モニタリングと調査

AWS セキュリティインシデント対応は、Amazon GuardDuty と AWS Security Hub CSPM のセキュリティアラートを確認してトリアージし、環境に基づいて抑制ルールを設定して不要なアラートを防ぎます。AWS Security Incident Response エンジニアリング (SIRE) チームは、検出結果を調査し、問題を迅速にエスカレートするとともに、潜在的な問題を迅速に封じ込めるようにユーザーのチームをガイドします。必要に応じて、ユーザーに代わって封じ込めアクションを実装する AWS Security Incident Response アクセス許可を付与できます。

AWS Security Incident Response は、NIST 800-61r2 Computer Security event Handling Guide for Security event Response に準拠しています。この業界標準に準拠することで、AWS Security Incident Response はセキュリティイベント管理に一貫したアプローチを提供し、AWS 環境内のセキュリティイベントの保護と対応に関するベストプラクティスに従います。

AWS Security Incident Response がセキュリティアラートを特定するか、セキュリティ支援をリクエストすると、AWS SIRE が調査します。チームは、GuardDuty アラートなどのログイベントとサービスデータを収集し、そのデータをトリアージして分析し、修復と封じ込めのアクティビティを実行し、インシデント後のレポートを提供します。