Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Contenere
AWS Security Incident Response collabora con te per contenere gli eventi. Puoi configurare il servizio in modo che intraprenda azioni di contenimento proattive nel tuo account in risposta ai risultati di sicurezza. Puoi anche eseguire il contenimento da solo o in collaborazione con le tue relazioni con terze parti utilizzando i documenti SSM descritti in Azioni di contenimento supportate.
Importante
AWS Per impostazione predefinita, Security Incident Response non abilita le funzionalità di contenimento.
Per abilitare le funzionalità di contenimento proattivo sono necessari due passaggi:
-
Concedi le autorizzazioni necessarie al servizio utilizzando i ruoli IAM. Puoi creare questi ruoli singolarmente per account o per l'intera organizzazione utilizzando gli AWS CloudFormation stackset, che creano i ruoli richiesti.
-
Definisci le tue preferenze di contenimento per account o in tutta l'organizzazione per autorizzare azioni di contenimento proattive. Le preferenze a livello di account sostituiscono le preferenze a livello di organizzazione. Ciò può essere fatto creando un AWS Support Case (tecnico: Security Incident Response Service/Altro). Le preferenze di contenimento disponibili sono:
-
Approvazione richiesta (impostazione predefinita): non eseguire il contenimento proattivo di alcuna risorsa senza un'autorizzazione esplicita su base. case-by-case
-
Contenimento confermato: esegui il contenimento proattivo di una risorsa confermata compromessa.
-
Contenimento sospetto: esegui il contenimento proattivo di una risorsa con un'alta probabilità che sia stata compromessa, in base all'analisi eseguita da Security Incident Response Engineering. AWS
-
