オンボーディングガイド - AWS Security Incident Response ユーザーガイド

オンボーディングガイド

AWS オンボーディングガイドでは、前提条件、AWS Security Incident Response オンボーディング、封じ込めアクションについて説明します。

重要

前提条件

  1. デプロイにおける唯一の前提条件は、AWS Organizations を有効にすることです

  2. 必須ではありませんが、Security Incident Response のメリットを最大化するためにも、すべてのアカウントとアクティブリージョンで Amazon GuardDutyAWS Security Hub CSPM を有効にすることをお勧めします。

  3. GuardDuty とセキュリティインシデント対応を確認する

  4. GuardDuty ベストプラクティスガイドを確認する

AWS Security Hub CSPM は、サードパーティーのエンドポイント検出および対応 (EDR) ベンダー (CrowdStrike、FortinetCNAPP (Lacework)、Trend Micro など) からの検出結果を取り込みます。これらの検出結果が Security Hub CSPM に取り込まれると、Security Incident Response によってプロアクティブケース作成のために自動的にトリアージされます。Security Hub CSPM でサードパーティー EDR をセットアップするには、検出と分析サービスのドキュメントに従ってください。

Security Hub CSPM でサードパーティー EDR を設定するには:

  1. Security Hub の CSPM 統合ページに移動して、サードパーティーの統合が存在することを確認します。

  2. コンソールから、Security Hub CSPM サービスページに移動します。

  3. 統合 (例として Wiz.IO を使用) を選択します。

  4. 統合するベンダーを検索する

注記

プロンプトが表示されたら、アカウントまたはサブスクリプション情報を入力します。この情報を入力すると、Security Incident Response がサードパーティーの検出結果を取り込みます。サードパーティー検出結果の取り込みに対する料金を確認するには、Security Hub CSPM の「統合」ページを参照してください。