Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Attività dell'utente
**Topics**
+ [Pannello di controllo](dashboard.md)
+ [Gestire il mio Incident Response Team](managing-my-incident-response-team.md)
# Pannello di controllo
Sulla AWS Security Incident Response console, la dashboard offre una panoramica del team di risposta agli incidenti, dello stato di risposta proattiva e un conteggio progressivo dei casi per quattro settimane.
Seleziona **Visualizza il team di risposta agli incidenti** per accedere ai dettagli dei tuoi colleghi del team di risposta agli incidenti.
La sezione I *miei casi* della dashboard mostra il numero di casi AWS supportati aperti e chiusi, oltre ai casi autogestiti assegnati all'utente entro un periodo definito. Mostra anche il tempo medio impiegato per risolvere i casi chiusi, espresso in ore.
# Gestire il mio Incident Response Team
I tuoi team di risposta agli incidenti contengono le parti interessate al processo di risposta agli incidenti. Puoi configurare fino a dieci parti interessate come parte della tua iscrizione.
Gli esempi per le parti interessate interne includono i membri del team di risposta agli incidenti, gli analisti della sicurezza, i proprietari delle applicazioni e il team di leadership della sicurezza.
Gli esempi per le parti interessate esterne includono persone provenienti da fornitori di software indipendenti (ISV) e fornitori di servizi gestiti (MSP) che si desidera includere in un processo di risposta agli incidenti.
**Nota**
La configurazione del team di risposta agli incidenti non concede automaticamente ai membri del team l'accesso a risorse di servizio come iscrizioni e casi. È possibile utilizzare policy AWS gestite per AWS Security Incident Response concedere l'accesso in lettura e scrittura alle risorse. [ Fai clic qui per saperne di più.](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)
I membri del team di risposta agli incidenti specificati a livello di iscrizione verranno aggiunti automaticamente a ogni caso. Puoi aggiungere o rimuovere singoli compagni di squadra in qualsiasi momento dopo la creazione di un caso.
Il team di risposta agli incidenti riceverà una notifica via e-mail sugli eventi elencati nelle preferenze di [comunicazione](https://docs.aws.amazon.com/security-ir/latest/APIReference/API_IncidentResponder.html#securityir-Type-IncidentResponder-communicationPreferences).
# Preferenze di comunicazione
Configura le tue preferenze di comunicazione per controllare il modo in cui ricevi le notifiche e interagisci con il sistema di risposta agli incidenti durante gli incidenti di sicurezza.
Puoi configurare le preferenze di comunicazione per i singoli membri del tuo team di risposta agli incidenti dalla pagina della dashboard.
Segui questi passaggi per gestire le impostazioni di comunicazione dei membri del team:
1. Vai alla pagina del team di risposta agli incidenti dalla tua dashboard
1. Esegui una delle seguenti operazioni:
+ **Per aggiornare un membro del team esistente: seleziona il collega di cui desideri modificare le preferenze di comunicazione, quindi scegli Modifica**
+ **Per aggiungere un nuovo membro del team: scegli Aggiungi**
1. Nella parte inferiore del modulo vedrai Comunicazioni
1. Seleziona le caselle di controllo relative alle comunicazioni che desideri ricevere
1. Deseleziona le caselle di controllo relative alle comunicazioni che non desideri ricevere
![\[alt text not found\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/CommPref.png)
1. Salva le modifiche
![\[alt text not found\]](http://docs.aws.amazon.com/it_it/security-ir/latest/userguide/images/CommPreferencesDashboard.png)
Per impostazione predefinita, i membri del team di risposta agli incidenti avranno tutte le comunicazioni abilitate. Puoi modificare queste impostazioni in qualsiasi momento utilizzando i passaggi precedenti.
Le tue preferenze di comunicazione controllano il modo in cui interagisci con il sistema di risposta agli incidenti e il modo in cui ti vengono inviate le notifiche durante gli incidenti di sicurezza.
**Nota**
Queste preferenze si applicano a tutte le comunicazioni future all'interno del sistema Security Incident Response. È possibile modificare queste impostazioni in qualsiasi momento ripetendo i passaggi precedenti.
# Associazione dell'account a AWS Organizations
Quando abiliti AWS Security Incident Response, ti verrà data la possibilità di selezionare l'intera organizzazione o unità organizzative specifiche (OUs). Se OUs vengono selezionati determinati account, l'iscrizione coprirà solo gli account che rientrano tra quelli selezionati OUs. Se viene selezionata l'intera organizzazione, l'iscrizione coprirà tutti gli account all'interno dell'organizzazione.
Per maggiori dettagli, consulta [Gestire AWS Security Incident Response gli account con AWS Organizations](https://docs.aws.amazon.com/security-ir/latest/userguide/security-ir-organizations.html).
# Gestione della copertura dell'abbonamento
Puoi modificare l'opzione di copertura dell'abbonamento in qualsiasi momento, incluso il passaggio dalla copertura a livello di organizzazione a quella specifica. OUs
# Aggiornamento delle associazioni OU
Per gestire la copertura dei tuoi abbonamenti:
1. Vai alla pagina delle impostazioni di associazione degli account
1. Seleziona **Aggiungi OUs** per selezionare OUs quello che desideri associare alla tua iscrizione
1. Seleziona OUs quello che desideri associare alla tua iscrizione
1. Fai clic su **Aggiorna associazione** per salvare l'associazione OU nella tua iscrizione
Dopo aver aggiornato le associazioni, puoi tornare alla stessa pagina e rimuovere quelle OUs che desideri dissociare dalla tua iscrizione. Questa flessibilità si applica anche se inizialmente hai selezionato l'intera organizzazione: in seguito puoi aggiornare la tua iscrizione in modo che copra solo informazioni specifiche OUs senza annullare e riattivare il servizio.
Per ulteriori informazioni, consulta [Gestire l'appartenenza](https://docs.aws.amazon.com/security-ir/latest/userguide/managing-membership-with-ou.html) con le unità organizzative (). OUs
# Considerazioni importanti
**Account che si trovano direttamente nella cartella principale**: quando si seleziona un tipo specifico OUs di appartenenza, gli account che si trovano direttamente nella cartella principale dell'organizzazione (che non fanno parte di alcuna unità organizzativa) non verranno associati all'iscrizione. Per includere questi account nella copertura dei soci, è necessario prima aggiungerli a un'unità organizzativa, quindi associare tale unità organizzativa alla propria iscrizione.
**Nota**
Miglioriamo continuamente l'esperienza utente dell'associazione OU per rendere il processo più intuitivo e autoesplicativo.
# Monitoraggio e indagine
AWS Security Incident Response esamina e classifica gli avvisi di sicurezza di Amazon GuardDuty AWS Security Hub CSPM, quindi configura le regole di soppressione in base al tuo ambiente per prevenire avvisi non necessari. Il team di AWS Security Incident Response Engineering (SIRE) analizza i risultati e li elabora rapidamente e li guida per contenere rapidamente i potenziali problemi. Se lo desideri, puoi concedere l' AWS Security Incident Response autorizzazione a implementare azioni di contenimento per tuo conto.
AWS Security Incident Response si allinea alla Guida alla gestione degli eventi di [https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final). Allineandosi a questo standard di settore, AWS Security Incident Response fornisce un approccio coerente alla gestione degli eventi di sicurezza e rispetta le migliori pratiche per proteggere e rispondere agli eventi di sicurezza nell'ambiente in uso. AWS
Quando AWS Security Incident Response identifica un avviso di sicurezza o richiedi assistenza di sicurezza, il SIRE effettua un'indagine. AWS Il team raccoglie gli eventi di registro e i dati di servizio, come GuardDuty avvisi, triage e analizza tali dati, esegue attività di correzione e contenimento e fornisce report post-incidente.
**Topics**
+ [Preparazione](prepare.md)
+ [Rileva e analizza](detect-and-analyze.md)
+ [Agente investigativo AI](ai-investigative-agent.md)
+ [Contenere](contain.md)
+ [Sradicare](eradicate.md)
+ [Ripristino](recover.md)
+ [Segnalazione post incidente](post-incident-report.md)
# Preparazione
Il AWS Security Incident Response team indaga e collabora con voi durante tutto il ciclo di vita della risposta agli eventi di sicurezza. Si consiglia di configurare questo team e assegnare le autorizzazioni necessarie prima che si verifichi un evento di sicurezza.
# Rileva e analizza
**Segnalazione di un evento**
Puoi segnalare un evento di sicurezza tramite il AWS Security Incident Response portale. È importante non aspettare durante un evento di sicurezza. AWS Security Incident Response utilizza tecniche automatizzate e manuali per indagare sugli eventi di sicurezza, analizzare i log e cercare schemi anomali. La collaborazione e la comprensione dell'ambiente in uso accelerano questa analisi.
**Abilitazione delle fonti di rilevamento supportate**
**Nota**
AWS Security Incident Response i costi del servizio non includono l'utilizzo e altri costi e tariffe associati alle fonti di rilevamento o all'uso di altri AWS servizi supportate. Per i dettagli sui costi, consulta le pagine delle singole funzionalità o dei servizi.
*Amazon GuardDuty*
Per abilitarlo GuardDuty in tutta la tua organizzazione, consulta la `Setting up GuardDuty` sezione della [Amazon GuardDuty User Guide](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html#guardduty_enable-gd).
Ti consigliamo vivamente di abilitare tutte GuardDuty le funzionalità supportate Regioni AWS. Ciò consente di GuardDuty generare informazioni su attività non autorizzate o insolite anche in aree che non vengono utilizzate attivamente. Per ulteriori informazioni, consulta le [ GuardDuty regioni e gli endpoint Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_regions.html)
Enabling GuardDuty fornisce AWS Security Incident Response l'accesso ai dati critici di rilevamento delle minacce, migliorando la sua capacità di identificare e rispondere a potenziali problemi di sicurezza nel tuo AWS ambiente.
*AWS Security Hub CSPM*
Security Hub CSPM può acquisire i risultati di sicurezza da diversi AWS servizi e soluzioni di sicurezza di terze parti supportate. Queste integrazioni possono aiutare a AWS Security Incident Response monitorare e analizzare i risultati provenienti da altri strumenti di rilevamento.
Per abilitare l'integrazione di Security Hub CSPM with Organizations, consulta la Guida per l'[AWS Security Hub CSPM utente](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html#securityhub-orgs-setup-overviews).
Esistono diversi modi per abilitare le integrazioni su Security Hub CSPM. Per le integrazioni di prodotti di terze parti, potrebbe essere necessario acquistare l'integrazione da e quindi Marketplace AWS configurare l'integrazione. Le informazioni sull'integrazione forniscono collegamenti per completare queste attività. Scopri di più su [come abilitare AWS Security Hub CSPM le integrazioni.](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integration-enable.html)
AWS Security Incident Response può monitorare e analizzare i risultati dei seguenti strumenti quando sono integrati con AWS Security Hub CSPM:
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-crowdstrike-falcon](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-crowdstrike-falcon)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-lacework](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-lacework)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-trend-micro](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-trend-micro)
Abilitando queste integrazioni, è possibile migliorare in modo significativo la portata e l'efficacia delle capacità AWS Security Incident Response di monitoraggio e indagine.
**Rilevamento**
Se la «Risposta proattiva» è abilitata https://docs.aws.amazon.com/security-ir/latest/userguide/setup, [monitoring-and-investigation-workflows.html acquisisce](https://docs.aws.amazon.com/security-ir/latest/userguide/setup-monitoring-and-investigation-workflows.html) i AWS Security Incident Response risultati da Amazon e GuardDuty tramite EventBridge le regole di AWS Security Hub CSPM Amazon che vengono distribuite ai tuoi account durante l'onboarding.
AWS Security Incident Response archivia automaticamente GuardDuty i risultati di Amazon che durante il triage automatico sono determinati come benigni o associati all'attività prevista. Puoi visualizzare i risultati archiviati nella GuardDuty console Amazon selezionando Archiviato dal filtro Status dei risultati. Per ulteriori informazioni, consulta [Visualizzazione dei risultati generati nella GuardDuty console](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_working-with-findings.html) nella *Amazon GuardDuty User Guide*.
AWS Security Incident Response archivia automaticamente GuardDuty i risultati di Amazon che durante il triage automatico sono determinati come benigni o associati all'attività prevista. Questa archiviazione avviene solo per i risultati che sono stati valutati e il cui risultato è stato designato come «archivio». I risultati oggetto di indagine attiva rimangono visibili nella GuardDuty console Amazon anche dopo la conclusione di un'indagine. Puoi visualizzare i risultati archiviati nella GuardDuty console Amazon selezionando **Archiviato dal filtro** dei risultati. Per ulteriori informazioni sull'utilizzo dei risultati archiviati, consulta [Lavorare con i risultati](https://docs.aws.amazon.com/guardduty/latest/ug/findings_managing.html) nella *Amazon GuardDuty User Guide*.
Quando AWS Security Hub CSPM acquisisce i risultati di sicurezza, il sistema aggiorna ogni risultato con una nota che indica che il triage automatico è iniziato. Lo stato del flusso di lavoro passa da NUOVO a NOTIFICATO, il che rimuove il risultato dalla visualizzazione predefinita dei AWS Security Hub CSPM risultati. Se il triage determina che un risultato è innocuo o associato all'attività prevista, il sistema aggiunge una nota al risultato e aggiorna lo stato del flusso di lavoro su SUPPRESSED.
**Analisi: triage automatico**
AWS Security Incident Response valuta automaticamente i risultati di sicurezza. Il processo di valutazione determina se l'attività rilevata rappresenta il comportamento previsto, analizzando i dati provenienti da più fonti, tra cui il payload di ricerca, i metadati dei AWS servizi, i dati di AWS registrazione e monitoraggio (come i log di flusso AWS CloudTrail VPC), l'intelligence AWS sulle minacce e il contesto che sei invitato a fornire sul tuo ambiente e su quello locale. AWS
Se il triage automatico determina che l'attività rilevata è prevista, il sistema non intraprende ulteriori azioni investigative.
**Analisi: Incident Response Security Investigation**
AWS Security Incident Response Engineering è un team globale e sempre disponibile di professionisti della sicurezza con esperienza nella risposta agli incidenti AWS di sicurezza. Se il triage automatizzato non è in grado di determinare se l'attività è prevista, AWS Security Incident Response Engineering si impegna a eseguire un'indagine di sicurezza. Se l'evento è stato acquisito da Security Hub, viene pubblicata una nota sul relativo risultato in cui si afferma che l'indagine di AWS Security Incident Response Engineering è in corso.
AWS Security Incident Response Engineering conduce un'indagine pratica sulla sicurezza analizzando i metadati di servizio aggiuntivi e l'intelligence sulle minacce, esaminando le informazioni ricavate da scoperte e indagini precedenti nel vostro ambiente e applicando le competenze in materia di risposta agli incidenti. [A seconda delle preferenze di contenimento (vedi Contenere), AWS Security Incident Response Engineering può coinvolgere il team Incident Response dell'organizzazione attraverso un caso di Security Incident Response nella AWS Security Incident Response console per verificare se l'attività rilevata è prevista e autorizzata in risposta a un caso generato. AWS](https://docs.aws.amazon.com/security-ir/latest/userguide/responding-to-an-aws-generated-case.html)
**Comunicare**
AWS Security Incident Response ti tiene informato durante le indagini di sicurezza interagendo con il tuo team di Incident Response attraverso un caso di Security Incident Response. Più membri di AWS Security Incident Response Engineering possono supportare un'indagine. La comunicazione può includere: conferma o notifica dell'avvio di un'indagine di sicurezza, creazione di un call bridge, analisi di elementi come i file di registro, richieste di conferma dell'attività prevista e condivisione dei risultati delle indagini.
Quando si coinvolge in AWS Security Incident Response modo proattivo il team Incident Response, viene creato un caso nell'account AWS Security Incident Response Membership, che centralizza le comunicazioni per tutti gli account dell'organizzazione in un unico posto. Questi casi contengono il prefisso «[Proactive case]» nel titolo, che li identifica come avviati da. AWS Security Incident Response Interagendo attivamente e fornendo risposte tempestive a queste comunicazioni, il tuo team di Incident Response può aiutarti AWS Security Incident Response a fare quanto segue:
+ Garantisci una risposta rapida a veri incidenti di sicurezza.
+ Comprendi il tuo ambiente e i comportamenti previsti.
+ Riduci i rilevamenti di falsi positivi nel tempo.
L'efficacia di AWS Security Incident Response migliora con la collaborazione e si traduce in un AWS ambiente monitorato e sicuro in modo più efficace.
**Aggiornamento dei risultati**
AWS Security Incident Response gestisce i risultati in modo diverso a seconda della fonte e del risultato del triage.
**Ottimizzazione del servizio**
[Quando le quote di servizio del tuo account lo consentono, AWS Security Incident Response tenta di implementare una regola di [ GuardDuty soppressione di Amazon o una AWS Security Hub CSPM regola](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html) di automazione.](https://docs.aws.amazon.com/securityhub/latest/userguide/automation-rules.html) Queste regole eliminano i risultati futuri che corrispondono al tipo e all'origine dell'attività autorizzata nota (ad esempio, indirizzo IP di origine, ASN, identità principale o risorsa). AWS Security Hub CSPM le regole vengono implementate con priorità 10, che consente di sostituire queste automazioni con regole autodefinite, se necessario.
In questo modo, AWS Security Incident Response ottimizza le sorgenti di rilevamento in base al comportamento previsto nell'ambiente. AWS Il vostro Incident Response Team viene informato delle modifiche a questi set di regole e le modifiche vengono ripristinate su richiesta.
# Agente investigativo AI
## Panoramica di
L'agente investigativo basato sull'intelligenza artificiale collabora con clienti e AWS Security Incident Response ingegneri per accelerare le indagini di sicurezza. Quando un cliente crea un caso AWS supportato, l'agente si attiva automaticamente in parallelo al coinvolgimento dei tecnici del Security Incident Response, riducendo i tempi di risoluzione da giorni a ore.
Durante le escalation di clienti, i casi di Security Incident Response potrebbero essere creati da te o in modo proattivo da. AWS Security Incident Response Quando viene creato un nuovo caso AWS supportato, l'agente investigativo si attiva automaticamente. Puoi gestire tutti i casi tramite la console, l'API o EventBridge le integrazioni Amazon.
**Vantaggi principali**
+ **Indagine parallela**: l'agente collabora contemporaneamente con i soccorritori, fornendo sia automazione basata sull'intelligenza artificiale che competenze umane.
+ **Raccolta automatica delle prove**: elimina l'analisi manuale dei log eseguendo interrogazioni automatiche su IAM AWS CloudTrail, Amazon EC2 e Cost Explorer.
+ **Interfaccia in linguaggio naturale**: descrivi i problemi di sicurezza in un linguaggio semplice senza bisogno di esperienza nei AWS formati di log.
+ **Risposta più rapida**: i riepiloghi delle indagini sono disponibili in pochi minuti nella scheda Indagine.
+ **Verificabilità completa**: tutte le azioni degli agenti vengono registrate AWS CloudTrail sotto il ruolo. `AWSServiceRoleForSupport`
**Importante**
Questa funzionalità è disponibile solo per i AWS casi supportati. I casi autogestiti non includono funzionalità di indagine basata sull'intelligenza artificiale.
## Come funziona
L'agente investigativo basato sull'intelligenza artificiale segue un flusso di lavoro strutturato durante l'analisi dei casi di sicurezza AWS supportati:
**Workflow di indagine**
1. **Creazione del caso**: il cliente crea un caso AWS supportato nella console Security Incident Response descrivendo il problema di sicurezza.
1. **Attivazione parallela**
+ I tecnici del Security Incident Response si occupano del caso.
+ Contemporaneamente, l'agente AI inizia il flusso di lavoro investigativo.
1. **Domande contestuali (facoltative)**: l'agente può porre domande di chiarimento per raccogliere dettagli specifici:
+ Account interessato AWS IDs
+ Principali IAM coinvolti (utenti, ruoli, chiavi di accesso)
+ Identificatori di risorse specifici (bucket S3, istanze EC2,) ARNs
+ Intervallo di tempo in cui si verifica un'attività sospetta
1. **Raccolta di prove**: l'agente interroga AWS automaticamente le fonti di dati:
+ *AWS CloudTrail*— Chiamate e attività API associate all'incidente
+ *IAM*: autorizzazioni per utenti e ruoli, modifiche alle policy e creazione di nuove identità
+ *Istanza Amazon EC2 APIs*: informazioni sulle risorse di elaborazione, se coinvolte
+ *Cost Explorer*: metriche di costo e utilizzo per un consumo insolito di risorse
1. **Analisi e correlazione**: l'agente mette in correlazione le prove tra i servizi, identifica i modelli e crea una sequenza temporale degli eventi.
1. **Generazione di un riepilogo**: in pochi minuti, l'agente presenta un riepilogo completo dell'indagine nella scheda Indagine.
**Nota**
Tutti i campi sono facoltativi. Se non viene fornita alcuna risposta entro 10 minuti, l'indagine viene avviata automaticamente. In alcuni casi, se sono già disponibili informazioni sufficienti, l'agente può saltare completamente le domande opzionali.
**Accesso ai risultati delle indagini**
Per visualizzare l'analisi dell'IA:
1. Accedi al tuo caso nella console Security Incident Response.
1. Seleziona la scheda **Indagine**.
1. Consulta il riepilogo dell'indagine con i risultati, la tempistica e il contesto.
Il riepilogo dell'agente investigativo di AI viene pubblicato automaticamente come commento nella sezione **Comunicazione** del caso, facilitandone la lettura insieme ad altri aggiornamenti del caso.
**Accesso ai dati e autorizzazioni**
L'agente investigativo AI utilizza il `AWSServiceRoleForSupport` Service-Linked Role per accedere alle risorse. AWS Questo ruolo fornisce le autorizzazioni di sola lettura necessarie per la raccolta delle prove.
Tutte le azioni eseguite dall'agente vengono registrate AWS CloudTrail, permettendo ai clienti di verificare esattamente a quali dati hanno avuto accesso durante l'indagine. Nei AWS CloudTrail log, queste azioni sono attribuite a. `AWSServiceRoleForSupport`
## Prerequisiti
Prima di utilizzare le funzionalità di indagine basate sull'intelligenza artificiale, assicurati quanto segue:
**Configurazione richiesta**
+ **AWS Security Incident Response abilitato**: il servizio deve essere abilitato tramite l'account AWS Organizations di gestione.
+ **AWS tipo di caso supportato**: l'indagine basata sull'IA è disponibile solo per i casi AWS supportati (non per i casi autogestiti).
+ **AWSServiceRoleForSupport**— Questo ruolo collegato al servizio viene creato automaticamente e fornisce le autorizzazioni necessarie all'agente investigativo.
**Autorizzazioni ** richieste
Per creare casi AWS supportati e accedere ai risultati delle indagini, il responsabile IAM necessita delle seguenti autorizzazioni:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"security-ir:CreateCase",
"security-ir:GetCase",
"security-ir:ListCases",
"security-ir:UpdateCase"
],
"Resource": "*"
}
]
}
```
## Utilizzo dell'agente investigativo
L'agente investigativo basato sull'intelligenza artificiale si attiva automaticamente durante la creazione di un AWS caso supportato.
**Per monitorare i progressi delle indagini sull'intelligenza artificiale**
1. Apri la custodia nella AWS Security Incident Response console.
1. Scegli la scheda **Indagine**.
1. Visualizza lo stato dell'indagine (*In corso* o *Completata*).
1. Una volta completata, consulta il riepilogo completo dell'indagine con risultati, tempistica e raccomandazioni.
**Divulgazione responsabile dell'IA**
I riepiloghi delle indagini vengono generati utilizzando funzionalità di intelligenza AWS artificiale generativa. Sei responsabile della valutazione delle raccomandazioni generate dall'intelligenza artificiale nel tuo contesto specifico, dell'implementazione di meccanismi di supervisione appropriati, della verifica dei risultati in modo indipendente e del mantenimento della supervisione umana di tutte le decisioni di sicurezza.
**Utilizzo dei dati dei clienti**
AI Investigative Agent non utilizza i dati dei clienti per la formazione dei modelli e non condivide i dati dei clienti con terze parti.
# Contenere
AWS Security Incident Response collabora con te per contenere gli eventi. Puoi configurare il servizio in modo che intraprenda azioni di contenimento proattive nel tuo account in risposta ai risultati di sicurezza. [Puoi anche eseguire il contenimento da solo o in collaborazione con le tue relazioni con terze parti utilizzando i [documenti SSM](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-runbook-reference.html) descritti in Azioni di contenimento supportate.](https://docs.aws.amazon.com/security-ir/latest/userguide/supported-containment-actions.html)
**Importante**
AWS Per impostazione predefinita, Security Incident Response non abilita le funzionalità di contenimento.
Per abilitare le funzionalità di contenimento proattivo sono necessari due passaggi:
**Concedi le autorizzazioni necessarie** al servizio utilizzando i ruoli IAM. Puoi creare questi ruoli singolarmente per account o per l'intera organizzazione utilizzando gli AWS CloudFormation stackset, che creano i ruoli richiesti.
**Definisci le tue preferenze di contenimento** per account o in tutta l'organizzazione per autorizzare azioni di contenimento proattive. Le preferenze a livello di account sostituiscono le preferenze a livello di organizzazione. Ciò può essere fatto creando un AWS Support Case (tecnico: Security Incident Response Service/Altro). Le preferenze di contenimento disponibili sono:
**Approvazione richiesta (impostazione predefinita):** non eseguire il contenimento proattivo di alcuna risorsa senza un'autorizzazione esplicita su base. case-by-case
Contenimento **confermato:** esegui il contenimento proattivo di una risorsa confermata compromessa.
Contenimento **sospetto:** esegui il contenimento proattivo di una risorsa con un'alta probabilità che sia stata compromessa, in base all'analisi eseguita da Security Incident Response Engineering. AWS
# Processo decisionale in materia di contenimento
Una parte essenziale del contenimento è il processo decisionale, ad esempio se spegnere un sistema, isolare una risorsa dalla rete, disattivare l'accesso o terminare le sessioni. Queste decisioni sono semplificate quando esistono strategie e procedure predeterminate per contenere l'evento. AWS Security Incident Response fornisce la strategia di contenimento, vi informa sul potenziale impatto e vi guida nell'implementazione della soluzione solo dopo aver considerato e accettato i rischi connessi.
# Azioni di contenimento supportate
AWS Security Incident Response esegue le azioni di contenimento supportate per conto dell'utente per accelerare la risposta e ridurre il tempo a disposizione di un autore della minaccia per causare potenzialmente danni all'ambiente. Questa funzionalità consente una mitigazione più rapida delle minacce identificate, minimizzando il potenziale impatto e migliorando il livello di sicurezza generale. Esistono diverse opzioni di contenimento a seconda delle risorse oggetto di analisi. Le azioni di contenimento supportate sono descritte nelle sottosezioni seguenti.
# Contenimento EC2
L'automazione del `AWSSupport-ContainEC2Instance` contenimento esegue un contenimento di rete reversibile di un'istanza EC2, lasciando l'istanza intatta e funzionante, ma isolandola da qualsiasi nuova attività di rete e impedendole di comunicare con le risorse all'interno e all'esterno del VPC.
**Importante**
È importante notare che le connessioni tracciate esistenti non verranno interrotte a seguito della modifica dei gruppi di sicurezza: solo il traffico futuro verrà effettivamente bloccato dal nuovo gruppo di sicurezza e da questo documento SSM. Ulteriori informazioni sono disponibili nella sezione relativa al [contenimento dei sorgenti](https://docs.aws.amazon.com/security-ir/latest/userguide/source-containment.html) della guida tecnica al servizio.
# Contenimento IAM
L'automazione del `AWSSupport-ContainIAMPrincipal` contenimento esegue un contenimento di rete reversibile di un utente o ruolo IAM, lasciando l'utente o il ruolo in IAM, ma isolandolo dalla comunicazione con le risorse all'interno dell'account.
# Contenimento S3
L'automazione del `AWSSupport-ContainS3Resource` contenimento esegue un contenimento reversibile di un bucket S3, lasciando gli oggetti nel bucket e isolando il bucket o l'oggetto Amazon S3 modificandone le politiche di accesso.
# Sviluppo di strategie di contenimento
AWS Security Incident Response vi incoraggia a prendere in considerazione strategie di contenimento per ogni tipo di evento importante che rientrino nella vostra propensione al rischio. Documenta criteri chiari per facilitare il processo decisionale durante un evento. I criteri da considerare includono:
+ Potenziali danni alle risorse
+ Conservazione delle prove e requisiti normativi
+ Indisponibilità del servizio (ad esempio, connettività di rete, servizi forniti a parti esterne)
+ Tempo e risorse necessari per implementare la strategia
+ Efficacia della strategia (ad esempio, contenimento parziale o totale)
+ Permanenza della soluzione (ad esempio, reversibile o irreversibile)
+ Durata della soluzione (ad esempio, soluzione alternativa di emergenza, soluzione temporanea, soluzione permanente)
Applica controlli di sicurezza in grado di ridurre i rischi e concedere il tempo necessario per definire e implementare una strategia di contenimento più efficace.
# Approccio di contenimento graduale
AWS Security Incident Response consiglia un approccio graduale per raggiungere un contenimento efficiente ed efficace, che preveda strategie a breve e lungo termine basate sul tipo di risorsa.
# Strategia di contenimento
**È in grado di AWS Security Incident Response identificare l'ambito dell'evento di sicurezza?**
+ In caso affermativo, identifica tutte le risorse (utenti, sistemi, risorse).
+ In caso negativo, esaminate parallelamente all'esecuzione del passaggio successivo sulle risorse identificate.
**La risorsa può essere isolata?**
+ In caso affermativo, procedi a isolare le risorse interessate.
+ In caso negativo, collabora con i proprietari e i gestori del sistema per determinare le ulteriori azioni necessarie per contenere il problema.
**Tutte le risorse interessate sono isolate dalle risorse non interessate?**
+ In caso affermativo, procedi con il passaggio successivo.
+ In caso negativo, continuate a isolare le risorse interessate per completare il contenimento a breve termine ed evitare che l'evento si aggravi ulteriormente.
# Backup del sistema
**Le copie di backup dei sistemi interessati sono state create per ulteriori analisi?**
**Le copie forensi sono crittografate e archiviate in un luogo sicuro?**
+ In caso affermativo, procedi con il passaggio successivo.
+ In caso negativo, crittografa le immagini forensi, quindi conservale in un luogo sicuro per evitare utilizzi accidentali, danni e manomissioni.
# Invia le preferenze di contenimento
[Per configurare le preferenze di contenimento per il tuo account o la tua organizzazione, crea un Supporto AWS caso.](https://repost.aws/knowledge-center/get-aws-technical-support)
Nel caso di assistenza, specifica le seguenti informazioni:
+ Il tuo AWS Organizations ID o l'account specifico IDs in cui le azioni di contenimento devono essere autorizzate.
+ La tua opzione di contenimento preferita.
Una volta configurato, AWS Security Incident Response esegue le azioni di contenimento autorizzate durante gli incidenti di sicurezza attivi per proteggere l'ambiente.
**Nota**
AWS Security Incident Response esegue azioni di contenimento solo se configurate con le preferenze appropriate e dopo aver distribuito quelle richieste per concedere le autorizzazioni necessarie AWS CloudFormation StackSet .
# Sradicare
Durante la fase di eradicazione, è importante identificare e risolvere tutti gli account, le risorse e le istanze interessati, ad esempio eliminando il malware, rimuovendo gli account utente compromessi e mitigando le vulnerabilità scoperte, per applicare una correzione uniforme in tutto l'ambiente.
È consigliabile utilizzare un approccio graduale all'eradicazione e al ripristino e dare priorità alle fasi di riparazione. Lo scopo delle fasi iniziali è aumentare rapidamente la sicurezza complessiva (da giorni a settimane) con modifiche di alto valore per prevenire eventi futuri. Le fasi successive possono concentrarsi su cambiamenti a lungo termine (ad esempio, modifiche all'infrastruttura) e sul lavoro in corso per mantenere l'azienda il più sicura possibile. Ogni caso è unico e i tecnici del AWS Security Incident Response collaboreranno con voi per valutare le azioni necessarie.
Considera i seguenti aspetti:
+ È possibile reimpostare l'immagine del sistema e rafforzarlo con patch o altre contromisure per prevenire o ridurre il rischio di attacchi?
+ È possibile sostituire il sistema infetto con una nuova istanza o risorsa, garantendo una linea di base pulita e allo stesso tempo eliminando l'elemento infetto?
+ Avete rimosso tutto il malware e gli altri artefatti lasciati dall'uso non autorizzato e rafforzato i sistemi interessati da ulteriori attacchi?
+ È necessario effettuare analisi forensi sulle risorse interessate?
# Ripristino
AWS Security Incident Response fornisce indicazioni per aiutare a ripristinare il normale funzionamento dei sistemi, confermare che funzionino correttamente e correggere eventuali vulnerabilità per prevenire eventi simili in futuro. AWS Security Incident Response non aiuta direttamente il ripristino dei sistemi. Le considerazioni chiave includono:
+ I sistemi interessati sono aggiornati e rafforzati contro il recente attacco?
+ Qual è la tempistica possibile per ripristinare i sistemi in produzione?
+ Quali strumenti utilizzerai per testare, monitorare e verificare i sistemi ripristinati?
# Segnalazione post incidente
AWS Security Incident Response fornisce un riepilogo dell'evento dopo la conclusione delle attività di sicurezza tra il tuo team e il nostro.
Alla fine di ogni mese, il AWS Security Incident Response servizio invierà report mensili al punto di contatto principale di ogni cliente tramite e-mail. I report verranno forniti in formato PDF utilizzando le metriche descritte di seguito. I clienti riceveranno un rapporto per persona. AWS Organizations
# Metriche del caso
+ Casi creati
+ Nome della dimensione: Tipo
+ Valori delle dimensioni: AWS supportati, supportati automaticamente
+ Unità: numero
+ Descrizione: il numero di casi creati.
+ Casi chiusi
+ Nome dimensione: Tipo
+ Valori delle dimensioni: AWS supportati, autogestiti
+ Unità: numero
+ Descrizione: una misura del numero totale di casi chiusi.
+ Casi aperti
+ Nome dimensione: Tipo
+ Valori delle dimensioni: AWS supportati, supportati automaticamente
+ Unità: numero
+ Descrizione: il numero di casi aperti.
# Metriche di triaging
+ Risultati ricevuti
+ Unità: numero
+ Descrizione: Il numero di risultati inviati al triaging.
+ Risultati archiviati
+ Unità: numero
+ Descrizione: Il numero di risultati archiviati dopo l'elaborazione senza indagini manuali.
+ Risultati esaminati manualmente
+ Unità: numero
+ Descrizione: Il numero di risultati ottenuti con un'indagine manuale.
+ Indagini archiviate
+ Unità: numero
+ Descrizione: il numero di indagini manuali che hanno prodotto falsi positivi e inviate per l'archiviazione
+ Le indagini si sono intensificate
+ Unità: numero
+ Descrizione: Il numero di indagini manuali che hanno portato a un incidente di sicurezza
# Casi
AWS Security Incident Response consente di creare due tipi di casi: casi AWS supportati o casi autogestiti.
# Crea un caso AWS supportato
Puoi creare un caso AWS supportato AWS Security Incident Response tramite la Console, l'API o il AWS Command Line Interface. AWS i casi supportati consentono di ricevere supporto dai tecnici di Security Incident Response.
**Importante**
I casi di dimostrazione/simulazione verranno chiusi dopo un periodo di 90 giorni.
**Nota**
AWS I tecnici di Security Incident Response risponderanno al tuo caso entro 15 minuti. Il tempo di risposta si riferisce alla prima risposta dei tecnici del AWS Security Incident Response. Faremo ogni ragionevole sforzo per rispondere alla richiesta iniziale entro questo lasso di tempo. Questo tempo di risposta non si applica alle risposte successive.
**Nota**
È possibile creare casi AWS supportati non solo per incidenti e indagini di sicurezza attivi, ma anche per domande sulle funzionalità di AWS Security Incident Response. Ciò include domande sulle regole di GuardDuty soppressione, sulle configurazioni di valutazione degli avvisi, sui flussi di lavoro di risposta proattiva e indicazioni generali sul livello di sicurezza. Seleziona il tipo di caso **Investigations and** Inquiries per questi scopi.
# Quando contattare AWS Security Incident Response
Puoi contattare AWS Security Incident Response per vari scopi a seconda delle tue esigenze. La tabella seguente descrive i diversi scenari e il metodo di contatto appropriato per ciascuno di essi.
| Scenario | Quando usare | Tempo di risposta | Tipo di caso |
| --- | --- | --- | --- |
| **Incidente di sicurezza attiva** | Stai riscontrando un incidente di sicurezza urgente che richiede assistenza e servizi di risposta immediata | 15 minuti (prima risposta) | [Incidente di sicurezza attiva](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Indagine** | Hai percepito un incidente di sicurezza e hai bisogno di assistenza per l'analisi dei log e la conferma secondaria dell'indagine sulla risposta all'incidente | 15 minuti (prima risposta) | [Indagini e richieste](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Richieste e linee guida** | Hai domande sui GuardDuty risultati di Amazon, sulle regole di soppressione, sulle configurazioni di triaging degli avvisi, sui flussi di lavoro di risposta proattiva o sulla posizione di sicurezza generale relativa alle funzionalità AWS Security Incident Response | 15 minuti (prima risposta) | [Indagini e richieste](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Problemi di onboarding** | Stai riscontrando problemi tecnici durante il processo di onboarding per Security Incident Response AWS | Varia in base al piano di supporto | [Supporto AWS caso](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case) |
Per tutti i casi AWS supportati (Active Security Incident and Investigations and Inquiries), i tecnici di AWS Security Incident Response risponderanno entro 15 minuti alla prima risposta. Questo tempo di risposta si applica solo al contatto iniziale e non si applica alle risposte successive.
L'esempio seguente riguarda l'uso della console.
1. Accedi AWS Security Incident Response tramite Console di gestione AWS.
1. Scegli **Crea caso**
1. Scegli **Risolvi caso con AWS**
1. Seleziona il tipo di richiesta
1. **Active Security Incident**: questo tipo è destinato al supporto e ai servizi di risposta agli incidenti urgenti.
1. **Indagini e richieste**: utilizzate questo tipo per gli incidenti di sicurezza percepiti, in cui AWS i tecnici del Security Incident Response possono fornire assistenza nell'analisi dei log e nella conferma secondaria delle indagini sulla risposta agli incidenti. È inoltre possibile utilizzare questo tipo per domande su GuardDuty risultati, regole di soppressione, configurazioni di classificazione degli avvisi, flussi di lavoro di risposta proattiva e domande generali sulla posizione di sicurezza relative alle funzionalità di Security Incident Response. AWS
1. Imposta la data di inizio stimata sulla data del primo indicatore dell'incidente. Ad esempio, quando hai riscontrato un comportamento anomalo per la prima volta o quando hai ricevuto il primo avviso di sicurezza correlato.
1. Definisci un titolo per il caso
1. Fornisci una descrizione dettagliata del caso. Considerate i seguenti aspetti che possono aiutare i soccorritori a risolvere il caso:
1. Che cos'è successo?
1. Chi ha scoperto e segnalato l'incidente?
1. Chi è interessato dal caso?
1. Qual è l'impatto noto?
1. Qual è l'urgenza di questo caso?
1. Aggiungine uno o più Account AWS IDs che rientrano nell'ambito del caso.
1. Aggiungi dettagli opzionali del caso:
1. Seleziona i servizi principali interessati dall'elenco a discesa.
1. Seleziona le principali regioni interessate dall'elenco a discesa.
1. Aggiungi uno o più indirizzi IP degli autori delle minacce che hai identificato nell'ambito di questo caso.
1. Aggiungi opzionali addetti alla risposta agli incidenti aggiuntivi al caso che riceveranno le notifiche. Per aggiungere una persona, procedi come segue:
1. Aggiungi un indirizzo email.
1. Aggiungi un nome e cognome opzionali.
1. Scegli **Aggiungi nuovo** per aggiungere un'altra persona.
1. Per rimuovere una persona, scegli l'opzione **Rimuovi** relativa a una persona.
1. Scegli **Aggiungi** per aggiungere tutte le persone elencate al caso.
1. Puoi selezionare più persone e scegliere **Rimuovi** per eliminarle dall'elenco.
1. Aggiungi tag opzionali alla custodia.
1. Per aggiungere un tag, procedere come segue:
1. Scegli **Aggiungi nuovo tag**.
1. Per **Chiave**, inserisci il nome del tag.
1. In **Valore**, immetti il valore del tag.
1. Per rimuovere un tag, seleziona l'opzione **Rimuovi** per quel tag.
Dopo la creazione di un caso AWS supportato, i tecnici di AWS Security Incident Response e il team di risposta agli incidenti vengono immediatamente informati.
**Per creare un caso AWS supportato da un'indagine basata sull'intelligenza artificiale**
1. Apri la AWS Security Incident Response console all'indirizzo [console.aws.amazon.com/](https://console.aws.amazon.com/).
1. **Scegli Casi dal pannello di navigazione.**
1. Scegli **Crea caso**.
1. Per **Tipo di custodia**, seleziona **AWS-case supportate**.
1. Fornisci i dettagli del caso, tra cui titolo, data di inizio dell'incidente e ID AWS dell'account interessato.
1. Nella sezione **Descrivi l'evento di sicurezza**, fornisci una descrizione completa dell'incidente.
1. Fornisci informazioni aggiuntive sui AWS servizi interessati, sulle regioni e su altri dettagli pertinenti.
1. Scegli **Crea caso**.
Dopo la creazione del caso, sia gli ingegneri di Security Incident Response che l'agente AI iniziano a lavorare contemporaneamente.
**Per rispondere a domande di chiarimento sull'IA (opzionale)**
1. Vai alla scheda **Indagine** relativa al tuo caso.
1. Esamina tutte le domande di chiarimento presentate dall'agente AI.
1. Rispondi alle domande o scegli **Salta** se preferisci non rispondere.
1. Scegli **Invia** per continuare. Tutti i campi sono facoltativi.
**Divulgazione responsabile dell'IA**
I riepiloghi delle indagini vengono generati utilizzando funzionalità di intelligenza AWS artificiale generativa. Sei responsabile della valutazione delle raccomandazioni generate dall'intelligenza artificiale nel tuo contesto specifico, dell'implementazione di meccanismi di supervisione appropriati, della verifica dei risultati in modo indipendente e del mantenimento della supervisione umana di tutte le decisioni di sicurezza.
# Crea un caso autogestito
Puoi creare un modulo autogestito AWS Security Incident Response tramite la console, l'API o. AWS Command Line Interface Questo tipo di caso *NON* coinvolge i tecnici del AWS Security Incident Response. L'esempio seguente riguarda l'uso della console.
1. Accedi AWS Security Incident Response tramite l' Console di gestione AWS indirizzo [https://console.aws.amazon.com/security-ir/](https://console.aws.amazon.com/).
1. Scegliere **Create Case (Crea caso)**.
1. Scegli **Risolvi il caso con il mio team di risposta agli incidenti.**
1. Imposta la data di inizio stimata sulla data del primo indicatore dell'incidente. Ad esempio, quando hai riscontrato un comportamento anomalo per la prima volta o quando hai ricevuto il primo avviso di sicurezza correlato.
1. Definite un titolo per il caso. Si consiglia di includere i dati nel titolo del caso, come suggerito quando si seleziona l'opzione **Genera titolo**.
1. Inserisci Account AWS IDs che fanno parte del caso. Per aggiungere un ID account, procedi come segue:
1. Inserisci l'ID dell'account a 12 cifre e scegli **Aggiungi** account.
1. Per rimuovere un account, scegli **Rimuovi** accanto all'account che desideri rimuovere dalla custodia.
1. Fornisci una descrizione dettagliata del caso.
1. Considerate i seguenti aspetti che possono aiutare i soccorritori a risolvere il caso:
1. Che cos'è successo?
1. Chi ha scoperto e segnalato l'incidente?
1. Chi è interessato dal caso?
1. Qual è l'impatto noto?
1. Qual è l'urgenza di questo caso?
1. Aggiungi dettagli opzionali sul caso:
1. Seleziona i servizi principali interessati dall'elenco a discesa.
1. Seleziona le principali regioni interessate dall'elenco a discesa.
1. Aggiungi uno o più indirizzi IP degli autori delle minacce che hai identificato nell'ambito di questo caso.
1. Aggiungi opzionali addetti alla risposta agli incidenti aggiuntivi al caso che riceveranno le notifiche. Per aggiungere una persona, procedi come segue:
1. Aggiungi un indirizzo email.
1. Aggiungi un nome e cognome opzionali.
1. Scegli **Aggiungi nuovo** per aggiungere un'altra persona.
1. Per rimuovere una persona, scegli l'opzione **Rimuovi** relativa a una persona.
1. Scegli **Aggiungi** per aggiungere tutte le persone elencate al caso. Puoi selezionare più persone e scegliere **Rimuovi** per eliminarle dall'elenco.
1. Aggiungi tag opzionali alla custodia. Per aggiungere un tag, procedere come segue:
1. Scegli **Aggiungi nuovo tag**.
1. Per **Chiave**, inserisci il nome del tag.
1. In **Valore**, immetti il valore del tag.
1. Per rimuovere un tag, seleziona l'opzione **Rimuovi** per quel tag.
Il team di risposta agli incidenti riceverà una notifica via e-mail dopo la creazione del caso.
# Collaborazione con i tecnici AWS di Security Incident Respon
Dopo aver aperto un caso di incidente di sicurezza, i tecnici del AWS Security Incident Response iniziano a lavorare sull'incidente. Questa sezione spiega cosa aspettarsi durante l'indagine e come collaborare efficacemente con il nostro team.
# Cosa aspettarsi dai tecnici del AWS Security Incident Response
Quando apri un caso AWS supportato, all'incidente viene assegnato un tecnico del Security Incident Response. Il soccorritore assegnato si occuperà di:
+ Rivedi le informazioni iniziali che hai fornito nel caso
+ Analizza i registri AWS di servizio e i risultati di sicurezza pertinenti
+ Identifica la portata e l'impatto dell'incidente di sicurezza
+ Sviluppa un piano di indagine e risposta personalizzato in base alla tua situazione
**Tempi di risposta**: l'obiettivo del livello di servizio (SLO) per il riconoscimento di nuovi casi da parte degli AWS Security Incident Response ingegneri è entro 15 minuti. La tempistica della valutazione iniziale potrebbe variare in base alla gravità e alla complessità dei casi. Se i AWS Security Incident Response tecnici non ricevono una risposta o informazioni critiche da te entro 5 giorni lavorativi, il caso è chiuso.
# Workflow di indagine
AWS Gli ingegneri di Security Incident Response seguono un processo strutturato di risposta agli incidenti allineato al framework NIST 800-61r2. Durante la tua indagine, puoi aspettarti le seguenti fasi:
1. **Valutazione iniziale:** i tecnici del Security Incident Response esaminano i dettagli del caso e confermano la portata dell'incidente
1. **Indagine**: i tecnici del Security Incident Response analizzano i log, identificano gli indicatori di compromissione e determinano la causa principale
1. **Contenimento**: gli ingegneri del Security Incident Response consigliano azioni per limitare l'impatto dell'incidente
1. **Eradicazione e ripristino**: gli ingegneri di Security Incident Response aiutano a rimuovere le minacce e ripristinare le normali operazioni
1. **Revisione post-incidente**: gli ingegneri di Security Incident Response forniscono risultati e raccomandazioni per prevenire incidenti futuri
Durante queste fasi, il tecnico del Security Incident Response ti tiene informato tramite gli aggiornamenti dei casi e può richiedere ulteriori informazioni o azioni da parte tua.
# I tecnici di Information Security Incident Response possono richiedere
Per indagare efficacemente sull'incidente, i tecnici del AWS Security Incident Response potrebbero chiedervi di fornire:
+ **Dettagli sulla cronologia**: la data in cui hai rilevato per la prima volta l'incidente e tutti gli eventi rilevanti che lo hanno preceduto
+ **Risorse interessate**: AWS account IDs, servizi, regioni e risorse ARNs specifici coinvolti
+ **Informazioni di accesso**: dettagli su chi ha accesso alle risorse interessate ed eventuali modifiche recenti all'accesso
+ **Contesto aziendale**: come vengono utilizzate le risorse interessate e potenziale impatto aziendale
+ **Registri e prove**: registri, schermate o artefatti aggiuntivi che possono aiutare le indagini
+ **Autorizzazione**: approvazione per eseguire specifiche azioni di contenimento o riparazione per conto dell'utente
Il tecnico addetto alla Security Incident Response spiegherà perché ogni informazione è necessaria e in che modo aiuta l'indagine.
# Le migliori pratiche di comunicazione
Una comunicazione efficace accelera la risoluzione degli incidenti. Segui queste pratiche quando lavori con i tecnici del AWS Security Incident Response:
+ **Rispondi tempestivamente alle** richieste di informazioni del tuo tecnico di Security Incident Response
+ **Fornisci informazioni complete** anche se non sei sicuro della loro rilevanza
+ **Fai domande** se non comprendi una raccomandazione o hai bisogno di chiarimenti
+ **Aggiorna il caso** con eventuali nuovi sviluppi o modifiche all'incidente
+ **Designate un contatto principale** del vostro team che si coordini con i tecnici del Security Incident Response
**Importante**
Se i AWS Security Incident Response tecnici non ricevono una risposta alle richieste di informazioni critiche entro 5 giorni lavorativi, ci adopereremo per chiudere il caso. Puoi riaprire un caso se diventano disponibili nuove informazioni.
# Il tuo ruolo durante le indagini
Sebbene AWS Security Incident Response gli ingegneri guidino le indagini, la tua partecipazione è essenziale. Sei responsabile delle seguenti azioni:
+ Fornire risposte tempestive alle richieste di informazioni
+ Implementazione delle azioni di contenimento e riparazione consigliate nell'ambiente in uso AWS
+ Autorizzazione dei tecnici di Security Incident Response a intraprendere azioni per conto dell'utente (se è stata abilitata la risposta proattiva)
+ Coordinamento con i team interni (sicurezza, legale, conformità) secondo necessità
+ Prendere decisioni aziendali sulle priorità e sui compromessi di risposta agli incidenti
AWS Security Incident Response gli ingegneri forniscono competenze e consigli, ma voi mantenete il controllo sulle AWS risorse e prendete decisioni definitive sulle azioni di risposta.
# Chiusura della custodia
AWS Security Incident Response i tecnici chiudono la custodia quando:
+ L'incidente è stato contenuto e risolto
+ Tutti i risultati delle indagini sono stati condivisi con te
+ Non è richiesta alcuna ulteriore assistenza tecnica da parte dei tecnici del Security Incident Response
+ Richiedete la chiusura del caso
Prima di chiudere un caso, il tecnico del Security Incident Response fornisce un riepilogo dei risultati, delle azioni intraprese e delle raccomandazioni per migliorare il livello di sicurezza.
Se hai bisogno di ulteriore assistenza dopo la chiusura del caso, puoi aprire un nuovo caso o un nuovo contatto Supporto AWS.
# Rispondere a un caso AWS generato
AWS Security Incident Response potrebbe creare una notifica o un caso in uscita quando devi agire o essere a conoscenza di qualcosa che potrebbe avere un impatto sul tuo account o sulle tue risorse. Ciò si verifica solo se hai abilitato i flussi di lavoro di risposta proattiva e triaging degli avvisi come parte dell'abbonamento.
Queste notifiche vengono visualizzate come casi di Security Incident Response con il prefisso «[Proactive case]» nella console. AWS Security Incident Response Per visualizzare e gestire questi casi, completa i seguenti passaggi:
+ Aprire la console Security Incident Response all'indirizzo https://console.aws.amazon.com/security-ir/
+ Scegli **Casi**.
+ Vengono visualizzati tutti i casi, inclusi quelli con il prefisso «[Caso proattivo]».
Puoi aggiornare, risolvere e riaprire questi casi secondo necessità. È possibile comunicare direttamente con il AWS Security Incident Response team in questi casi, garantendo una gestione efficiente dei potenziali problemi di sicurezza.
# Gestione dei casi
**Topics**
+ [Modifica dello stato del caso](changing-the-case-status.md)
+ [Cambiare il resolver](changing-the-resolver.md)
+ [Action Items (Attività)](action-items.md)
+ [Modifica di un caso](edit-a-case.md)
+ [Comunicazioni](communications.md)
+ [Permissions](sir-permissions.md)
+ [Allegati](attachments.md)
+ [Tag](tags.md)
+ [Attività relative ai casi](case-activities.md)
+ [Chiusura di un caso](closing-a-case.md)
# Modifica dello stato del caso
Un caso si trova in uno dei seguenti stati:
+ Inviato: questo è lo stato iniziale di un caso. I casi in questo stato sono stati presentati da un richiedente, ma non sono ancora in fase di elaborazione.
+ Rilevamento e analisi: questo stato indica che un addetto alle operazioni di soccorso ha iniziato a lavorare sul caso. Questa fase include la raccolta dei dati, la valutazione dell'evento e l'esecuzione di analisi per creare conclusioni basate sui dati.
+ Contenimento, eliminazione e ripristino: in questa situazione, il soccorritore ha identificato attività sospette che richiedono uno sforzo aggiuntivo per essere rimosse. Il responsabile della risposta agli incidenti fornirà consigli per l'analisi dei rischi aziendali e ulteriori azioni. Se hai abilitato le funzionalità di opt-in per il servizio, un addetto alla risposta agli AWS incidenti richiederà il tuo consenso per eseguire azioni di contenimento con i documenti SSM negli account interessati.
+ Attività post-incidente: in questo stato l'evento di sicurezza principale è stato contenuto. L'obiettivo ora è ripristinare e riportare le operazioni aziendali alla normalità. Se il resolver del caso è supportato, viene fornita un'analisi riassuntiva e della causa principale AWS.
+ Chiuso: questo è lo stato finale del flusso di lavoro. I casi con stato chiuso indicano che il lavoro è stato completato. I casi chiusi non possono essere riaperti, quindi assicurati che tutte le azioni siano complete prima di passare a questo stato.
Scegli **Azione/Aggiorna stato** per modificare lo stato del caso per i casi autogestiti. Per i casi AWS supportati, lo stato è impostato dai tecnici del AWS Security Incident Response.
# Cambiare il resolver
Per i casi autogestiti, il team di risposta agli incidenti può richiedere assistenza a. AWS Scegli **Richiedi assistenza da AWS** per cambiare il risolutore per questo caso. AWS**Una volta aggiornato il caso a AWS Supportato, lo stato viene modificato in Inviato.** La cronologia dei casi esistente sarà disponibile per i tecnici del AWS Security Incident Response. Una volta che AWS avrai richiesto assistenza, non potrai tornare a gestirla automaticamente.
# Action Items (Attività)
Un tecnico del AWS Security Incident Response che si occupa del caso può richiedere azioni al team interno.
Le azioni che compaiono dopo la creazione di un caso includono:
+ Richiesta di concessione delle autorizzazioni a un addetto alle operazioni di soccorso per accedere a un caso
+ Richiesta di fornire ulteriori informazioni sul caso
Azioni da intraprendere quando un caso è pronto per essere chiuso:
+ Richiesta di revisione del rapporto sul caso
+ Richiesta di chiusura del caso
# Modifica di un caso
Scegli **Modifica** per modificare i dettagli di un caso.
**Per i casi AWS supportati e autogestiti:**
È possibile modificare i seguenti dettagli del caso dopo la creazione di un caso:
+ Titolo
+ Description
**Solo per i casi AWS supportati:**
Puoi modificare i campi aggiuntivi:
+ **Tipo richiesta:**
+ **Active Security Incident**: questo tipo è destinato al supporto e ai servizi di risposta agli incidenti urgenti.
+ **Indagini**: le indagini consentono di ottenere assistenza in caso di incidenti di sicurezza percepiti, mentre i tecnici del AWS Security Incident Response possono fornire assistenza nella registrazione e nella conferma secondaria dell'evento di sicurezza.
+ **Stima della data di inizio**: modifica questo campo se per questo caso hai ricevuto indicatori antecedenti alla data di inizio inizialmente fornita. Valuta la possibilità di fornire ulteriori dettagli sull'indicatore appena rilevato nel campo della descrizione o di aggiungere un commento nella scheda Comunicazioni.
# Comunicazioni
AWS I tecnici di Security Incident Response possono aggiungere commenti per documentare le loro attività quando lavorano su un caso. Diversi tecnici del AWS Security Incident Response possono lavorare su un caso contemporaneamente. Sono rappresentati come **AWS Responder** all'interno del registro delle comunicazioni.
# Permissions
La scheda Autorizzazioni elenca tutte le persone che riceveranno una notifica in caso di modifica del caso. Puoi aggiungere e rimuovere persone dall'elenco fino alla chiusura del caso.
**Nota**
I singoli casi consentono di includere fino a 30 parti interessate in totale. È necessaria una configurazione aggiuntiva delle autorizzazioni per concedere l'accesso a livello di caso a queste parti interessate.
**Fornisci l'accesso a un caso nella console**
Per fornire l'accesso al caso in Console di gestione AWS, puoi copiare il modello di policy di autorizzazione IAM e aggiungere questa autorizzazione a un utente o a un ruolo.
Aggiungere la policy IAM a un utente o a un ruolo:
1. Copia la politica di autorizzazione IAM.
1. Apri IAM in via [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Utente** o **Ruoli.**
1. Seleziona un utente o un ruolo per aprire la pagina dei dettagli.
1. Nella scheda Autorizzazioni, scegli **Aggiungi autorizzazioni**.
1. Scegli **Collega policy**.
1. Seleziona la politica [AWS Security Incident Response gestita](https://docs.aws.amazon.com/security-ir/latest/userguide/aws-managed-policies.html) appropriata.
1. Scegli **Aggiungi policy**.
# Allegati
I soccorritori possono aggiungere allegati a un caso per aiutare gli altri soccorritori nelle indagini relative ai casi autogestiti.
**Nota**
Se scegli un caso AWS supportato, non puoi visualizzare gli allegati AWS . Tutti i dettagli relativi ai casi AWS supportati devono essere condivisi tramite commenti sui casi o tramite la condivisione dello schermo da parte dell'utente utilizzando la tecnologia di comunicazione preferita.
Scegli **Carica** per selezionare un file dal tuo computer da aggiungere al caso.
**Nota**
Tutti gli allegati caricati vengono eliminati sette giorni dopo la conclusione del caso. `Closed`
# Tag
Un tag è un'etichetta opzionale che puoi assegnare ai tuoi casi per contenere i metadati relativi a quella risorsa. Ogni tag è un'etichetta composta da una chiave e un valore opzionale. Puoi utilizzare i tag per cercare, allocare i costi e autenticare le autorizzazioni per la risorsa.
Per aggiungere un tag, procedere come segue:
1. Scegli **Aggiungi nuovo tag**.
1. Per **Chiave**, inserisci il nome del tag.
1. In **Valore**, immetti il valore del tag.
Per rimuovere un tag, seleziona l'opzione **Rimuovi** per quel tag.
# Attività relative ai casi
Gli audit trail forniscono registrazioni cronologiche dettagliate di tutte le attività del caso. Forniscono informazioni importanti sulle attività post-evento e aiutano a identificare potenziali miglioramenti. L'ora, l'utente, l'azione e i dettagli di ogni modifica del caso vengono registrati nell'audit trail del caso.
# Chiusura di un caso
Per i casi AWS supportati, scegli **Chiudi caso** nella pagina dei dettagli del caso per chiudere definitivamente il caso in qualsiasi stato. Un caso raggiunge in genere lo stato **Pronto a chiudere** prima di essere chiuso definitivamente. Se si chiude prematuramente un caso in uno stato diverso da **Pronto a chiudere**, si richiede che i tecnici del AWS Security Incident Response smettano di lavorare su questo AWS caso supportato.
Se il tuo team di risposta agli incidenti è il responsabile della risposta, seleziona **Azione/Chiudi caso nella pagina dei dettagli del caso**.
**Nota**
Lo stato «Pronto a chiudere» indica che un caso può essere chiuso definitivamente e che non è necessario eseguire ulteriori operazioni su un caso.
Una custodia non può essere riaperta dopo essere stata chiusa definitivamente. Tutte le informazioni saranno disponibili in sola lettura. Per evitare una chiusura accidentale, ti verrà chiesto di confermare che desideri chiudere la custodia.
# Lavorare con CloudFormation StackSets
**Importante**
AWS Security Incident Response non abilita le funzionalità di contenimento per impostazione predefinita. Per eseguire queste azioni di contenimento, è necessario concedere le autorizzazioni necessarie al servizio utilizzando i ruoli. AWS Identity and Access Management Puoi creare questi ruoli singolarmente per ogni account o per l'intera organizzazione distribuendo CloudFormation StackSets, StackSets Crea i ruoli richiesti.
*Per istruzioni specifiche su come creare un account StackSet con autorizzazioni gestite dal servizio, consulta [Creazione con autorizzazioni gestite dal servizio nella CloudFormation StackSets Guida](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-associate-stackset-with-org.html) per l'utente.AWS CloudFormation *
Di seguito sono riportati i modelli per creare i ruoli e. *AWSSecurityIncidentResponseContainment*AWSSecurityIncidentResponseContainmentExecution**
```
AWSTemplateFormatVersion: '2010-09-09'
Description: 'Template for production SIR containment roles'
Resources:
AWSSecurityIncidentResponseContainment:
Type: 'AWS::IAM::Role'
Properties:
RoleName: AWSSecurityIncidentResponseContainment
AssumeRolePolicyDocument:
{
'Version': '2012-10-17',
'Statement':
[
{
'Effect': 'Allow',
'Principal': { 'Service': 'containment.security-ir.amazonaws.com' },
'Action': 'sts:AssumeRole',
'Condition': { 'StringEquals': { 'sts:ExternalId': !Sub '${AWS::AccountId}' } },
},
{
'Effect': 'Allow',
'Principal': { 'Service': 'containment.security-ir.amazonaws.com' },
'Action': 'sts:TagSession',
},
],
}
Policies:
- PolicyName: AWSSecurityIncidentResponseContainmentPolicy
PolicyDocument:
{
'Version': '2012-10-17',
'Statement':
[
{
'Effect': 'Allow',
'Action': ['ssm:StartAutomationExecution'],
'Resource':
[
!Sub 'arn:${AWS::Partition}:ssm:*:*:automation-definition/AWSSupport-ContainEC2Instance:$DEFAULT',
!Sub 'arn:${AWS::Partition}:ssm:*:*:automation-definition/AWSSupport-ContainS3Resource:$DEFAULT',
!Sub 'arn:${AWS::Partition}:ssm:*:*:automation-definition/AWSSupport-ContainIAMPrincipal:$DEFAULT',
],
},
{
'Effect': 'Allow',
'Action':
['ssm:DescribeInstanceInformation', 'ssm:GetAutomationExecution', 'ssm:ListCommandInvocations'],
'Resource': '*',
},
{
'Effect': 'Allow',
'Action': ['iam:PassRole'],
'Resource': !GetAtt AWSSecurityIncidentResponseContainmentExecution.Arn,
'Condition': { 'StringEquals': { 'iam:PassedToService': 'ssm.amazonaws.com' } },
},
],
}
AWSSecurityIncidentResponseContainmentExecution:
Type: 'AWS::IAM::Role'
Properties:
RoleName: AWSSecurityIncidentResponseContainmentExecution
AssumeRolePolicyDocument:
{
'Version': '2012-10-17',
'Statement':
[{ 'Effect': 'Allow', 'Principal': { 'Service': 'ssm.amazonaws.com' }, 'Action': 'sts:AssumeRole' }],
}
ManagedPolicyArns:
- !Sub arn:${AWS::Partition}:iam::aws:policy/SecurityAudit
Policies:
- PolicyName: AWSSecurityIncidentResponseContainmentExecutionPolicy
PolicyDocument:
{
'Version': '2012-10-17',
'Statement':
[
{
'Sid': 'AllowIAMContainment',
'Effect': 'Allow',
'Action':
[
'iam:AttachRolePolicy',
'iam:AttachUserPolicy',
'iam:DeactivateMFADevice',
'iam:DeleteLoginProfile',
'iam:DeleteRolePolicy',
'iam:DeleteUserPolicy',
'iam:GetLoginProfile',
'iam:GetPolicy',
'iam:GetRole',
'iam:GetRolePolicy',
'iam:GetUser',
'iam:GetUserPolicy',
'iam:ListAccessKeys',
'iam:ListAttachedRolePolicies',
'iam:ListAttachedUserPolicies',
'iam:ListMfaDevices',
'iam:ListPolicies',
'iam:ListRolePolicies',
'iam:ListUserPolicies',
'iam:ListVirtualMFADevices',
'iam:PutRolePolicy',
'iam:PutUserPolicy',
'iam:TagMFADevice',
'iam:TagPolicy',
'iam:TagRole',
'iam:TagUser',
'iam:UntagMFADevice',
'iam:UntagPolicy',
'iam:UntagRole',
'iam:UntagUser',
'iam:UpdateAccessKey',
'identitystore:CreateGroupMembership',
'identitystore:DeleteGroupMembership',
'identitystore:IsMemberInGroups',
'identitystore:ListUsers',
'identitystore:ListGroups',
'identitystore:ListGroupMemberships',
],
'Resource': '*',
},
{
'Sid': 'AllowOrgListAccounts',
'Effect': 'Allow',
'Action': 'organizations:ListAccounts',
'Resource': '*',
},
{
'Sid': 'AllowSSOContainment',
'Effect': 'Allow',
'Action':
[
'sso:CreateAccountAssignment',
'sso:DeleteAccountAssignment',
'sso:DeleteInlinePolicyFromPermissionSet',
'sso:GetInlinePolicyForPermissionSet',
'sso:ListAccountAssignments',
'sso:ListInstances',
'sso:ListPermissionSets',
'sso:ListPermissionSetsProvisionedToAccount',
'sso:PutInlinePolicyToPermissionSet',
'sso:TagResource',
'sso:UntagResource',
],
'Resource': '*',
},
{
'Sid': 'AllowSSORead',
'Effect': 'Allow',
'Action': ['sso-directory:SearchUsers', 'sso-directory:DescribeUser'],
'Resource': '*',
},
{
'Sid': 'AllowS3Read',
'Effect': 'Allow',
'Action':
[
's3:GetAccountPublicAccessBlock',
's3:GetBucketAcl',
's3:GetBucketLocation',
's3:GetBucketOwnershipControls',
's3:GetBucketPolicy',
's3:GetBucketPolicyStatus',
's3:GetBucketPublicAccessBlock',
's3:GetBucketTagging',
's3:GetEncryptionConfiguration',
's3:GetObject',
's3:GetObjectAcl',
's3:GetObjectTagging',
's3:GetReplicationConfiguration',
's3:ListBucket',
's3express:GetBucketPolicy',
],
'Resource': '*',
},
{
'Sid': 'AllowS3Write',
'Effect': 'Allow',
'Action':
[
's3:CreateBucket',
's3:DeleteBucketPolicy',
's3:DeleteObjectTagging',
's3:PutAccountPublicAccessBlock',
's3:PutBucketACL',
's3:PutBucketOwnershipControls',
's3:PutBucketPolicy',
's3:PutBucketPublicAccessBlock',
's3:PutBucketTagging',
's3:PutBucketVersioning',
's3:PutObject',
's3:PutObjectAcl',
's3express:CreateSession',
's3express:DeleteBucketPolicy',
's3express:PutBucketPolicy',
],
'Resource': '*',
},
{
'Sid': 'AllowAutoScalingWrite',
'Effect': 'Allow',
'Action':
[
'autoscaling:CreateOrUpdateTags',
'autoscaling:DeleteTags',
'autoscaling:DescribeAutoScalingGroups',
'autoscaling:DescribeAutoScalingInstances',
'autoscaling:DescribeTags',
'autoscaling:EnterStandby',
'autoscaling:ExitStandby',
'autoscaling:UpdateAutoScalingGroup',
],
'Resource': '*',
},
{
'Sid': 'AllowEC2Containment',
'Effect': 'Allow',
'Action':
[
'ec2:AuthorizeSecurityGroupEgress',
'ec2:AuthorizeSecurityGroupIngress',
'ec2:CopyImage',
'ec2:CreateImage',
'ec2:CreateSecurityGroup',
'ec2:CreateSnapshot',
'ec2:CreateTags',
'ec2:DeleteSecurityGroup',
'ec2:DeleteTags',
'ec2:DescribeImages',
'ec2:DescribeInstances',
'ec2:DescribeSecurityGroups',
'ec2:DescribeSnapshots',
'ec2:DescribeTags',
'ec2:ModifyNetworkInterfaceAttribute',
'ec2:RevokeSecurityGroupEgress',
],
'Resource': '*',
},
{
'Sid': 'AllowKMSActions',
'Effect': 'Allow',
'Action':
[
'kms:CreateGrant',
'kms:DescribeKey',
'kms:GenerateDataKeyWithoutPlaintext',
'kms:ReEncryptFrom',
'kms:ReEncryptTo',
],
'Resource': '*',
},
{
'Sid': 'AllowSSMActions',
'Effect': 'Allow',
'Action': ['ssm:DescribeAutomationExecutions'],
'Resource': '*',
},
],
}
```
# Annullare l'iscrizione
Un ruolo che CancelMembership dispone dell'autorizzazione AWS Security Incident Response può annullare l'iscrizione dalla console, dall'API o AWS Command Line Interface.
**Importante**
Una volta annullata l'iscrizione, non sarà possibile visualizzare i dati storici dei casi. Quando annulli un'iscrizione, la tua iscrizione verrà eliminata immediatamente e non avrai più accesso ai casi relativi all'iscrizione. Eventuali risorse o indagini che sono `Active` o `ready to close` verranno anch'esse sospese in seguito alla cancellazione dell'iscrizione.
Quando annulli un abbonamento:
La tua iscrizione verrà eliminata e non avrai più accesso ai casi relativi all'iscrizione.
**Importante**
Se ti iscrivi nuovamente al servizio, verrà creata una nuova iscrizione e le risorse relative ai casi disponibili nell'abbonamento precedente saranno accessibili solo se le hai scaricate prima dell'annullamento.
Dopo l'annullamento dell'iscrizione, tutti i membri del team di risposta agli incidenti relativi all'iscrizione ricevono una notifica via e-mail.
**Importante**
Se hai creato un'iscrizione utilizzando un account amministratore delegato e utilizzi l' AWS Organizations API per rimuovere la designazione di amministratore delegato dall'account, l'iscrizione verrà interrotta immediatamente.