オンボーディングガイド - AWS Security Incident Response ユーザーガイド

オンボーディングガイド

AWS オンボーディングガイドでは、オンボーディング中に脅威封じ込めアクションを実行するための前提条件、セキュリティインシデント対応オンボーディング、セキュリティインシデント対応封じ込めアクションについて説明します。

重要

前提条件

  1. デプロイの唯一の前提条件は AWS Organizations を有効にすることです

  2. 必須ではありませんが、セキュリティインシデント対応の利点を最大化するために、すべてのアカウントとアクティブなリージョンで Amazon GuardDutyAWS Security Hub CSPM を有効にすることをお勧めします。

  3. GuardDuty とセキュリティインシデント対応を確認する

  4. GuardDuty ベストプラクティスガイドを確認する

Security Hub CSPM は、サードパーティーのエンドポイント検出および対応 (EDR) ベンダー (CrowdStrike、FortinetCNAPP (Lacework)、Trend Micro などから検出結果を取り込みます。これらの検出結果が Security Hub CSPM に取り込まれると、Security Incident Response によってプロアクティブケース作成のために自動的にトリアージされます。Security Hub CSPM でサードパーティー EDR をセットアップするには、検出と分析サービスのドキュメントに従ってください。

Security Hub CSPM でサードパーティー EDR を設定するには:

  1. Security Hub の CSPM 統合ページに移動して、サードパーティーの統合が存在することを確認します。

  2. コンソールから、Security Hub CSMP サービスページに移動します。

  3. 統合 (例として Wiz.IO を使用) を選択します。

  4. 統合するベンダーを検索する

注記

アカウントまたはサブスクリプション情報の入力を求められ、完了すると、セキュリティインシデント対応がサードパーティーの検出結果を取り込みます。サードパーティーの検出結果の取り込みの料金は、Security Hub CSPM の統合ページにあります。