Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contenir
AWS Security Incident Response collabore avec vous pour contenir les événements. Vous pouvez configurer le service pour prendre des mesures de confinement proactives dans votre compte en réponse aux résultats de sécurité. Vous pouvez également effectuer le confinement vous-même ou en partenariat avec vos relations avec des tiers en utilisant les documents SSM décrits dans Actions de confinement prises en charge.
Important
AWS Security Incident Response n'active pas les fonctionnalités de confinement par défaut.
Deux étapes sont nécessaires pour activer les capacités de confinement proactives :
-
Accordez les autorisations nécessaires au service à l'aide des rôles IAM. Vous pouvez créer ces rôles individuellement par compte ou dans l'ensemble de votre organisation en utilisant des AWS CloudFormation stacksets, qui créent les rôles requis.
-
Définissez vos préférences de confinement par compte ou au sein de votre organisation pour autoriser des actions de confinement proactives. Les préférences au niveau du compte remplacent les préférences au niveau de l'organisation. Cela peut être fait en créant un dossier de AWS support (technique : service de réponse aux incidents de sécurité/autre). Les préférences de confinement disponibles sont les suivantes :
-
Approbation requise (par défaut) : n'effectuez aucun confinement proactif d'une ressource sans autorisation explicite case-by-case.
-
Contenir les données confirmées : effectuez un confinement proactif d'une ressource dont la compromission a été confirmée.
-
Contenir les personnes suspectes : effectuez un confinement proactif d'une ressource présentant une forte probabilité d'avoir été compromise, sur la base d'une analyse réalisée par l'ingénierie de réponse aux incidents AWS de sécurité.
-
