ステップ 1: AWS Security Incident Response を有効にする
オンボーディングプロセスには、AWS 組織あたり約 10~15 分かかります。チュートリアルについては、サービスドキュメントの「入門ビデオ」を参照してください。
注記
このセクションの手順には、AWS Security Incident Response コンソールを使用して Security Incident Response を有効にし、チームをセットアップする方法 (ステップ 1 とステップ 2) が説明されています。これらのステップは、API/CLI を使用して実行することもできます。API/CLI を使用する手順については、「API/CLI を使用して Security Incident Response を有効にし、インシデント対応チームを設定する」を参照してください。
AWS Security Incident Response コンソールを使用して AWS Security Incident Response を有効にする
-
管理アカウントを使用して、AWS マネジメントコンソールにサインインします。
-
AWS Security Incident Response コンソールを開き、[サインアップ] を選択します。
-
中心となるメンバーシップアカウントを設定します。ガイダンスについては、「AWS 規範ガイダンス」の「セキュリティリファレンスアーキテクチャ」、および Security Incident Response の委任管理者アカウントの仕組みに関する「考慮事項とレコメンデーション」を参照してください。
-
委任管理者アカウントにサインインします。
-
メンバーシップの詳細を入力し、適切なアカウントを関連付けます。
-
[アカウントスコープ] で、AWS Security Incident Response を有効にする対象として、AWS 組織全体または特定の OU を選択します。対象範囲は OU レベルで選択できますが、個々のアカウントレベルでは選択できません。
-
プロアクティブレスポンスはデフォルトで有効になっており、Security Incident Response Engineering が GuardDuty の検出結果を取り込み、脅威が検出されたときにプロアクティブな調査ケースを開始することを可能にするサービスリンクロールを作成します。詳細については、「プロアクティブレスポンス」を参照してください。
AWS Security Incident Response は、AWS Organizations 管理アカウントと対象範囲内のすべてのアカウントに
AWSServiceRoleForSecurityIncidentResponse_Triageサービスリンクロールを自動的に作成します。 -
(オプション) アクティブインシデントの対応中に Security Incident Response Engineering が封じ込めアクションをユーザーに代わって実行できるように事前承認しておくことを選択します。サポートされている封じ込めアクションには、侵害された S3 バケット、EC2 インスタンス、IAM プリンシパルのランブックが含まれます。このステップをスキップする場合は、Security Incident Response Engineering が調査中に手動ガイダンスを提供します。詳細については、「封じ込めアクション」を参照してください。
-
サービスのアクセス許可とオンボーディング設定を確認し、[サインアップ] を選択します。
