Resource': !GetAtt AWSSecurityIncidentResponseContainmentExecution.Arn,
'Condition': { 'StringEquals': { 'iam:PassedToService': 'ssm.amazonaws.com' } },
},
],
}
AWSSecurityIncidentResponseContainmentExecution:
Type: 'AWS::IAM::Role'
Properties:
RoleName: AWSSecurityIncidentResponseContainmentExecution
AssumeRolePolicyDocument:
{
'Version': '2012-10-17',
'Statement':
[{ 'Effect': 'Allow', 'Principal': { 'Service': 'ssm.amazonaws.com' }, 'Action': 'sts:AssumeRole' }],
}
ManagedPolicyArns:
- !Sub arn:${AWS::Partition}:iam::aws:policy/SecurityAudit
Policies:
- PolicyName: AWSSecurityIncidentResponseContainmentExecutionPolicy
PolicyDocument:
{
'Version': '2012-10-17',
'Statement':
[
{
'Sid': 'AllowIAMContainment',
'Effect': 'Allow',
'Action':
[
'iam:AttachRolePolicy',
'iam:AttachUserPolicy',
'iam:DeactivateMFADevice',
'iam:DeleteLoginProfile',
'iam:DeleteRolePolicy',
'iam:DeleteUserPolicy',
'iam:GetLoginProfile',
'iam:GetPolicy',
'iam:GetRole',
'iam:GetRolePolicy',
'iam:GetUser',
'iam:GetUserPolicy',
'iam:ListAccessKeys',
'iam:ListAttachedRolePolicies',
'iam:ListAttachedUserPolicies',
'iam:ListMfaDevices',
'iam:ListPolicies',
'iam:ListRolePolicies',
'iam:ListUserPolicies',
'iam:ListVirtualMFADevices',
'iam:PutRolePolicy',
'iam:PutUserPolicy',
'iam:TagMFADevice',
'iam:TagPolicy',
'iam:TagRole',
'iam:TagUser',
'iam:UntagMFADevice',
'iam:UntagPolicy',
'iam:UntagRole',
'iam:UntagUser',
'iam:UpdateAccessKey',
'identitystore:CreateGroupMembership',
'identitystore:DeleteGroupMembership',
'identitystore:IsMemberInGroups',
'identitystore:ListUsers',
'identitystore:ListGroups',
'identitystore:ListGroupMemberships',
],
'Resource': '*',
},
{
'Sid': 'AllowOrgListAccounts',
'Effect': 'Allow',
'Action': 'organizations:ListAccounts',
'Resource': '*',
},
{
'Sid': 'AllowSSOContainment',
'Effect': 'Allow',
'Action':
[
'sso:CreateAccountAssignment',
'sso:DeleteAccountAssignment',
'sso:DeleteInlinePolicyFromPermissionSet',
'sso:GetInlinePolicyForPermissionSet',
'sso:ListAccountAssignments',
'sso:ListInstances',
'sso:ListPermissionSets',
'sso:ListPermissionSetsProvisionedToAccount',
'sso:PutInlinePolicyToPermissionSet',
'sso:TagResource',
'sso:UntagResource',
],
'Resource': '*',
},
{
'Sid': 'AllowSSORead',
'Effect': 'Allow',
'Action': ['sso-directory:SearchUsers', 'sso-directory:DescribeUser'],
'Resource': '*',
},
{
'Sid': 'AllowS3Read',
'Effect': 'Allow',
'Action':
[
's3:GetAccountPublicAccessBlock',
's3:GetBucketAcl',
's3:GetBucketLocation',
's3:GetBucketOwnershipControls',
's3:GetBucketPolicy',
's3:GetBucketPolicyStatus',
's3:GetBucketPublicAccessBlock',
's3:GetBucketTagging',
's3:GetEncryptionConfiguration',
's3:GetObject',
's3:GetObjectAcl',
's3:GetObjectTagging',
's3:GetReplicationConfiguration',
's3:ListBucket',
's3express:GetBucketPolicy',
],
'Resource': '*',
},
{
'Sid': 'AllowS3Write',
'Effect': 'Allow',
'Action':
[
's3:CreateBucket',
's3:DeleteBucketPolicy',
's3:DeleteObjectTagging',
's3:PutAccountPublicAccessBlock',
's3:PutBucketACL',
's3:PutBucketOwnershipControls',
's3:PutBucketPolicy',
's3:PutBucketPublicAccessBlock',
's3:PutBucketTagging',
's3:PutBucketVersioning',
's3:PutObject',
's3:PutObjectAcl',
's3express:CreateSession',
's3express:DeleteBucketPolicy',
's3express:PutBucketPolicy',
],
'Resource': '*',
},
{
'Sid': 'AllowAutoScalingWrite',
'Effect': 'Allow',
'Action':
[
'autoscaling:CreateOrUpdateTags',
'autoscaling:DeleteTags',
'autoscaling:DescribeAutoScalingGroups',
'autoscaling:DescribeAutoScalingInstances',
'autoscaling:DescribeTags',
'autoscaling:EnterStandby',
'autoscaling:ExitStandby',
'autoscaling:UpdateAutoScalingGroup',
],
'Resource': '*',
},
{
'Sid': 'AllowEC2Containment',
'Effect': 'Allow',
'Action':
[
'ec2:AuthorizeSecurityGroupEgress',
'ec2:AuthorizeSecurityGroupIngress',
'ec2:CopyImage',
'ec2:CreateImage',
'ec2:CreateSecurityGroup',
'ec2:CreateSnapshot',
'ec2:CreateTags',
'ec2:DeleteSecurityGroup',
'ec2:DeleteTags',
'ec2:DescribeImages',
'ec2:DescribeInstances',
'ec2:DescribeSecurityGroups',
'ec2:DescribeSnapshots',
'ec2:DescribeTags',
'ec2:ModifyNetworkInterfaceAttribute',
'ec2:RevokeSecurityGroupEgress',
],
'Resource': '*',
},
{
'Sid': 'AllowKMSActions',
'Effect': 'Allow',
'Action':
[
'kms:CreateGrant',
'kms:DescribeKey',
'kms:GenerateDataKeyWithoutPlaintext',
'kms:ReEncryptFrom',
'kms:ReEncryptTo',
],
'Resource': '*',
},
{
'Sid': 'AllowSSMActions',
'Effect': 'Allow',
'Action': ['ssm:DescribeAutomationExecutions'],
'Resource': '*',
},
],
}
```
# Mitgliedschaft kündigen
Eine Rolle mit der CancelMembership entsprechenden Berechtigung AWS Security Incident Response kann die Mitgliedschaft über die Konsole, die API oder kündigen AWS Command Line Interface.
**Wichtig**
Sobald eine Mitgliedschaft gekündigt wurde, können Sie keine historischen Falldaten mehr einsehen. Wenn Sie eine Mitgliedschaft kündigen, wird Ihre Mitgliedschaft sofort gelöscht und Sie haben keinen weiteren Zugriff mehr auf die Fälle in der Mitgliedschaft. Alle Ressourcen oder Untersuchungen, die bei Kündigung der Mitgliedschaft ebenfalls eingestellt wurden `Active` oder `ready to close` werden.
Wenn Sie eine Mitgliedschaft kündigen:
Ihre Mitgliedschaft wird gelöscht und Sie haben keinen weiteren Zugriff mehr auf die Fälle in der Mitgliedschaft.
**Wichtig**
Wenn Sie den Service erneut abonnieren, wird eine neue Mitgliedschaft erstellt, und auf die Fallressourcen, die im Rahmen der vorherigen Mitgliedschaft gespeichert waren, kann nur zugegriffen werden, wenn Sie sie vor der Kündigung heruntergeladen haben.
Nach der Kündigung der Mitgliedschaft werden alle Mitglieder des Incident-Response-Teams per E-Mail benachrichtigt.
**Wichtig**
Wenn Sie eine Mitgliedschaft mit einem delegierten Administratorkonto erstellt haben und die AWS Organizations API verwenden, um die Bezeichnung eines delegierten Administrators aus dem Konto zu entfernen, wird die Mitgliedschaft sofort beendet.