AWS でサポートされているケースを作成する - AWS Security Incident Response ユーザーガイド

AWS でサポートされているケースを作成する

AWS Security Incident Response の AWS がサポートするケースは、コンソール、API、または AWS Command Line Interface を使用して作成できます。AWS がサポートするケースでは、セキュリティインシデント対応エンジニアからサポートを受けることができます。

重要

デモ/シミュレーションケースは 90 日後に終了します。

注記

AWS セキュリティインシデント対応エンジニアは 15 分以内にケースに対応します。対応時間は、AWS セキュリティインシデント対応エンジニアからの最初の対応のものです。お客様の初回のリクエストには、この時間内に応答するよう取り組んでいます。この応答時間は、後続の応答には適用されません。

注記

アクティブなセキュリティインシデントや調査のためだけでなく、AWS セキュリティインシデント対応機能に関する問い合わせのためにも、AWS がサポートするケースを作成できます。これには、GuardDuty 抑制ルールに関する質問、アラートのトリアージ設定、プロアクティブ対応ワークフロー、およびセキュリティ体制に関する一般的なガイダンスが含まれます。これらの目的のために、[調査と問い合わせ] ケースタイプを選択します。

次の例では、コンソールの使用について説明します。

  1. AWS マネジメントコンソール 経由で AWS Security Incident Response にサインインします。

  2. [ケースを作成] を選択します

  3. [AWS を利用してケースを解決] を選択します

  4. リクエストのタイプを選択します

    1. アクティブなセキュリティインシデント: このタイプは、緊急のインシデント対応サポートとサービスのためのものです。

    2. 調査と問い合わせ: AWS セキュリティインシデント対応エンジニアがログ分析およびインシデント対応調査のセカンダリ確認をサポートできる、認識されたセキュリティインシデントには、このタイプを使用します。GuardDuty の検出結果、抑制ルール、アラートのトリアージ設定、プロアクティブ対応ワークフロー、および AWS セキュリティインシデント対応機能に関連する一般的なセキュリティ体制についての質問には、このタイプを使用できます。

  5. 開始日の見積もりを、インシデントの最も早い兆候が確認された日付に設定します。例えば、初めて異常な動作が発生したときや、関連する最初のセキュリティアラートを受け取ったときなどです。

  6. ケースのタイトルを定義します

  7. ケースの詳細な説明を提供してください。  インシデントレスポンダーがケースを解決するのに役立つ以下の側面を考慮してください。

    1. 何が起きたのか。

    2. インシデントを発見して報告したのは誰ですか?

    3. ケースの影響を受けるのは誰ですか?

    4. 既知の影響は何ですか?

    5. このケースの緊急性はどれくらいですか?

    6. ケースの範囲内にある 1 つ以上の AWS アカウント ID を追加します。

  8. オプションで、ケース詳細を追加します。

    1. ドロップダウンリストから、影響を受ける主なサービスを選択します。

    2. ドロップダウンリストから、影響を受ける主なリージョンを選択します。

    3. このケースの一部として特定した 1 つ以上の脅威アクター IP アドレスを追加します。 

  9. オプションで、通知を受け取る追加のインシデントレスポンダーをケースに追加します 個人を追加するには、以下を実行します。

    1. E メールアドレスを追加します。

    2. オプションで、姓名を追加します。

    3. [新規追加] を選択して、別の個人を追加します。

    4. 個人を削除するには、個人の [削除] オプションを選択します。

    5. [追加] を選択して、リストされているすべての個人をケースに追加します。

      1. 複数の個人を選択し、[削除] を選択してリストから削除できます。

  10. オプションで、ケースにタグを追加します。

    1. タグを追加するには、次の操作を行います。

    2. [新しいタグを追加] をクリックします。

    3. [Key] (キー) で、タグの名前を入力します。

    4. [Value] (値) で、タグの値を入力します。

    5. タグを削除するには、そのタグの [Remove] (削除) オプションを選択します。

AWS がサポートするケースが作成されると、AWS セキュリティインシデント対応エンジニアとインシデント対応チームにすぐに通知されます。

AI 調査で AWSがサポートするケースを作成する

  1. AWS Security Incident Response コンソール (console.aws.amazon.com/) を開きます。

  2. ナビゲーション ペインから [Cases] を選択します。

  3. [ケースを作成] を選択します。

  4. Case type で、AWS がサポートするケース を選択します。

  5. タイトル、発生開始日、影響を受けた AWS アカウント ID を含むケースの詳細情報を提供してください。

  6. セキュリティイベントの説明 セクションでは、インシデントについて詳細な説明を提供してください。

  7. 影響を受けた AWS サービス、リージョン、およびその他の関連する詳細に関する追加情報を提供してください。

  8. [ケースを作成] を選択します。

ケースの作成後、セキュリティインシデント対応エンジニアと AI エージェントの両方が同時に作業を開始します。

AI の明確化に関する質問に回答する (オプション)

  1. ケースの 調査 タブに移動してください。

  2. AI エージェントから提示された明確化のための質問を確認します。

  3. 質問に応答するか、回答しない場合はスキップを選択してください。

  4. 送信を選択して続行します。すべてのフィールドはオプションです。

責任ある AI の開示

調査の概要は AWS 生成 AI 機能を使用して生成されます。AI が生成した推奨事項を特定の状況下で評価し、適切な監視メカニズムを導入し、結果を独自に検証し、すべてのセキュリティ決定に対する人間の監視を維持する責任は貴方にあります。