封じ込めアクションの設定を定義する - AWS Security Incident Response ユーザーガイド

封じ込めアクションの設定を定義する

封じ込めアクションにより、セキュリティインシデント対応は、侵害されたホストの分離や認証情報の更新など、アクティブなセキュリティインシデント中に迅速な対応策を実行できます。これらのアクションは、環境内のセキュリティインシデントの影響をすばやく軽減するのに役立ちます。

重要

Security Incident Response では、デフォルトで封じ込め機能は有効になりません。封じ込め設定を使用して、封じ込めアクションを明示的に承認する必要があります。

セキュリティインシデント対応エンジニアがユーザーに代わって封じ込めアクションを実行することを承認するには、組織またはアカウントレベルの封じ込め設定を定義する必要があります。アカウントレベルの設定は、組織レベルの設定よりも優先されます。

前提条件: AWS サポートケースを作成するには、アクセス許可が必要です。

封じ込めオプション:

  • 封じ込めアクションなし (デフォルト) - セキュリティインシデント対応エンジニアは、ユーザーに代わって封じ込めアクションを実行することはありません。

  • 承認による封じ込め - セキュリティインシデント対応エンジニアは、封じ込めアクションを実行する前にユーザーの承認をリクエストします。

  • 自動封じ込め - セキュリティインシデント対応エンジニアは、アクティブなインシデント中に事前の承認なしに封じ込めアクションをすぐに実行できます。

封じ込め設定を定義するには:

  1. セキュリティインシデント対応の封じ込めアクション設定をリクエストする [AWS サポートケース] を作成します

  2. サポートケースで、以下を指定します:

    • 封じ込めアクションを承認する必要がある AWS 組織 ID または特定のアカウント ID

    • 希望する封じ込めオプション (封じ込めなし、承認による封じ込め、または自動封じ込め)

    • 承認する封じ込めアクションのタイプ (EC2 インスタンスの分離、認証情報の更新、セキュリティグループの変更など)

  3. AWS サポートはユーザーと連携して、封じ込めの設定を行います。必要な IAM ロールを作成するために必要な AWS CloudFormation StackSet をデプロイする必要があります。AWSサポートは、必要に応じて支援を提供できます。

設定が完了すると、セキュリティインシデント対応は、アクティブなセキュリティインシデント中に承認された封じ込めアクションを実行して、環境を保護するのを支援できます。

次のステップ: 封じ込め設定を行ったら、セキュリティインシデント対応コンソールでインシデント中に実行された封じ込めアクションをモニタリングできます。