View a markdown version of this page

Fase 1: Abilita AWS Security Incident Response - AWS Security Incident Response Guida per l’utente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fase 1: Abilita AWS Security Incident Response

Il processo di onboarding richiede circa 10-15 minuti per organizzazione. AWS Per una procedura dettagliata, guarda il video Getting Started nella documentazione del servizio.

Nota

Le istruzioni contenute in questa sezione descrivono come abilitare Security Incident Response e configurare il team utilizzando la AWS Security Incident Response console (Fase 1 e Fase 2). Puoi eseguire questi passaggi anche utilizzando. API/CLI Per istruzioni sull'uso di API/CLI, vedereAbilita Security Incident Response e configura il tuo team di risposta agli incidenti utilizzando il API/CLI.

Attiva AWS Security Incident Response utilizzando il AWS Security Incident Response console

  1. Accedi alla console di AWS gestione utilizzando il tuo account di gestione.

  2. Apri la AWS Security Incident Response console e scegli Registrati.

    AWS Security Incident Response pagina di registrazione con il pulsante Iscriviti.

  3. Configura il tuo account di iscrizione centrale. Per ulteriori informazioni, consulta Security Reference Architecture in AWS Prescriptive Guidance e Considerazioni e raccomandazioni scopri come funziona un account amministratore delegato di Security Incident Response.

    Configura la pagina centrale dell'account di iscrizione per la selezione di un account amministratore delegato.

  4. Accedi all'account amministratore delegato.

  5. Inserisci i dettagli della tua iscrizione e associa gli account pertinenti.

  6. Per l'ambito dell'account, scegli di abilitarlo AWS Security Incident Response per l'intera AWS organizzazione o per unità organizzative specifiche. È possibile selezionare la copertura a livello di unità organizzativa, ma non a livello di singolo account.

  7. La risposta proattiva è attiva per impostazione predefinita e crea un ruolo collegato al servizio che consente a Security Incident Response Engineering di acquisire GuardDuty i risultati e aprire casi di indagine proattiva quando vengono rilevate minacce. Per ulteriori informazioni, consulta Risposta proattiva.

    AWS Security Incident Response crea automaticamente il ruolo AWSServiceRoleForSecurityIncidentResponse_Triage collegato al servizio nell'account di AWS Organizations gestione e in tutti gli account inclusi nell'ambito.

  8. (Facoltativo) Scegliete di pre-autorizzare Security Incident Response Engineering a eseguire azioni di contenimento per vostro conto durante gli incidenti attivi. Le azioni di contenimento supportate includono runbook per bucket S3 compromessi, istanze EC2 e principi IAM. Se salti questo passaggio, Security Incident Response Engineering fornirà una guida manuale durante le indagini. Per ulteriori informazioni, consulta Azioni di contenimento.

  9. Controlla le autorizzazioni del servizio e la configurazione di onboarding, quindi scegli Registrati.

    Rivedi la schermata delle autorizzazioni di servizio che mostra le autorizzazioni necessarie per monitorare i risultati. AWS Security Incident Response
    Schermata di conferma della registrazione per abilitare il monitoraggio proattivo della risposta.