# ステップ 1: AWS Security Incident Response を有効にする オンボーディングプロセスには、AWS 組織あたり約 10~15 分かかります。チュートリアルについては、サービスドキュメントの「[入門ビデオ](https://docs.aws.amazon.com/security-ir/latest/userguide/getting-started.html)」を参照してください。 **注記** このセクションの手順には、AWS Security Incident Response コンソールを使用して Security Incident Response を有効にし、チームをセットアップする方法 (ステップ 1 とステップ 2) が説明されています。これらのステップは、API/CLI を使用して実行することもできます。API/CLI を使用する手順については、「[API/CLI を使用して Security Incident Response を有効にし、インシデント対応チームを設定する](enable-sir-using-cli.md)」を参照してください。 **AWS Security Incident Response コンソールを使用して AWS Security Incident Response を有効にする** 1. 管理アカウントを使用して、AWS マネジメントコンソールにサインインします。 1. AWS Security Incident Response コンソールを開き、**[サインアップ]** を選択します。 ![サインアップボタンを使用した AWS Security Incident Response サインアップページ。](http://docs.aws.amazon.com/ja_jp/security-ir/latest/userguide/images/AWS_Security_incident_Response.png) 1. 中心となるメンバーシップアカウントを設定します。ガイダンスについては、「*AWS 規範ガイダンス*」の「[セキュリティリファレンスアーキテクチャ](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html)」、および Security Incident Response の委任管理者アカウントの仕組みに関する「[考慮事項とレコメンデーション](considerations_important.md)」を参照してください。 ![委任管理者アカウントを選択するための、中央会員アカウントページを設定します。](http://docs.aws.amazon.com/ja_jp/security-ir/latest/userguide/images/Set_Up_Central_Membership_Account.png) 1. 委任管理者アカウントにサインインします。 1. メンバーシップの詳細を入力し、適切なアカウントを関連付けます。 1. **[アカウントスコープ]** で、AWS Security Incident Response を有効にする対象として、AWS 組織全体または特定の OU を選択します。対象範囲は OU レベルで選択できますが、個々のアカウントレベルでは選択できません。 1. **プロアクティブレスポンス**はデフォルトで有効になっており、Security Incident Response Engineering が GuardDuty の検出結果を取り込み、脅威が検出されたときにプロアクティブな調査ケースを開始することを可能にするサービスリンクロールを作成します。詳細については、「[プロアクティブレスポンス](https://docs.aws.amazon.com/security-ir/latest/userguide/proactive-response.html)」を参照してください。 AWS Security Incident Response は、AWS Organizations 管理アカウントと対象範囲内のすべてのアカウントに `AWSServiceRoleForSecurityIncidentResponse_Triage` サービスリンクロールを自動的に作成します。 1. (オプション) アクティブインシデントの対応中に Security Incident Response Engineering が封じ込めアクションをユーザーに代わって実行できるように事前承認しておくことを選択します。サポートされている封じ込めアクションには、侵害された S3 バケット、EC2 インスタンス、IAM プリンシパルのランブックが含まれます。このステップをスキップする場合は、Security Incident Response Engineering が調査中に手動ガイダンスを提供します。詳細については、「[封じ込めアクション](https://docs.aws.amazon.com/security-ir/latest/userguide/containment.html)」を参照してください。 1. サービスのアクセス許可とオンボーディング設定を確認し、**[サインアップ]** を選択します。 ![AWS Security Incident Response が検出結果をモニタリングするために必要なアクセス許可を表示するサービスアクセス許可画面を確認します。](http://docs.aws.amazon.com/ja_jp/security-ir/latest/userguide/images/Review_Service_Permissions.png) ![プロアクティブ対応モニタリングを有効にするためのサインアップ確認画面。](http://docs.aws.amazon.com/ja_jp/security-ir/latest/userguide/images/Review_and_Sign_Up.png)