Definisci le preferenze relative alle azioni di contenimento - AWS Security Incident Response Guida per l'utente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Definisci le preferenze relative alle azioni di contenimento

Le azioni di contenimento consentono a Security Incident Response di eseguire misure di risposta rapide durante un incidente di sicurezza attivo, come l'isolamento degli host compromessi o la rotazione delle credenziali. Queste azioni aiutano a mitigare rapidamente l'impatto degli incidenti di sicurezza nell'ambiente.

Importante

Per impostazione predefinita, Security Incident Response non abilita le funzionalità di contenimento. È necessario autorizzare esplicitamente le azioni di contenimento tramite le preferenze di contenimento.

Per autorizzare i tecnici di Security Incident Response a eseguire azioni di contenimento per conto dell'utente, è necessario definire le preferenze di contenimento a livello di organizzazione o account. Le preferenze a livello di account sostituiscono le preferenze a livello di organizzazione.

Prerequisiti: è necessario disporre delle autorizzazioni per creare casi AWS Support.

Opzioni di contenimento:

  • Nessuna azione di contenimento (impostazione predefinita): i tecnici di Security Incident Response non eseguiranno alcuna azione di contenimento per conto dell'utente.

  • Contenimento con approvazione: i tecnici del Security Incident Response richiederanno la tua approvazione prima di eseguire azioni di contenimento.

  • Contenimento automatico: gli ingegneri del Security Incident Response possono eseguire azioni di contenimento immediatamente senza previa approvazione durante gli incidenti attivi.

Per definire le preferenze di contenimento:

  1. Crea un caso di AWS Support richiedendo di configurare le preferenze relative alle azioni di contenimento per Security Incident Response.

  2. Nel caso di assistenza, specifica:

    • AWS L'ID dell'organizzazione o l'account specifico IDs in cui devono essere autorizzate le azioni di contenimento

    • La tua opzione di contenimento preferita (nessun contenimento, contenimento con approvazione o contenimento automatico)

    • I tipi di azioni di contenimento che desideri autorizzare (ad EC2 esempio isolamento delle istanze, rotazione delle credenziali o modifiche ai gruppi di sicurezza)

  3. AWS L'assistenza collaborerà con te per configurare le tue preferenze di contenimento. Dovrai implementare il necessario per creare AWS CloudFormation StackSet i ruoli IAM richiesti. AWS Support può fornire assistenza se necessario.

Una volta configurato, Security Incident Response può eseguire le azioni di contenimento autorizzate durante gli incidenti di sicurezza attivi per contribuire a proteggere l'ambiente.

Fasi successive: dopo aver configurato le preferenze di contenimento, è possibile monitorare le azioni di contenimento intraprese durante gli incidenti nella console Security Incident Response.