Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memulai
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/NSyUlhDc_d0?si=PguieeTI3HrUbTDs)
**Topics**
+ [
# Panduan orientasiing
](onboarding-guide.md)
+ [
# Matriks RACI
](raci-matrix.md)
+ [
# Pilih akun keanggotaan
](select-a-membership-account.md)
+ [
# Menyiapkan rincian keanggotaan
](setup-membership-details.md)
+ [
# Mengaitkan akun dengan AWS Organizations
](associate-accounts-with-aws-organizations.md)
+ [
# Siapkan respons proaktif dan alur kerja triaging peringatan
](setup-monitoring-and-investigation-workflows.md)
# Panduan orientasiing
Panduan orientasi memandu Anda melalui prasyarat dan tindakan orientasi dan Respons Insiden Keamanan AWS penahanan.
**penting**
Prasyarat
Satu-satunya prasyarat penerapan adalah mengaktifkan. [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
Meskipun tidak diperlukan, sebaiknya aktifkan [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) dan [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html)di semua akun dan aktif Wilayah AWS untuk memaksimalkan manfaat Respons Insiden Keamanan.
Tinjauan GuardDuty dan Respon Insiden Keamanan.
Tinjau [panduan praktik GuardDuty terbaik](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html).
AWS Security Hub CSPM menelan temuan dari vendor deteksi dan respons titik akhir (EDR) pihak ketiga (, FortinetCNApp (Lacework) dan Trend MicroCrowdStrike, antara lain). Jika temuan ini tertelan ke dalam Security Hub CSPM, mereka secara otomatis diprioritaskan oleh Security Incident Response untuk pembuatan kasus proaktif. Untuk mengatur EDR pihak ketiga dengan Security Hub CSPM, lihat [Mendeteksi](https://docs.aws.amazon.com//security-ir/latest/userguide/detect-and-analyze.html) dan Menganalisis.
Untuk mengatur EDR pihak ke-3 dengan Security Hub CSPM:
1. Arahkan ke halaman Integrasi CSPM Security Hub untuk memvalidasi integrasi pihak ke-3 yang ada
1. Dari konsol, navigasikan ke halaman layanan CSPM Security Hub.
1. Pilih **Integrasi** (menggunakan Wiz.io sebagai contoh):
![\[Halaman integrasi CSPM Security Hub yang menunjukkan integrasi pihak ketiga yang tersedia.\]](http://docs.aws.amazon.com/id_id/security-ir/latest/userguide/images/Security_Hub_CSPM.png)
1. Cari vendor yang ingin Anda integrasikan
![\[Antarmuka pencarian untuk menemukan dan memilih integrasi vendor pihak ketiga.\]](http://docs.aws.amazon.com/id_id/security-ir/latest/userguide/images/Integrations.png)
**catatan**
Saat diminta, berikan informasi akun atau langganan Anda. Setelah Anda memberikan informasi ini, Security Incident Response mencerna temuan pihak ke-3. Untuk meninjau harga untuk konsumsi temuan pihak ke-3, lihat halaman **Integrasi** di Security Hub CSPM.
# Menyebarkan dan mengkonfigurasi Respons Insiden Keamanan
1. Pilih **Daftar**
![\[Respons Insiden Keamanan AWS halaman pendaftaran dengan tombol Daftar.\]](http://docs.aws.amazon.com/id_id/security-ir/latest/userguide/images/AWS_Security_incident_Response.png)
1. Pilih akun **alat keamanan** sebagai Administrator Delegasi dari Akun Manajemen.
+ [Arsitektur Referensi Keamanan](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/introduction.html)
+ [Dokumentasi Administrator yang didelegasikan](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)
![\[Siapkan halaman akun keanggotaan pusat untuk memilih akun administrator yang didelegasikan.\]](http://docs.aws.amazon.com/id_id/security-ir/latest/userguide/images/Set_Up_Central_Membership_Account.png)
1. Masuk ke akun administrator yang didelegasikan
1. Masukkan detail keanggotaan dan akun asosiasi
![\[Masukkan detail keanggotaan dan akun asosiasi.\]](http://docs.aws.amazon.com/id_id/security-ir/latest/userguide/images/Define_Membership_Details.png)
# Otorisasi tindakan Respons Insiden Keamanan
Halaman ini menjelaskan cara mengotorisasi Security Incident Response untuk melakukan pemantauan otomatis dan tindakan penahanan di lingkungan Anda AWS . Anda dapat mengaktifkan dua fitur otorisasi yang berbeda: pemantauan respons proaktif dan preferensi tindakan penahanan. Fitur-fitur ini bersifat independen dan dapat diaktifkan secara terpisah berdasarkan persyaratan keamanan Anda.
# Aktifkan Respon Proaktif
Respons proaktif memungkinkan Respons Insiden Keamanan untuk memantau dan menyelidiki peringatan yang dihasilkan dari Amazon GuardDuty dan AWS Security Hub CSPM integrasi di seluruh organisasi Anda. Saat diaktifkan, Security Incident Response memprioritaskan peringatan prioritas rendah dengan otomatisasi layanan sehingga tim Anda dapat fokus pada masalah yang paling kritis.
Untuk mengaktifkan respons proaktif selama orientasi:
1. Di konsol Security Incident Response, navigasikan ke alur kerja orientasi.
1. Tinjau izin layanan yang memungkinkan Respons Insiden Keamanan memantau temuan di semua akun yang tercakup dan aktif didukung Wilayah AWS di organisasi Anda.
1. Pilih **Daftar** untuk mengaktifkan fitur.
![\[Tinjau layar izin layanan yang menunjukkan izin yang diperlukan oleh Respons Insiden Keamanan untuk memantau temuan.\]](http://docs.aws.amazon.com/id_id/security-ir/latest/userguide/images/Review_Service_Permissions.png)
![\[Daftar layar konfirmasi untuk mengaktifkan pemantauan respons proaktif.\]](http://docs.aws.amazon.com/id_id/security-ir/latest/userguide/images/Review_and_Sign_Up.png)
Fitur ini secara otomatis membuat peran terkait layanan di semua akun anggota yang tercakup dalam akun Anda. AWS Organizations Namun, Anda harus secara manual membuat peran terkait layanan di akun manajemen dengan bekerja dengan kumpulan AWS CloudFormation tumpukan.
**Langkah selanjutnya:** Untuk informasi selengkapnya tentang cara kerja Respons Insiden Keamanan dengan Amazon GuardDuty dan AWS Security Hub CSPM, lihat *Mendeteksi dan Menganalisis* di *Panduan Respons Insiden Keamanan AWS Pengguna*.
# Tentukan preferensi tindakan penahanan
Tindakan penahanan memungkinkan Respons Insiden Keamanan AWS untuk melakukan tindakan respons cepat selama insiden keamanan aktif. Tindakan ini membantu dengan cepat mengurangi dampak insiden keamanan di lingkungan Anda.
**penting**
Respons Insiden Keamanan tidak mengaktifkan kemampuan pembatasan secara default. Anda harus secara eksplisit mengotorisasi tindakan penahanan melalui preferensi penahanan Anda.
Untuk memberi wewenang kepada Respons Insiden Keamanan AWS teknisi untuk melakukan tindakan penahanan atas nama Anda, selain menerapkan [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html)yang membuat peran IAM yang diperlukan, Anda harus menentukan preferensi penahanan tingkat organisasi atau akun Anda. Preferensi tingkat akun menggantikan preferensi tingkat organisasi.
**Prasyarat:** Anda harus memiliki izin untuk membuat kasus. AWS Dukungan
**Opsi penahanan:**
+ **Persetujuan diperlukan** (default): Jangan melakukan penahanan proaktif sumber daya apa pun tanpa otorisasi eksplisit atas dasar. case-by-case
+ **Berisi dikonfirmasi**: Lakukan penahanan proaktif dari sumber daya yang dikonfirmasi untuk dikompromikan.
+ **Mengandung dugaan**: Lakukan penahanan proaktif sumber daya dengan kemungkinan besar telah dikompromikan, berdasarkan analisis yang dilakukan oleh rekayasa. Respons Insiden Keamanan AWS
Untuk menentukan preferensi penahanan:
1. [Buat AWS Dukungan kasus yang](https://docs.aws.amazon.com/security-ir/latest/userguide/create-support-case.html) meminta untuk mengonfigurasi preferensi tindakan penahanan untuk Respons Insiden Keamanan.
1. Dalam kasus dukungan Anda, tentukan:
+ AWS Organizations ID atau akun spesifik Anda IDs di mana tindakan penahanan harus diotorisasi
+ Opsi penahanan pilihan Anda (Persetujuan diperlukan, Mengandung dikonfirmasi, atau Mengandung yang dicurigai).
+ Jenis tindakan penahanan yang ingin Anda otorisasi (seperti isolasi instans EC2, rotasi kredenal, atau modifikasi grup keamanan)
1. AWS Dukungan bekerja dengan Anda untuk mengonfigurasi preferensi penahanan Anda. Anda harus menerapkan yang diperlukan AWS CloudFormation StackSet yang menciptakan peran IAM yang diperlukan. AWS Dukungan dapat memberikan bantuan, jika diperlukan.
Saat dikonfigurasi, Respons Insiden Keamanan AWS jalankan tindakan penahanan resmi selama insiden keamanan aktif untuk membantu melindungi lingkungan Anda.
**Langkah selanjutnya:** Setelah preferensi penahanan dikonfigurasi, Anda dapat memantau tindakan penahanan yang diambil selama insiden di konsol Respons Insiden Keamanan.
# Pasca penyebaran Respons Insiden Keamanan
AWS terintegrasi dengan kerangka respons insiden Anda yang ada alih-alih menggantinya.
1. Tinjau kemampuan integrasi operasional kami untuk meningkatkan praktik Anda saat ini.
1. Tonton demo dukungan keanggotaan tingkat OU kami, EventBridge pemanfaatan, dan integrasi Jira-ITSM untuk operasi keamanan yang lebih efisien.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/lVSi5XyMlws)
# Perbarui Tim Respons Insiden
1. *Pastikan Anda berlangganan dan telah menyelesaikan langkah-langkah orientasi yang dijelaskan dalam panduan Orientasi ini.*
1. Pilih Tim Respons Insiden dari navigasi kiri.
1. Pilih rekan tim yang ingin Anda tambahkan ke tim Anda.
![\[AWS layanan mengirim acara ke bus acara EventBridge default. Jika acara cocok dengan pola acara aturan, EventBridge kirimkan acara ke target yang ditentukan untuk aturan tersebut.\]](http://docs.aws.amazon.com/id_id/security-ir/latest/userguide/images/Teamates.png)
**catatan**
Tim dapat mencakup kepemimpinan organisasi, penasihat hukum, mitra MDR, insinyur cloud, dan lainnya. Anda dapat menambahkan hingga 10 anggota tambahan. Sertakan hanya nama, judul, dan alamat email untuk setiap anggota.
# AWS kasus yang didukung
Respons Insiden Keamanan AWS menyediakan portal manajemen kasus berbasis langganan tempat organisasi Anda terlibat langsung dengan teknisi Respons Insiden Keamanan kami. Kami membantu investigasi keamanan dan insiden aktif dengan SLO 15 menit, tanpa batasan pada kasus reaktif. Silakan lihat dokumentasi Buat Kasus yang AWS Didukung.
**Perluas Tim Investigasi**
Melalui Portal Manajemen Kasus, Anda dapat memberikan visibilitas kasus kepada pihak eksternal dengan menambahkan kebijakan Watchers dan IAM. Gunakan opsi ini untuk mitra, tim hukum, atau ahli materi pelajaran.
**Untuk menambahkan Watchers ke kasing:**
1. Buka kasus apa pun dari portal Kasus Respons Insiden Keamanan.
![\[AWS layanan mengirim acara ke bus acara EventBridge default. Jika acara cocok dengan pola acara aturan, EventBridge kirimkan acara ke target yang ditentukan untuk aturan tersebut.\]](http://docs.aws.amazon.com/id_id/security-ir/latest/userguide/images/Cases.png)
1. Pilih tab Izin
![\[AWS layanan mengirim acara ke bus acara EventBridge default. Jika acara cocok dengan pola acara aturan, EventBridge kirimkan acara ke target yang ditentukan untuk aturan tersebut.\]](http://docs.aws.amazon.com/id_id/security-ir/latest/userguide/images/Overview.png)
1. Pilih Tambah
![\[AWS layanan mengirim acara ke bus acara EventBridge default. Jika acara cocok dengan pola acara aturan, EventBridge kirimkan acara ke target yang ditentukan untuk aturan tersebut.\]](http://docs.aws.amazon.com/id_id/security-ir/latest/userguide/images/Watchers.png)
**catatan**
Setiap kasus mencakup kebijakan IAM yang telah diisi sebelumnya yang memberikan akses hanya ke kasus tertentu itu, dengan mempertahankan hak istimewa paling sedikit. Salin dan tempel kebijakan ini langsung ke peran IAM atau pengguna untuk mitra MDR pihak ketiga atau tim investigasi tertentu untuk memungkinkan kontribusi mereka.
# GuardDuty temuan dan aturan penindasan
Respons Insiden Keamanan AWS secara proaktif mencerna, melakukan triase, dan menanggapi semua temuan dan GuardDuty temuan Amazon dari, FortinetCNApp (Lacework) CrowdStrike, dan AWS Security Hub CSPM Trend Micro. Teknologi auto-triage kami menghilangkan persyaratan analisis internal. Layanan ini membuat aturan penindasan dan arsip otomatis di GuardDuty dan CSPM Security Hub untuk temuan jinak. Lihat atau ubah aturan ini di bawah “Temuan” di GuardDuty konsol Amazon.
Untuk meninjau Aturan GuardDuty Penindasan yang diaktifkan, selesaikan langkah-langkah berikut:
1. Buka GuardDuty konsol Amazon.
1. Pilih **Temuan**.
1. Di panel navigasi, pilih Aturan **penindasan**. Halaman **Aturan Supresi** menampilkan daftar semua aturan penekanan untuk akun Anda.
1. Untuk meninjau atau mengubah pengaturan aturan, pilih aturan, lalu pilih **Perbarui aturan penekanan** dari menu **Tindakan**.
**catatan**
Organizations yang menggunakan teknologi SIEM telah secara signifikan mengurangi volume GuardDuty pencarian dari waktu ke waktu, meningkatkan layanan Security Incident Response dan efisiensi SIEM.
# Amazon EventBridge
Amazon EventBridge mengaktifkan arsitektur berbasis peristiwa untuk Respons Insiden Keamanan, memungkinkan aktivitas kasus memicu layanan hilir (SNS, Lambda, SQS, Step-Functions) atau alat eksternal ( ServiceNowJira,, Teams, Slack,). PagerDuty
**Untuk mengkonfigurasi EventBridge aturan:**
1. Akses Amazon EventBridge
1. Pilih **Aturan** dari **dropdown Bus**.
![\[AWS layanan mengirim acara ke bus acara EventBridge default. Jika acara cocok dengan pola acara aturan, EventBridge kirimkan acara ke target yang ditentukan untuk aturan tersebut.\]](http://docs.aws.amazon.com/id_id/security-ir/latest/userguide/images/Amazon_EventBridge_rules.png)
1. Pilih **Buat aturan**.
1. Masukkan detail aturan.
1. Pilih **Berikutnya**.
![\[AWS layanan mengirim acara ke bus acara EventBridge default. Jika acara cocok dengan pola acara aturan, EventBridge kirimkan acara ke target yang ditentukan untuk aturan tersebut.\]](http://docs.aws.amazon.com/id_id/security-ir/latest/userguide/images/Define_Rule.png)
1. Gulir ke **AWS layanan,**. dan kemudian pilih **Respons Insiden Keamanan AWS**dari menu tarik-turun.
![\[AWS layanan mengirim acara ke bus acara EventBridge default. Jika acara cocok dengan pola acara aturan, EventBridge kirimkan acara ke target yang ditentukan untuk aturan tersebut.\]](http://docs.aws.amazon.com/id_id/security-ir/latest/userguide/images/Event_Pattern_Security.png)
1. Dari dropdown **Event Type**, pilih event atau API call yang ingin Anda buat polanya.
1. Anda dapat mengedit pola secara manual untuk menyertakan lebih dari satu acara.
1. Pilih **Berikutnya**.
![\[AWS layanan mengirim acara ke bus acara EventBridge default. Jika acara cocok dengan pola acara aturan, EventBridge kirimkan acara ke target yang ditentukan untuk aturan tersebut.\]](http://docs.aws.amazon.com/id_id/security-ir/latest/userguide/images/Event_Pattern.png)
**catatan**
Pilih satu atau beberapa target (Amazon Simple Notification Service, AWS Lambda, SSM document, Step-Function) untuk acara Anda. Konfigurasikan target lintas akun, jika perlu.
Anda dapat memeriksa pola integrasi mitra di bawah Sumber Acara Mitra di menu EventBridge Integrasi. Mitra yang tersedia termasuk Atlassian (Jira),, New Relic DataDog, Symantec, dan Zendesk PagerDuty, di antara banyak lainnya.
![\[AWS layanan mengirim acara ke bus acara EventBridge default. Jika acara cocok dengan pola acara aturan, EventBridge kirimkan acara ke target yang ditentukan untuk aturan tersebut.\]](http://docs.aws.amazon.com/id_id/security-ir/latest/userguide/images/Amazon_EventBridge_Partners.png)
# Integrasi dan alur kerja perkakas eksternal
**AWS solusi untuk mengintegrasikan JIRA atau ServiceNow dengan Security Incident Response**
Terapkan solusi kami yang sepenuhnya dikembangkan untuk integrasi dua arah dengan Jira dan. ServiceNow Integrasi ini memungkinkan komunikasi dua arah antara Respons Insiden Keamanan AWS Kasus dan platform ITSM Anda, dengan pembaruan kasus secara otomatis tercermin dalam tugas Jira yang sesuai.
**Manfaat Integrasi**
Mengintegrasikan Respons Insiden Keamanan AWS dengan platform ITSM Anda yang ada merampingkan operasi keamanan Anda dengan memusatkan alur kerja pelacakan insiden dan respons. Solusi pra-bangun ini menghilangkan kebutuhan akan pengembangan khusus, memungkinkan tim keamanan Anda mempertahankan visibilitas di seluruh sistem manajemen AWS insiden asli dan perusahaan. Dengan memanfaatkan Amazon EventBridge untuk otomatisasi berbasis peristiwa, pembaruan mengalir dengan mulus antar platform secara real-time, membantu memastikan bahwa insiden keamanan dilacak secara konsisten terlepas dari mana asalnya. Pendekatan terpadu ini mengurangi peralihan konteks untuk analis keamanan, meningkatkan waktu respons, dan menyediakan jejak audit komprehensif di seluruh siklus hidup respons insiden Anda.
Untuk mengkonfigurasi EventBridge aturan:
1. Akses Amazon EventBridge.
1. Pilih **Aturan** dari **dropdown Bus**.
# Alur kerja perkakas eksternal
Security Incident Response terintegrasi dengan alat dan mitra eksternal dalam berbagai cara:
+ *Integrasi SIEM:* Insinyur Respons Insiden Keamanan membantu menganalisis dan menyelidiki temuan tersebut secara paralel dengan tim Anda saat Anda mengirimkan kasus yang AWS didukung. Kami mengidentifikasi korelasi di seluruh lingkungan hybrid dan multi-cloud, membantu lingkup pergerakan aktor ancaman antar penyedia.
+ *Meningkatkan operasi keamanan yang ada:* Kami mengganti alur kerja GuardDuty respons tradisional dengan model respons paralel yang lebih efisien. Banyak organisasi saat ini menggunakan teknologi SIEM untuk mendeteksi alur kerja melalui manajemen kasus. Layanan ini menyediakan alternatif yang disederhanakan khusus untuk temuan GuardDuty (dan pilih Security Hub CSPM). Solusi ini memanfaatkan teknologi auto-triage canggih dengan pengawasan manusia untuk membuat kasus proaktif di portal Anda, secara bersamaan memperingatkan tim respons Anda dan melibatkan teknisi Respons Insiden Keamanan kami untuk upaya remediasi terkoordinasi.
+ *Tim investigasi pihak ketiga:* Insinyur Respons Insiden Keamanan kami berkolaborasi langsung dengan mitra dan penyedia MDR Anda.
# Lampiran A: Titik kontak
Menyediakan metadata Anda di muka kepada teknisi Respons Insiden Keamanan kami, dapat membantu mempercepat waktu pembuatan profil, meningkatkan kepercayaan pada teknologi triaging kami di luar gerbang. Ini membantu mengurangi positif palsu di muka yang diidentifikasi ketika kami mulai menelan temuan ancaman Anda dan menciptakan “dunia baik yang dikenal” Anda.
**Informasi Kontak Personil IR dan SOC**
| Entry | IR \$1 Personil SOC: Peran, Nama, Email | Kontak Eskalasi Primer, Sekunder | Rentang CIDR Internal yang Diketahui | Eksternal, Kisaran CIDR yang Dikenal | Penyedia Layanan Cloud Tambahan | AWS Wilayah Kerja | Server DNS IPs (jika selain Amazon Route 53 Resolver) | VPN \$1 Solusi Akses Jarak Jauh dan IPs | Nama Aplikasi Kritis \$1 Nomor Akun | Pelabuhan yang Tidak Biasa Digunakan | EDR \$1 AV \$1 Alat Manajemen Kerentanan Digunakan | IDP \$1 Lokasi |
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- |
| 1 | Komandan SOC, John Smith, jsmith@example.com | Primer | 10.0.0.0/16 | 5.5.60.0/20 (Azure) | Biru langit | us-east-1, us-east-2 | N/A | Direct Connect, Public VIF 116.32.8.7 | Server Web Nginx (Contoh Kritis) \$1 1234567890 | 8080 | CrowdStrike Falcon | Entra, Azure |
| | | | | | | | | | | | | |
| | | | | | | | | | | | | |
| | | | | | | | | | | | | |
[Untuk mengirimkan informasi metadata untuk lingkungan Anda, buat kasus.AWS Dukungan](https://repost.aws/knowledge-center/get-aws-technical-support)
**Untuk mengirimkan metadata**
1. Lengkapi tabel metadata dengan informasi lingkungan Anda.
1. Buat AWS Dukungan kasing dengan detail berikut:
+ **Jenis kasus:** Teknis
+ **Layanan: Layanan** Respons Insiden Keamanan
+ **Kategori: Lain-lain**
1. Lampirkan tabel metadata yang sudah selesai ke kasing.
# Matriks RACI
Matriks RACI berikut mendefinisikan peran dan tanggung jawab di seluruh proses implementasi Security Incident Response. RACI adalah singkatan dari Responsible (R), Accountable (A), Consulted (C), dan Informed (I).
| Aktifitas | Pelanggan | AWS Tim Akun | Tim SIR |
| --- | --- | --- | --- |
| Pra-Orientasi |
| Identifikasi Pemangku Kepentingan Utama | R | | I |
| Validasi Menemukan Sumber | R | C | I |
| [Integrasi EDR Pihak Ketiga] Security Hub CSPM | R | C | I |
| GuardDuty Validasi/Pemeriksaan Kesehatan | C | R | I |
| Tentukan Lingkup Akun | R | | |
| Menetapkan Protokol Eskalasi | R | I | C |
| Aktifkan AWS Organizations | R | C | |
| Mengaitkan akun dengan AWS Organizations | R | I | |
| Pilih Administrator Delegasi/Akun Perkakas Keamanan | R | I | |
| Orientasi |
| Menyiapkan rincian keanggotaan | R | I | |
| Walkthrough (Menyiapkan respons proaktif dan alur kerja triaging peringatan; Menyebarkan peran terkait layanan ke akun manajemen; Otorisasi tindakan penahanan) | R | C | I |
| Konfigurasi Pasca-Penerapan |
| Tinjau kemampuan integrasi operasional | R | C | I |
| Kirim Kasus Reaktif Respon Insiden Keamanan | R | | |
| Konfigurasikan EventBridge integrasi Amazon | R | C | C |
| Connect perkakas pihak ke-3 (Jira,, ServiceNow, Teams PagerDuty, dll.) | R | I | C |
| Layanan deep dive dan demo | A | R | C |
**Definisi RACI:**
+ **Bertanggung jawab (R)** - Pihak yang melakukan pekerjaan untuk menyelesaikan tugas
+ **Akuntabel (A)** - Pihak pada akhirnya bertanggung jawab atas penyelesaian tugas yang benar
+ **Konsultasikan (C)** - Pihak yang pendapatnya dicari dan dengan siapa ada komunikasi dua arah
+ **Informed (I)** - Pihak yang up-to-date terus maju dan dengan siapa ada komunikasi satu arah
# Pilih akun keanggotaan
Akun keanggotaan adalah AWS akun yang digunakan untuk mengonfigurasi detail akun, menambah dan menghapus detail untuk tim respons insiden Anda, dan tempat semua peristiwa keamanan aktif dan historis dapat dibuat dan dikelola. Disarankan agar Anda menyelaraskan akun Respons Insiden Keamanan AWS keanggotaan Anda ke akun yang sama yang telah Anda aktifkan untuk layanan seperti Amazon GuardDuty dan AWS Security Hub CSPM.
Anda memiliki dua opsi untuk memilih akun Respons Insiden Keamanan AWS keanggotaan Anda menggunakan AWS Organizations. Anda dapat membuat keanggotaan di akun manajemen Organizations atau di akun administrator yang didelegasikan Organizations.
**Gunakan akun administrator yang didelegasikan:** tugas Respons Insiden Keamanan AWS administratif dan manajemen kasus terletak di akun administrator yang didelegasikan. Sebaiknya gunakan administrator terdelegasi yang sama yang telah Anda tetapkan untuk layanan AWS keamanan dan kepatuhan lainnya. Berikan 12 digit ID akun administrator yang didelegasikan dan kemudian masuk ke akun itu untuk melanjutkan.
**penting**
Bila Anda menggunakan akun administrator yang didelegasikan sebagai bagian dari penyiapan, tidak Respons Insiden Keamanan AWS dapat secara otomatis membuat peran terkait layanan triase yang diperlukan di akun AWS Organizations manajemen Anda.
Anda dapat menggunakan IAM untuk membuat peran ini di akun AWS Organizations manajemen Anda
Masuk ke akun AWS Organizations manajemen Anda.
Akses [AWS CloudShell](https://console.aws.amazon.com/cloudshell/home)jendela atau akses akun melalui CLI dengan metode pilihan Anda.
Gunakan perintah CLI `aws iam create-service-linked-role --aws-service-name "triage.security-ir.amazonaws.com" --no-cli-pager`
(Opsional) Untuk memverifikasi perintah bekerja Anda dapat menjalankan perintah `aws iam get-role --role-name AWSServiceRoleForSecurityIncidentResponse_Triage`
**Gunakan akun yang saat ini masuk**: Memilih akun ini berarti akun saat ini akan ditetapkan sebagai akun keanggotaan pusat untuk Respons Insiden Keamanan AWS keanggotaan Anda. Individu dalam organisasi Anda perlu mengakses layanan melalui akun ini untuk membuat, mengakses, dan mengelola kasus yang aktif dan diselesaikan.
Pastikan Anda memiliki izin yang cukup untuk dikelola Respons Insiden Keamanan AWS.
Lihat [Menambahkan dan menghapus izin identitas IAM untuk langkah-langkah spesifik untuk menambahkan izin](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
Lihat [kebijakan Respons Insiden Keamanan AWS terkelola.](https://docs.aws.amazon.com/security-ir/latest/userguide/aws-managed-policies.html)
Untuk memverifikasi izin IAM, Anda dapat mengikuti langkah-langkah berikut:
+ *Periksa Kebijakan IAM: Tinjau kebijakan* IAM yang dilampirkan pada pengguna, grup, atau peran Anda untuk memastikannya memberikan izin yang diperlukan. Anda dapat melakukan ini dengan menavigasi ke, pilih `Users` opsi [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/), pilih pengguna tertentu, dan kemudian pada halaman ringkasan mereka, buka `Permissions` tab di mana Anda dapat melihat daftar semua kebijakan terlampir; Anda dapat memperluas setiap baris kebijakan untuk melihat detailnya.
+ *Uji Izin:* Cobalah untuk melakukan tindakan yang Anda perlukan untuk memverifikasi izin. Misalnya, jika Anda perlu mengakses kasing, cobalah`ListCases`. Jika Anda tidak memiliki izin yang diperlukan, Anda akan menerima pesan kesalahan.
+ *Gunakan AWS CLI atau SDK:* Anda dapat menggunakan AWS Command Line Interface atau AWS SDK dalam bahasa pemrograman pilihan Anda untuk menguji izin. Misalnya, dengan AWS Command Line Interface, Anda dapat menjalankan `aws sts get-caller-identity` perintah untuk memverifikasi izin pengguna Anda saat ini.
+ *Periksa AWS CloudTrail log:* [Tinjau CloudTrail log](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) untuk melihat apakah tindakan yang Anda coba lakukan sedang dicatat. Ini dapat membantu Anda mengidentifikasi masalah izin apa pun.
+ *Gunakan simulator kebijakan IAM: Simulator* [kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html) adalah alat yang memungkinkan Anda menguji kebijakan IAM dan melihat efeknya terhadap izin Anda.
**catatan**
Langkah-langkah spesifik dapat bervariasi tergantung pada AWS layanan dan tindakan yang Anda coba lakukan.
# Menyiapkan rincian keanggotaan
+ Pilih Wilayah AWS tempat keanggotaan dan kasus Anda akan disimpan.
**Awas**
Anda tidak dapat mengubah default Wilayah AWS setelah pendaftaran keanggotaan awal.
+ Pilih apakah Anda ingin memberikan cakupan keanggotaan penuh atas seluruh AWS Organizations atau sebagian dari unit organisasi Anda AWS Organizations (OUs).
+ Anda dapat memilih nama untuk keanggotaan ini secara opsional.
+ Kontak primer dan sekunder harus diberikan sebagai bagian dari alur kerja buat keanggotaan. Kontak ini secara otomatis disertakan sebagai bagian dari tim respons insiden Anda. Setidaknya dua kontak harus ada untuk satu keanggotaan yang juga memastikan minimal dua kontak dimasukkan dalam tim respons insiden.
+ Tentukan tag opsional untuk keanggotaan Anda. Tag membantu Anda melacak AWS biaya dan mencari sumber daya.
# Mengaitkan akun dengan AWS Organizations
Jika Anda memilih untuk mengaitkan keseluruhan AWS Organizations selama penyiapan, keanggotaan Anda berhak mendapatkan cakupan pada semua akun anggota di organisasi. Akun terkait akan diperbarui secara otomatis saat akun ditambahkan atau dihapus dari organisasi Anda.
Jika Anda memilih untuk mengaitkan bagian Anda AWS Organizations selama pengaturan dan telah membatasi keanggotaan Anda ke unit organisasi tertentu (OUs), keanggotaan Anda berhak cakupan atas semua akun di bawah yang dipilih OUs. Ini termasuk akun di bawah sub- OUs dari yang dipilih OUs. Akun terkait diperbarui secara otomatis saat akun ditambahkan atau dihapus dari akun tersebut OUs.
Untuk mempelajari lebih lanjut tentang praktik terbaik yang melibatkan unit organisasi, lihat [Mengatur AWS lingkungan Anda Menggunakan beberapa akun](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html).
# Siapkan respons proaktif dan alur kerja triaging peringatan
Respons Insiden Keamanan AWS memantau dan menyelidiki peringatan ancaman yang dihasilkan dari integrasi CSPM Amazon GuardDuty dan Security Hub. Untuk menggunakan fitur ini, [Amazon GuardDuty harus diaktifkan](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html). Respons Insiden Keamanan AWS melakukan triase peringatan prioritas rendah dengan otomatisasi layanan sehingga tim Anda dapat fokus pada masalah yang paling kritis. Untuk informasi tambahan tentang cara Respons Insiden Keamanan AWS kerja dengan Amazon GuardDuty dan AWS Security Hub CSPM, silakan tinjau bagian [Deteksi dan Analisis](https://docs.aws.amazon.com/security-ir/latest/userguide/detect-and-analyze.html) pada panduan pengguna.
Jika Anda mengalami masalah orientasi, [buatlah AWS Dukungan kasus](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case) untuk bantuan tambahan. Pastikan untuk menyertakan detail termasuk Akun AWS ID dan kesalahan apa pun yang mungkin Anda lihat selama proses penyiapan.
**catatan**
Jika Anda memiliki pertanyaan tentang aturan GuardDuty penindasan Amazon, konfigurasi triaging peringatan, atau alur kerja respons proaktif, Anda dapat membuat kasus yang AWS didukung dengan jenis kasus **Investigasi dan Pertanyaan untuk berkonsultasi dengan tim Respons Insiden** Keamanan. AWS Untuk informasi selengkapnya, lihat [Buat kasus yang AWS didukung](create-an-aws-supported-case.md).
Fitur ini memungkinkan Respons Insiden Keamanan AWS untuk memantau dan menyelidiki temuan di semua akun yang tercakup dan AWS Wilayah aktif yang didukung di organisasi Anda. Untuk memfasilitasi fungsi ini, Respons Insiden Keamanan AWS secara otomatis membuat peran terkait layanan di semua akun anggota yang tercakup dalam akun Anda. AWS Organizations Namun, untuk akun manajemen, Anda harus membuat peran terkait layanan secara manual untuk mengaktifkan pemantauan.
*Layanan tidak dapat membuat peran terkait layanan di akun manajemen. Anda harus membuat peran ini secara manual di akun manajemen dengan [bekerja dengan set AWS CloudFormation tumpukan](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html).*
# Memahami Pengarsipan Otomatis dengan Respon Proaktif
Saat Anda mengaktifkan respons proaktif dan triaging peringatan, Respons Insiden Keamanan AWS secara otomatis memantau dan mem-triase temuan keamanan dari Amazon dan Security GuardDuty Hub CSPM. Sebagai bagian dari alur kerja triase otomatis ini, temuan secara otomatis diarsipkan berdasarkan kriteria berikut:
**Perilaku pengarsipan otomatis:**
+ **Temuan jinak:** Ketika proses auto-triase menentukan bahwa temuan itu jinak (bukan ancaman keamanan sejati), Respons Insiden Keamanan AWS secara otomatis mengarsipkan temuan di Amazon GuardDuty dan membuat aturan penindasan untuk mencegah temuan serupa menghasilkan peringatan di masa depan.
+ **Aturan penindasan:** Layanan membuat aturan penekanan dan pengarsipan otomatis di Amazon dan Security GuardDuty Hub CSPM untuk temuan yang sesuai dengan pola lingkungan Anda yang diketahui baik, seperti alamat IP yang diharapkan, entitas IAM, dan perilaku operasional normal.
+ **Mengurangi volume peringatan:** Organizations menggunakan teknologi SIEM melihat volume GuardDuty pencarian Amazon berkurang secara signifikan dari waktu ke waktu karena layanan mempelajari lingkungan Anda dan secara otomatis mengarsipkan temuan jinak. Ini meningkatkan efisiensi untuk Respons Insiden Keamanan AWS layanan dan SIEM Anda.
**Melihat temuan yang diarsipkan:**
Anda dapat meninjau temuan yang diarsipkan secara otomatis dan aturan penekanan yang dibuat oleh: Respons Insiden Keamanan AWS
1. Arahkan ke GuardDuty konsol Amazon
1. Pilih **Temuan**
1. Pilih **Diarsipkan** dari filter temuan
1. Tinjau aturan penindasan dengan memilih panah bawah di samping setiap aturan
**Pertimbangan penting:**
+ Temuan yang diarsipkan disimpan di Amazon GuardDuty selama 90 hari dan dapat dilihat kapan saja selama periode tersebut
+ Anda dapat mengubah atau menghapus aturan penindasan kapan saja melalui konsol Amazon GuardDuty
+ Proses auto-triase terus beradaptasi dengan lingkungan Anda, meningkatkan akurasi dari waktu ke waktu dan mengurangi positif palsu
**Penahanan:** Jika terjadi insiden keamanan, Respons Insiden Keamanan AWS dapat melakukan tindakan penahanan untuk mengurangi dampak dengan cepat, seperti mengisolasi host yang dikompromikan atau memutar kredensyal. Respons Insiden Keamanan tidak mengaktifkan kemampuan pembatasan secara default. Untuk menjalankan tindakan penahanan ini, Anda harus terlebih dahulu memberikan izin yang diperlukan untuk layanan. Ini dapat dilakukan dengan menerapkan [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html), yang menciptakan peran yang diperlukan.