統合オペレーションの開始方法: アカウントをプロアクティブセキュリティインシデント管理にオンボードする - AWS サポート

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

統合オペレーションの開始方法: アカウントをプロアクティブセキュリティインシデント管理にオンボードする

統合オペレーションを使用すると、アカウント乗っ取り、データ侵害、ランサムウェア攻撃などのセキュリティインシデントを迅速に準備、対応、復旧 AWS Security Incident Response できます。 は検出結果の AWS Security Incident Response 優先順位付け、イベントのエスカレーション、重要なケースの管理を行うと同時に、 AWS 顧客インシデント対応チーム (CIRT) にアクセスして、影響を受けるリソースを調査します。このアクセスにより、セキュリティインシデントを効果的に軽減して解決し、運用への影響を最小限に抑えることができます。このサービス機能にオンボードするには、次の手順を実行します。

  1. AWS アカウント 一元化された を作成します AWS Security Incident Response。これは AWS アカウント 、モニタリング AWS アカウント するその他すべての設定、インシデント対応チームの管理、セキュリティイベントの作成と表示に使用されます。このアカウントは、Amazon GuardDuty や などの他のセキュリティサービスに使用するアカウントと整合させることをお勧めします AWS Security Hub CSPM。セキュリティインシデント対応メンバーシップアカウントとして、AWS Organizations管理アカウントまたは AWS Organizations 委任管理者アカウントを使用できます。詳細については、「 AWS Security Incident Response ユーザーガイド」の「 メンバーシップアカウントの選択」を参照してください。

    1. 基本的なメンバーシップの詳細を選択します。詳細については、「 AWS Security Incident Response ユーザーガイド」の「 メンバーシップの設定」を参照してください。

    2. アカウントの関連付け方法を選択します AWS Organizations。詳細については、「 AWS Security Incident Response ユーザーガイド」の「アカウントを AWS Organizationsに関連付ける」を参照してください。

    3. (オプション) オプションでプロアクティブレスポンスとアラートのトリアージワークフローを有効にして、組織内で Amazon GuardDuty と AWS Security Hub CSPM 統合から生成されたアラートをモニタリングおよび調査できます。詳細については、「 AWS Security Incident Response ユーザーガイド」の「事前対応とアラートの優先順位付けワークフローのセットアップ」を参照してください。

  2. (オプション) 潜在的なセキュリティインシデントのプロアクティブ封じ込めを有効にします。 AWS は封じ込めアクションを実行して、侵害されたホストの分離や認証情報の更新などの影響をすばやく軽減できます。この機能を有効にするには、まずサービスに必要なアクセス許可を付与する必要があります。これを行うには、Step Functions StackSet をデプロイします。