Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Rileva e analizza
Segnalazione di un evento
Puoi segnalare un evento di sicurezza tramite il AWS Security Incident Response portale. È importante non aspettare durante un evento di sicurezza. AWS Security Incident Response utilizza tecniche automatizzate e manuali per indagare sugli eventi di sicurezza, analizzare i log e cercare schemi anomali. La collaborazione e la comprensione dell'ambiente in uso accelerano questa analisi.
Abilitazione delle fonti di rilevamento supportate
Nota
AWS Security Incident Response i costi del servizio non includono l'utilizzo e altri costi e tariffe associati alle fonti di rilevamento o all'uso di altri AWS servizi supportate. Per i dettagli sui costi, consulta le pagine delle singole funzionalità o dei servizi.
Amazon GuardDuty
Per abilitarlo GuardDuty in tutta la tua organizzazione, consulta la Setting up GuardDuty sezione della Amazon GuardDuty User Guide.
Ti consigliamo vivamente di abilitare tutte GuardDuty le funzionalità supportate Regioni AWS. Ciò consente di GuardDuty generare informazioni su attività non autorizzate o insolite anche in aree che non vengono utilizzate attivamente. Per ulteriori informazioni, consulta le GuardDuty regioni e gli endpoint Amazon
Enabling GuardDuty fornisce AWS Security Incident Response l'accesso ai dati critici di rilevamento delle minacce, migliorando la sua capacità di identificare e rispondere a potenziali problemi di sicurezza nel tuo AWS ambiente.
AWS Security Hub CSPM
Security Hub CSPM può acquisire i risultati di sicurezza da diversi AWS servizi e soluzioni di sicurezza di terze parti supportate. Queste integrazioni possono aiutare a AWS Security Incident Response monitorare e analizzare i risultati provenienti da altri strumenti di rilevamento.
Per abilitare l'integrazione di Security Hub CSPM with Organizations, consulta la Guida per l'AWS Security Hub CSPM utente.
Esistono diversi modi per abilitare le integrazioni su Security Hub CSPM. Per le integrazioni di prodotti di terze parti, potrebbe essere necessario acquistare l'integrazione da e quindi Marketplace AWS configurare l'integrazione. Le informazioni sull'integrazione forniscono collegamenti per completare queste attività. Scopri di più su come abilitare AWS Security Hub CSPM le integrazioni.
AWS Security Incident Response può monitorare e analizzare i risultati dei seguenti strumenti quando sono integrati con AWS Security Hub CSPM:
Abilitando queste integrazioni, è possibile migliorare in modo significativo la portata e l'efficacia delle capacità AWS Security Incident Response di monitoraggio e indagine.
Rilevamento
Se la «Risposta proattiva» è abilitata https://docs.aws.amazon.com/security-ir/latest/userguide/setup, monitoring-and-investigation-workflows.html acquisisce i AWS Security Incident Response risultati da Amazon e GuardDuty tramite EventBridge le regole di AWS Security Hub CSPM Amazon che vengono distribuite ai tuoi account durante l'onboarding.
AWS Security Incident Response archivia automaticamente GuardDuty i risultati di Amazon che durante il triage automatico sono determinati come benigni o associati all'attività prevista. Puoi visualizzare i risultati archiviati nella GuardDuty console Amazon selezionando Archiviato dal filtro Status dei risultati. Per ulteriori informazioni, consulta Visualizzazione dei risultati generati nella GuardDuty console nella Amazon GuardDuty User Guide.
AWS Security Incident Response archivia automaticamente GuardDuty i risultati di Amazon che durante il triage automatico sono determinati come benigni o associati all'attività prevista. Questa archiviazione avviene solo per i risultati che sono stati valutati e il cui risultato è stato designato come «archivio». I risultati oggetto di indagine attiva rimangono visibili nella GuardDuty console Amazon anche dopo la conclusione di un'indagine. Puoi visualizzare i risultati archiviati nella GuardDuty console Amazon selezionando Archiviato dal filtro dei risultati. Per ulteriori informazioni sull'utilizzo dei risultati archiviati, consulta Lavorare con i risultati nella Amazon GuardDuty User Guide.
Quando AWS Security Hub CSPM acquisisce i risultati di sicurezza, il sistema aggiorna ogni risultato con una nota che indica che il triage automatico è iniziato. Lo stato del flusso di lavoro passa da NUOVO a NOTIFICATO, il che rimuove il risultato dalla visualizzazione predefinita dei AWS Security Hub CSPM risultati. Se il triage determina che un risultato è innocuo o associato all'attività prevista, il sistema aggiunge una nota al risultato e aggiorna lo stato del flusso di lavoro su SUPPRESSED.
Analisi: triage automatico
AWS Security Incident Response valuta automaticamente i risultati di sicurezza. Il processo di valutazione determina se l'attività rilevata rappresenta il comportamento previsto, analizzando i dati provenienti da più fonti, tra cui il payload di ricerca, i metadati dei AWS servizi, i dati di AWS registrazione e monitoraggio (come i log di flusso AWS CloudTrail VPC), l'intelligence AWS sulle minacce e il contesto che sei invitato a fornire sul tuo ambiente e su quello locale. AWS
Se il triage automatico determina che l'attività rilevata è prevista, il sistema non intraprende ulteriori azioni investigative.
Analisi: Incident Response Security Investigation
AWS Security Incident Response Engineering è un team globale e sempre disponibile di professionisti della sicurezza con esperienza nella risposta agli incidenti AWS di sicurezza. Se il triage automatizzato non è in grado di determinare se l'attività è prevista, AWS Security Incident Response Engineering si impegna a eseguire un'indagine di sicurezza. Se l'evento è stato acquisito da Security Hub, viene pubblicata una nota sul relativo risultato in cui si afferma che l'indagine di AWS Security Incident Response Engineering è in corso.
AWS Security Incident Response Engineering conduce un'indagine pratica sulla sicurezza analizzando i metadati di servizio aggiuntivi e l'intelligence sulle minacce, esaminando le informazioni ricavate da scoperte e indagini precedenti nel vostro ambiente e applicando le competenze in materia di risposta agli incidenti. A seconda delle preferenze di contenimento (vedi Contenere), AWS Security Incident Response Engineering può coinvolgere il team Incident Response dell'organizzazione attraverso un caso di Security Incident Response nella AWS Security Incident Response console per verificare se l'attività rilevata è prevista e autorizzata in risposta a un caso generato. AWS
Comunicare
AWS Security Incident Response ti tiene informato durante le indagini di sicurezza interagendo con il tuo team di Incident Response attraverso un caso di Security Incident Response. Più membri di AWS Security Incident Response Engineering possono supportare un'indagine. La comunicazione può includere: conferma o notifica dell'avvio di un'indagine di sicurezza, creazione di un call bridge, analisi di elementi come i file di registro, richieste di conferma dell'attività prevista e condivisione dei risultati delle indagini.
Quando si coinvolge in AWS Security Incident Response modo proattivo il team Incident Response, viene creato un caso nell'account AWS Security Incident Response Membership, che centralizza le comunicazioni per tutti gli account dell'organizzazione in un unico posto. Questi casi contengono il prefisso «[Proactive case]» nel titolo, che li identifica come avviati da. AWS Security Incident Response Interagendo attivamente e fornendo risposte tempestive a queste comunicazioni, il team di Incident Response può aiutarti AWS Security Incident Response a fare quanto segue:
Garantisci una risposta rapida a veri incidenti di sicurezza.
Comprendi il tuo ambiente e i comportamenti previsti.
Riduci i rilevamenti di falsi positivi nel tempo.
L'efficacia di AWS Security Incident Response migliora con la collaborazione e si traduce in un AWS ambiente monitorato e sicuro in modo più efficace.
Aggiornamento dei risultati
AWS Security Incident Response gestisce i risultati in modo diverso a seconda della fonte e del risultato del triage.
Ottimizzazione del servizio
Quando le quote di servizio del tuo account lo consentono, AWS Security Incident Response tenta di implementare una regola di GuardDuty soppressione di Amazon o una AWS Security Hub CSPM regola di automazione. Queste regole eliminano i risultati futuri che corrispondono al tipo e all'origine dell'attività autorizzata nota (ad esempio, indirizzo IP di origine, ASN, identità principale o risorsa). AWS Security Hub CSPM le regole vengono implementate con priorità 10, che consente di sostituire queste automazioni con regole autodefinite, se necessario.
In questo modo, AWS Security Incident Response ottimizza le sorgenti di rilevamento in base al comportamento previsto nell'ambiente. AWS Il vostro Incident Response Team viene informato delle modifiche a questi set di regole e le modifiche vengono ripristinate su richiesta.
