Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Nozioni di base
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/NSyUlhDc_d0?si=PguieeTI3HrUbTDs)
**Topics**
+ [
# Guida all'onboarding
](onboarding-guide.md)
+ [
# Matrice RACI
](raci-matrix.md)
+ [
# Seleziona un account di iscrizione
](select-a-membership-account.md)
+ [
# Imposta i dettagli dell'iscrizione
](setup-membership-details.md)
+ [
# Associa gli account a AWS Organizations
](associate-accounts-with-aws-organizations.md)
+ [
# Imposta flussi di lavoro di risposta proattiva e valutazione degli avvisi
](setup-monitoring-and-investigation-workflows.md)
# Guida all'onboarding
La guida all'onboarding illustra i prerequisiti e le azioni di onboarding e AWS Security Incident Response contenimento.
**Importante**
Prerequisiti
L'unico prerequisito per l'implementazione è l'abilitazione. [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
Sebbene non sia obbligatorio, consigliamo di abilitare [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) e [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html)su tutti gli account e di Regioni AWS attivarlo per massimizzare i vantaggi del Security Incident Response.
Revisione GuardDuty e risposta agli incidenti di sicurezza.
Consulta la [guida alle GuardDuty best practice](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html).
AWS Security Hub CSPM raccoglie i risultati di fornitori terzi di endpoint detection and response (EDR) (FortineTCNApp (Lacework) e Trend MicroCrowdStrike, tra gli altri). Se questi risultati vengono inseriti in Security Hub CSPM, vengono valutati automaticamente da Security Incident Response per la creazione proattiva dei casi. Per configurare EDR di terze parti con Security Hub CSPM, consulta [Rileva](https://docs.aws.amazon.com//security-ir/latest/userguide/detect-and-analyze.html) e analizza.
Per configurare EDR di terze parti con Security Hub CSPM:
1. Vai alla pagina Security Hub CSPM Integrazioni per verificare l'esistenza dell'integrazione di terze parti
1. Dalla console, vai alla pagina del servizio CSPM di Security Hub.
1. Scegli **Integrazioni** (usando Wiz.io come esempio):
![\[Pagina delle integrazioni CSPM di Security Hub che mostra le integrazioni di terze parti disponibili.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Security_Hub_CSPM.png)
1. Cerca il fornitore che desideri integrare
![\[Interfaccia di ricerca per trovare e selezionare integrazioni con fornitori di terze parti.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Integrations.png)
**Nota**
Quando richiesto, fornisci le informazioni sull'account o sull'abbonamento. Dopo aver fornito queste informazioni, Security Incident Response acquisisce i risultati di terze parti. Per esaminare i prezzi per l'acquisizione di risultati da terze parti, consulta la pagina **Integrazioni** in Security Hub CSPM.
# Implementa e configura Security Incident Response
1. **Scegli Registrati**
![\[AWS Security Incident Response pagina di registrazione con il pulsante Iscriviti.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/AWS_Security_incident_Response.png)
1. Seleziona un account per **gli strumenti di sicurezza** come amministratore delegato dall'account di gestione.
+ [Architettura di riferimento per la sicurezza](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/introduction.html)
+ [Documentazione per amministratori delegati](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)
![\[Configura la pagina centrale dell'account di iscrizione per la selezione di un account amministratore delegato.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Set_Up_Central_Membership_Account.png)
1. Accedi all'account amministratore delegato
1. Inserisci i dettagli dell'iscrizione e gli account associati
![\[Inserisci i dettagli dell'iscrizione e gli account associati.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Define_Membership_Details.png)
# Autorizza le azioni di Security Incident Response
Questa pagina descrive come autorizzare Security Incident Response a eseguire azioni automatiche di monitoraggio e contenimento nell'ambiente. AWS È possibile abilitare due funzioni di autorizzazione distinte: il monitoraggio proattivo della risposta e le preferenze relative alle azioni di contenimento. Queste funzionalità sono indipendenti e possono essere abilitate separatamente in base ai requisiti di sicurezza.
# Abilita Proactive Response
La risposta proattiva consente a Security Incident Response di monitorare e analizzare gli avvisi generati da Amazon GuardDuty e AWS Security Hub CSPM le integrazioni all'interno dell'organizzazione. Se abilitata, Security Incident Response classifica gli avvisi a bassa priorità con l'automazione dei servizi in modo che il team possa concentrarsi sui problemi più critici.
Per abilitare una risposta proattiva durante l'onboarding:
1. Nella console Security Incident Response, accedi al flusso di lavoro di onboarding.
1. Rivedi le autorizzazioni di servizio che consentono a Security Incident Response di monitorare i risultati di tutti gli account coperti e attivi supportati Regioni AWS nella tua organizzazione.
1. Scegli **Iscriviti** per abilitare la funzionalità.
![\[Rivedi la schermata delle autorizzazioni di servizio che mostra le autorizzazioni richieste da Security Incident Response per monitorare i risultati.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Review_Service_Permissions.png)
![\[Schermata di conferma della registrazione per abilitare il monitoraggio proattivo della risposta.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Review_and_Sign_Up.png)
Questa funzione crea automaticamente un ruolo collegato al servizio in tutti gli account membro coperti all'interno del tuo. AWS Organizations Tuttavia, è necessario creare manualmente il ruolo collegato al servizio nell'account di gestione utilizzando i set di stack. AWS CloudFormation
**Passaggi successivi:** per ulteriori informazioni su come funziona Security Incident Response con Amazon GuardDuty AWS Security Hub CSPM, consulta *Detect and Analyze* nella *Guida per l'AWS Security Incident Response utente*.
# Definisci le preferenze relative alle azioni di contenimento
Le azioni di contenimento consentono AWS Security Incident Response di eseguire misure di risposta rapida durante un incidente di sicurezza attivo. Queste azioni aiutano a mitigare rapidamente l'impatto degli incidenti di sicurezza nell'ambiente.
**Importante**
Security Incident Response non abilita le funzionalità di contenimento per impostazione predefinita. È necessario autorizzare esplicitamente le azioni di contenimento tramite le preferenze di contenimento.
Per autorizzare i AWS Security Incident Response tecnici a eseguire azioni di contenimento per tuo conto, oltre a implementare un programma [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html)che crei i ruoli IAM richiesti, devi definire le preferenze di contenimento a livello di organizzazione o account. Le preferenze a livello di account sostituiscono le preferenze a livello di organizzazione.
**Prerequisiti:** è necessario disporre delle autorizzazioni per creare casi. Supporto AWS
**Opzioni di contenimento:**
+ **Approvazione richiesta** (impostazione predefinita): non eseguire il contenimento proattivo di alcuna risorsa senza un'autorizzazione esplicita su base regolare. case-by-case
+ Contenimento **confermato**: esegui il contenimento proattivo di una risorsa confermata compromessa.
+ Contenimento dei **dati sospetti**: esegui il contenimento proattivo di una risorsa con un'alta probabilità che sia stata compromessa, sulla base di un'analisi eseguita dai tecnici. AWS Security Incident Response
Per definire le preferenze di contenimento:
1. [Crea un Supporto AWS caso](https://docs.aws.amazon.com/security-ir/latest/userguide/create-support-case.html) per richiedere la configurazione delle preferenze relative alle azioni di contenimento per Security Incident Response.
1. Nel caso di assistenza, specifica:
+ Il tuo AWS Organizations ID o l'account specifico IDs in cui devono essere autorizzate le azioni di contenimento
+ L'opzione di contenimento preferita (è richiesta l'approvazione, il contenuto è confermato o il contenuto sospetto).
+ I tipi di azioni di contenimento che desideri autorizzare (come l'isolamento delle istanze EC2, la rotazione delle credenziali o le modifiche ai gruppi di sicurezza)
1. Supporto AWS collabora con te per configurare le tue preferenze di contenimento. È necessario implementare il necessario per creare AWS CloudFormation StackSet i ruoli IAM richiesti. Supporto AWS può fornire assistenza, se necessario.
Una volta configurato, AWS Security Incident Response esegue le azioni di contenimento autorizzate durante gli incidenti di sicurezza attivi per contribuire a proteggere l'ambiente.
**Passaggi successivi:** dopo aver configurato le preferenze di contenimento, è possibile monitorare le azioni di contenimento intraprese durante gli incidenti nella console Security Incident Response.
# Dopo l'implementazione di Security Incident Response
AWS si integra con il framework di risposta agli incidenti esistente anziché sostituirlo.
1. Esamina le nostre capacità di integrazione operativa per migliorare le tue pratiche attuali.
1. Guarda la nostra demo di supporto, EventBridge utilizzo e integrazione Jira-ITSM per operazioni di sicurezza più efficienti per i soci a livello di UO.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/lVSi5XyMlws)
# Aggiorna l'Incident Response Team
1. *Assicurati di essere abbonato e di aver completato i passaggi di onboarding descritti in questa guida di onboarding.*
1. Seleziona Incident Response Team dalla barra di navigazione a sinistra.
1. Seleziona i compagni di squadra che desideri aggiungere al tuo team.
![\[AWS i servizi inviano gli eventi al bus degli eventi EventBridge predefinito. Se l'evento corrisponde al modello di evento di una regola, EventBridge invia l'evento ai target specificati per quella regola.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Teamates.png)
**Nota**
Il team può includere dirigenti dell'organizzazione, consulenti legali, partner MDR, ingegneri del cloud e altri. Puoi aggiungere fino a 10 membri aggiuntivi. Includi solo nome, titolo e indirizzo email per ogni membro.
# AWS caso supportato
AWS Security Incident Response fornisce un portale di gestione dei casi basato su abbonamento in cui l'organizzazione interagisce direttamente con i nostri tecnici di Security Incident Response. Forniamo assistenza nelle indagini di sicurezza e negli incidenti attivi con un SLO di 15 minuti, senza limiti di casi reattivi. Consulta la nostra documentazione relativa alla creazione di un AWS caso supportato.
**Espandi il team investigativo**
Tramite il Case Management Portal, puoi garantire la visibilità dei casi a parti esterne aggiungendo Watchers e policy IAM. Utilizza queste opzioni per partner, team legali o esperti in materia.
**Per aggiungere Watchers a un caso:**
1. Apri qualsiasi caso dal portale Security Incident Response Cases.
![\[AWS i servizi inviano gli eventi al bus degli eventi EventBridge predefinito. Se l'evento corrisponde al modello di evento di una regola, EventBridge invia l'evento ai target specificati per quella regola.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Cases.png)
1. Scegli la scheda Autorizzazioni
![\[AWS i servizi inviano gli eventi al bus eventi EventBridge predefinito. Se l'evento corrisponde al modello di evento di una regola, EventBridge invia l'evento ai target specificati per quella regola.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Overview.png)
1. Seleziona Aggiungi
![\[AWS i servizi inviano gli eventi al bus eventi EventBridge predefinito. Se l'evento corrisponde al modello di evento di una regola, EventBridge invia l'evento ai target specificati per quella regola.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Watchers.png)
**Nota**
Ogni caso include una policy IAM precompilata che garantisce l'accesso solo a quel caso specifico, mantenendo il privilegio minimo. Copia e incolla questa policy direttamente nei ruoli o negli utenti IAM per consentire il loro contributo a partner MDR di terze parti o team investigativi specifici.
# GuardDuty risultati e regole di soppressione
AWS Security Incident Response acquisisce, valuta e risponde in modo proattivo a tutti i risultati di Amazon e ai GuardDuty risultati di FortineTCNApp ( CrowdStrikeLacework) e AWS Security Hub CSPM Trend Micro. La nostra tecnologia di valutazione automatica elimina i requisiti di analisi interna. Il servizio crea regole di soppressione e archiviazione automatica in GuardDuty Security Hub CSPM per risultati benigni. Visualizza o modifica queste regole in «Findings» nella GuardDuty console Amazon.
Per rivedere le regole di GuardDuty soppressione abilitate, completa i seguenti passaggi:
1. Apri la GuardDuty console Amazon.
1. Scegli **Findings**.
1. Nel riquadro di navigazione, scegli **Regole di soppressione**. La pagina **Regole di soppressione** mostra un elenco di tutte le regole di soppressione per il tuo account.
1. **Per rivedere o modificare le impostazioni di una regola, scegli la regola, quindi scegli **Aggiorna regola di soppressione dal menu** Azioni.**
**Nota**
Le organizzazioni che utilizzano la tecnologia SIEM hanno ridotto significativamente i volumi di GuardDuty ricerca nel tempo, migliorando sia il servizio Security Incident Response che l'efficienza SIEM.
# Amazon EventBridge
Amazon EventBridge abilita un'architettura basata sugli eventi per Security Incident Response, che consente all'attività dei casi di attivare servizi downstream (SNS, Lambda, SQS, Step-Functions) o strumenti esterni (Jira, Teams, Slack,). ServiceNow PagerDuty
** EventBridge Per configurare le regole:**
1. Accedi ad Amazon EventBridge
1. Seleziona **Regole** dal menu a discesa **Autobus**.
![\[AWS i servizi inviano gli eventi al bus eventi EventBridge predefinito. Se l'evento corrisponde al modello di evento di una regola, EventBridge invia l'evento ai target specificati per quella regola.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Amazon_EventBridge_rules.png)
1. Selezionare **Create Rule (Crea regola)**.
1. Inserisci i dettagli della regola.
1. Scegli **Next (Successivo)**.
![\[AWS i servizi inviano gli eventi al bus degli eventi EventBridge predefinito. Se l'evento corrisponde al modello di evento di una regola, EventBridge invia l'evento ai target specificati per quella regola.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Define_Rule.png)
1. Scorri fino a **AWS service,** quindi seleziona **AWS Security Incident Response**dal menu a discesa.
![\[AWS i servizi inviano gli eventi al bus degli eventi EventBridge predefinito. Se l'evento corrisponde al modello di evento di una regola, EventBridge invia l'evento ai target specificati per quella regola.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Event_Pattern_Security.png)
1. Dal menu a discesa **Tipo di evento**, seleziona l'evento o la chiamata API per cui desideri creare un pattern.
1. Puoi modificare manualmente il modello per includere più di un evento.
1. Scegli **Next (Successivo)**.
![\[AWS i servizi inviano gli eventi al bus degli eventi EventBridge predefinito. Se l'evento corrisponde al modello di evento di una regola, EventBridge invia l'evento ai target specificati per quella regola.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Event_Pattern.png)
**Nota**
Seleziona uno o più obiettivi (Amazon Simple Notification Service AWS Lambda, documento SSM, Step-Function) per i tuoi eventi. Se necessario, configura obiettivi per più account.
Puoi verificare i modelli di integrazione dei partner in Partner Event Sources nel menu EventBridge Integrazione. I partner disponibili includono Atlassian (Jira), New Relic DataDog, Symantec e PagerDuty Zendesk, tra molti altri.
![\[AWS i servizi inviano gli eventi al bus degli eventi predefinito. EventBridge Se l'evento corrisponde al modello di evento di una regola, EventBridge invia l'evento ai target specificati per quella regola.\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/Amazon_EventBridge_Partners.png)
# Integrazioni e flusso di lavoro con strumenti esterni
**AWS soluzioni per integrare JIRA o ServiceNow con Security Incident Response**
Implementa le nostre soluzioni completamente sviluppate per l'integrazione bidirezionale con Jira e. ServiceNow Queste integrazioni consentono la comunicazione bidirezionale tra AWS Security Incident Response Cases e la tua piattaforma ITSM, con gli aggiornamenti dei casi riflessi automaticamente nelle attività Jira corrispondenti.
**Vantaggi dell'integrazione**
L'integrazione AWS Security Incident Response con la piattaforma ITSM esistente semplifica le operazioni di sicurezza centralizzando i flussi di lavoro di tracciamento e risposta agli incidenti. Queste soluzioni predefinite eliminano la necessità di uno sviluppo personalizzato, consentendo ai team di sicurezza di mantenere la visibilità sui sistemi di gestione degli incidenti sia AWS nativi che a livello aziendale. Sfruttando Amazon EventBridge per l'automazione basata sugli eventi, gli aggiornamenti fluiscono senza interruzioni tra le piattaforme in tempo reale, contribuendo a garantire che gli incidenti di sicurezza vengano tracciati in modo coerente indipendentemente dalla loro origine. Questo approccio unificato riduce il cambio di contesto per gli analisti della sicurezza, migliora i tempi di risposta e fornisce audit trail completi per l'intero ciclo di vita della risposta agli incidenti.
Per configurare le regole: EventBridge
1. Accedi ad Amazon EventBridge.
1. Seleziona **Regole** dal menu a discesa **Autobus**.
# Flusso di lavoro con utensili esterni
Security Incident Response si integra con strumenti e partner esterni in diversi modi:
+ *Integrazione SIEM:* gli ingegneri di Security Incident Response aiutano ad analizzare e indagare su tali risultati in parallelo con il tuo team quando invii i casi AWS supportati. Identifichiamo le correlazioni tra ambienti ibridi e multi-cloud, aiutando a monitorare i movimenti degli autori delle minacce tra i provider.
+ *Migliora le tue operazioni di sicurezza esistenti:* sostituiamo i flussi di lavoro di GuardDuty risposta tradizionali con un modello di risposta parallelo più efficiente. Molte organizzazioni attualmente utilizzano la tecnologia SIEM per i flussi di lavoro di rilevamento attraverso la gestione dei casi. Questo servizio offre un'alternativa semplificata, specifica per GuardDuty (e per alcuni selezionati Security Hub CSPM). La soluzione sfrutta una sofisticata tecnologia di valutazione automatica con supervisione umana per creare casi proattivi nel portale, avvisando contemporaneamente il team di risposta e coinvolgendo i nostri tecnici di Security Incident Response per interventi correttivi coordinati.
+ *Team investigativi di terze parti: i* nostri tecnici di Security Incident Response collaborano direttamente con i vostri partner e i fornitori di MDR.
# Appendice A: Punti di contatto
Fornire i metadati in anticipo ai nostri tecnici di Security Incident Response può contribuire ad accelerare i tempi di creazione del profilo, aumentando la fiducia nella nostra tecnologia di triaging fin dall'inizio. Questo aiuta a ridurre i falsi positivi iniziali identificati quando iniziamo ad assimilare le scoperte sulle minacce e a creare il «mondo buono conosciuto».
**Informazioni di contatto del personale IR e SOC**
| Voce | Personale IR \$1 SOC: ruolo, nome, email | Contatti primari e secondari di escalation | Intervalli CIDR interni e noti | Intervalli CIDR esterni e noti | Fornitori di servizi cloud aggiuntivi | AWS Regioni di lavoro | Server DNS IPs (se diverso da Amazon Route 53 Resolver) | VPN \$1 Soluzioni di accesso remoto e IPs | Nomi di applicazioni critiche \$1 Numeri di account | Porte non comuni utilizzate comunemente | EDR \$1 AV \$1 Strumenti di gestione delle vulnerabilità utilizzati | IDP \$1 Sedi |
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- |
| 1 | Comandante del SOC, John Smith, jsmith@example.com | Primary | 10.0.0.0/16 | 5.5.60.0/20 (Azzurro) | Azure | us-east-1, us-east-2 | N/D | Direct Connect, VIF pubblica 116.32.8.7 | Server Web Nginx (esempio critico) \$1 1234567890 | 8080 | CrowdStrike Falco | Entra, Azure |
| | | | | | | | | | | | | |
| | | | | | | | | | | | | |
| | | | | | | | | | | | | |
[Per inviare informazioni sui metadati per il tuo ambiente, crea un Supporto AWS caso.](https://repost.aws/knowledge-center/get-aws-technical-support)
**Per inviare i metadati**
1. Completa la tabella dei metadati con le informazioni sull'ambiente.
1. Crea un Supporto AWS caso con i seguenti dettagli:
+ **Tipo di custodia:** tecnica
+ **Servizio: Servizio** di risposta agli incidenti di sicurezza
+ **Categoria:** Altro
1. Allega la tabella di metadati completata al case.
# Matrice RACI
La seguente matrice RACI definisce i ruoli e le responsabilità nell'ambito del processo di implementazione del Security Incident Response. RACI sta per Responsabile (R), Accountable (A), Consulted (C) e Informed (I).
| Attività | Cliente | AWS Team addetto all'account | Squadra SIR |
| --- | --- | --- | --- |
| Preimbarco |
| Identifica i principali stakeholder | R | | I |
| Convalida le fonti di ricerca | R | C | I |
| [Integrazione EDR di terze parti] Security Hub CSPM | R | C | I |
| GuardDuty Convalida/controllo dello stato | C | R | I |
| Determina l'ambito dell'account | R | | |
| Stabilisci protocolli di escalation | R | I | C |
| Abilita AWS Organizzazioni | R | C | |
| Associa gli account a AWS Organizations | R | I | |
| Seleziona Amministratore delegato/Account di sicurezza | R | I | |
| Onboarding |
| Imposta i dettagli dell'iscrizione | R | I | |
| Procedura dettagliata (impostazione dei flussi di lavoro di risposta proattiva e classificazione degli avvisi; distribuzione del ruolo collegato al servizio nell'account di gestione; autorizzazione delle azioni di contenimento) | R | C | I |
| Configurazione post-implementazione |
| Esamina le capacità di integrazione operativa | R | C | I |
| Invia casi reattivi di risposta agli incidenti di sicurezza | R | | |
| Configura le EventBridge integrazioni Amazon | R | C | C |
| Connect strumenti di terze parti (Jira,, ServiceNow PagerDuty, Teams, ecc.) | R | I | C |
| Approfondimento del servizio e demo | A | R | C |
**Definizioni RACI:**
+ **Responsabile (R)** - La parte che esegue il lavoro per completare l'attività
+ **Responsabile (A)**: la parte in ultima analisi responsabile del corretto completamento dell'attività
+ **Consultato (C)** - La parte di cui vengono richieste le opinioni e con la quale esiste una comunicazione bidirezionale
+ **Informata (I)** - La parte che viene mantenuta up-to-date sui progressi e con la quale esiste una comunicazione unidirezionale
# Seleziona un account di iscrizione
Un account di iscrizione è l' AWS account utilizzato per configurare i dettagli dell'account, aggiungere e rimuovere dettagli per il team di risposta agli incidenti e dove è possibile creare e gestire tutti gli eventi di sicurezza attivi e storici. Ti consigliamo di allineare il tuo account di AWS Security Incident Response iscrizione allo stesso account che hai abilitato per servizi come Amazon GuardDuty e AWS Security Hub CSPM.
Hai due opzioni per selezionare il tuo account di AWS Security Incident Response iscrizione utilizzando AWS Organizations. È possibile creare un'iscrizione nell'account di gestione Organizations o in un account amministratore delegato di Organizations.
**Utilizza l'account amministratore delegato:** le attività AWS Security Incident Response amministrative e la gestione dei casi si trovano nell'account amministratore delegato. Ti consigliamo di utilizzare lo stesso amministratore delegato che hai impostato per altri servizi di AWS sicurezza e conformità. Fornisci l'ID dell'account amministratore delegato a 12 cifre, quindi accedi a tale account per procedere.
**Importante**
Quando utilizzi un account amministratore delegato come parte della configurazione, non AWS Security Incident Response puoi creare automaticamente il ruolo collegato al servizio di triage richiesto nell'account di gestione. AWS Organizations
Puoi utilizzare IAM per creare questo ruolo nel tuo AWS Organizations account di gestione
Accedi al tuo account AWS Organizations di gestione.
Accedi alla [AWS CloudShell](https://console.aws.amazon.com/cloudshell/home)finestra o accedi all'account tramite CLI nel tuo metodo preferito.
Usa il comando CLI `aws iam create-service-linked-role --aws-service-name "triage.security-ir.amazonaws.com" --no-cli-pager`
(Facoltativo) Per verificare che il comando abbia funzionato, puoi eseguirlo `aws iam get-role --role-name AWSServiceRoleForSecurityIncidentResponse_Triage`
**Usa l'account attualmente connesso**: selezionando questo account, l'account corrente verrà designato come account di iscrizione centrale per la tua AWS Security Incident Response iscrizione. Le persone all'interno dell'organizzazione dovranno accedere al servizio tramite questo account per creare, accedere e gestire i casi attivi e risolti.
Assicurati di disporre di autorizzazioni sufficienti per l'amministrazione AWS Security Incident Response.
Fai riferimento a [Aggiungere e rimuovere le autorizzazioni di identità IAM per i passaggi specifici per aggiungere le autorizzazioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
Fai riferimento alle politiche [AWS Security Incident Response gestite](https://docs.aws.amazon.com/security-ir/latest/userguide/aws-managed-policies.html).
Per verificare le autorizzazioni IAM, puoi seguire questi passaggi:
+ *Verifica la politica IAM:* esamina la policy IAM allegata al tuo utente, gruppo o ruolo per assicurarti che conceda le autorizzazioni necessarie. Puoi farlo accedendo a [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/), selezionando l'`Users`opzione, scegliendo l'utente specifico e quindi nella pagina di riepilogo, vai alla `Permissions` scheda in cui puoi vedere un elenco di tutte le politiche allegate; puoi espandere ogni riga della policy per visualizzarne i dettagli.
+ *Verifica le autorizzazioni:* prova a eseguire l'azione necessaria per verificare le autorizzazioni. Ad esempio, se devi accedere a un caso, prova a farlo. `ListCases` Se non disponi delle autorizzazioni necessarie, riceverai un messaggio di errore.
+ *Usa il AWS CLI o SDK:* puoi utilizzare AWS Command Line Interface o un AWS SDK nel tuo linguaggio di programmazione preferito per testare le autorizzazioni. Ad esempio, con AWS Command Line Interface, puoi eseguire il `aws sts get-caller-identity` comando per verificare le autorizzazioni utente correnti.
+ *Controlla AWS CloudTrail i log:* [esamina i CloudTrail log](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) per vedere se le azioni che stai tentando di eseguire vengono registrate. Questo può aiutarti a identificare eventuali problemi di autorizzazione.
+ *Usa il simulatore di policy IAM:* [il simulatore di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html) è uno strumento che ti consente di testare le policy IAM e vedere l'effetto che hanno sulle tue autorizzazioni.
**Nota**
I passaggi specifici possono variare a seconda del AWS servizio e delle azioni che stai cercando di eseguire.
# Imposta i dettagli dell'iscrizione
+ Seleziona un Regione AWS luogo in cui archiviare l'iscrizione e i casi.
**avvertimento**
Non puoi modificare l'impostazione predefinita Regione AWS dopo la registrazione iniziale dell'iscrizione.
+ Seleziona se desideri fornire una copertura associativa completa AWS Organizations o parziale a tutte AWS Organizations le unità organizzative (OUs).
+ Facoltativamente, puoi selezionare un nome per questo abbonamento.
+ È necessario fornire un contatto principale e uno secondario come parte del flusso di lavoro per la creazione dell'iscrizione. Questi contatti vengono automaticamente inclusi come parte del team di risposta agli incidenti. Per ogni iscrizione devono esistere almeno due contatti, il che garantisce inoltre l'inclusione di almeno due contatti nel team di risposta agli incidenti.
+ Definisci tag opzionali per la tua iscrizione. I tag ti aiutano a tenere traccia AWS dei costi e a cercare risorse.
# Associa gli account a AWS Organizations
Se hai scelto di associare tutti i tuoi account AWS Organizations durante la configurazione, l'iscrizione dà diritto alla copertura di tutti gli account dei membri dell'organizzazione. Gli account associati verranno aggiornati automaticamente non appena gli account vengono aggiunti o rimossi dall'organizzazione.
Se hai scelto di associare parte del tuo account AWS Organizations durante la configurazione e hai limitato l'iscrizione a unità organizzative specifiche (OUs), l'iscrizione dà diritto alla copertura di tutti gli account compresi tra quelli selezionati OUs. Sono inclusi gli account inferiori a quelli OUs selezionati. OUs Gli account associati si aggiornano automaticamente non appena gli account vengono aggiunti o rimossi da tali OUs account.
Per ulteriori informazioni sulle best practice relative alle unità organizzative, consulta [Organizzare AWS l'ambiente utilizzando più account](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html).
# Imposta flussi di lavoro di risposta proattiva e valutazione degli avvisi
AWS Security Incident Response monitora e analizza gli avvisi di minaccia generati dalle integrazioni CSPM di Amazon e Security GuardDuty Hub. Per utilizzare questa funzionalità, [Amazon GuardDuty deve essere abilitato](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html). AWS Security Incident Response classifica gli avvisi a bassa priorità con l'automazione dei servizi in modo che il team possa concentrarsi sui problemi più critici. Per ulteriori informazioni su come AWS Security Incident Response funziona con Amazon GuardDuty and AWS Security Hub CSPM, consulta la sezione [Rileva e analizza](https://docs.aws.amazon.com/security-ir/latest/userguide/detect-and-analyze.html) della guida per l'utente.
Se riscontri problemi di onboarding, [crea un Supporto AWS caso per richiedere](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case) ulteriore assistenza. Assicurati di includere i dettagli, tra cui l' Account AWS ID e gli eventuali errori che potresti aver riscontrato durante il processo di configurazione.
**Nota**
Se hai domande sulle regole di GuardDuty soppressione di Amazon, sulle configurazioni di classificazione degli avvisi o sui flussi di lavoro di risposta proattiva, puoi creare un caso AWS supportato con il tipo di caso **Investigations and Inquiries e consultare il team di Security Incident** Response. AWS Per ulteriori informazioni, consulta [Crea un caso AWS supportato](create-an-aws-supported-case.md).
Questa funzionalità consente di monitorare e analizzare AWS Security Incident Response i risultati in tutti gli account coperti e nelle regioni supportate attive della tua organizzazione. AWS Per facilitare questa funzionalità, crea AWS Security Incident Response automaticamente un ruolo collegato al servizio in tutti gli account dei soci coperti all'interno dell'azienda. AWS Organizations Tuttavia, per l'account di gestione, è necessario creare manualmente il ruolo collegato al servizio per abilitare il monitoraggio.
*Il servizio non può creare il ruolo collegato al servizio nell'account di gestione. È necessario creare questo ruolo manualmente nell'account di gestione utilizzando i set [di AWS CloudFormation stack](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html).*
# Comprendere l'archiviazione automatica con Proactive Response
Quando abiliti la risposta proattiva e il triaging degli avvisi, monitora e AWS Security Incident Response classifica automaticamente i risultati di sicurezza di Amazon e Security GuardDuty Hub CSPM. Nell'ambito di questo flusso di lavoro di valutazione automatica, i risultati vengono archiviati automaticamente in base ai seguenti criteri:
**Comportamento di archiviazione automatica:**
+ **Risultati innocui:** quando il processo di valutazione automatica determina che un risultato è benigno (non una vera minaccia alla sicurezza), archivia AWS Security Incident Response automaticamente il risultato in Amazon GuardDuty e crea regole di soppressione per evitare che risultati simili generino avvisi in futuro.
+ Regole di **soppressione: il servizio crea regole** di soppressione e archiviazione automatica sia in Amazon che in Security GuardDuty Hub CSPM per risultati che corrispondono ai modelli noti e validi del tuo ambiente, come gli indirizzi IP previsti, le entità IAM e i normali comportamenti operativi.
+ **Volume di avvisi ridotto:** le organizzazioni che utilizzano la tecnologia SIEM registrano una significativa riduzione dei volumi di GuardDuty ricerca di Amazon nel tempo, man mano che il servizio apprende il tuo ambiente e archivia automaticamente i risultati benigni. Ciò migliora l'efficienza sia del AWS Security Incident Response servizio che del SIEM.
**Visualizzazione dei risultati archiviati:**
È possibile esaminare automaticamente i risultati archiviati e le regole di soppressione create da: AWS Security Incident Response
1. Passa alla GuardDuty console Amazon
1. Scegli **Findings**
1. Seleziona **Archiviato** dal filtro dei risultati
1. Rivedi le regole di soppressione selezionando la freccia rivolta verso il basso accanto a ciascuna regola
**Considerazioni importanti:**
+ I risultati archiviati vengono conservati in Amazon GuardDuty per 90 giorni e possono essere visualizzati in qualsiasi momento durante tale periodo.
+ Puoi modificare o eliminare le regole di soppressione in qualsiasi momento tramite la console Amazon GuardDuty
+ Il processo di valutazione automatica si adatta continuamente all'ambiente, migliorando la precisione nel tempo e riducendo i falsi positivi
**Contenimento:** in caso di incidente di sicurezza, AWS Security Incident Response può eseguire azioni di contenimento per mitigare rapidamente l'impatto, come isolare gli host compromessi o ruotare le credenziali. Security Incident Response non abilita le funzionalità di contenimento per impostazione predefinita. Per eseguire queste azioni di contenimento, è necessario innanzitutto concedere le autorizzazioni necessarie al servizio. Ciò può essere fatto implementando un [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html), che crea i ruoli richiesti.