プロアクティブ対応による自動アーカイブを理解する

プロアクティブ対応とアラートのトリアージを有効にすると、AWS Security Incident Response が Amazon GuardDuty と Security Hub CSPM のセキュリティ検出結果を自動的にモニタリングしてトリアージします。この自動トリアージワークフローの一環として、検出結果は次の基準に基づいて自動的にアーカイブされます:

自動アーカイブの動作:

良性の検出結果: 自動トリアージプロセスによって検出結果が良性 (真のセキュリティ脅威ではない) であると判断された場合、AWS Security Incident Response は検出結果を Amazon GuardDuty に自動的にアーカイブし、抑制ルールを作成して、同様の検出結果が今後アラートを生成しないようにします。
抑制ルール: このサービスは、予想される IP アドレス、IAM エンティティ、通常の運用上の動作など、環境の既知の正常なパターンに一致する検出結果について、Amazon GuardDuty と Security Hub CSPM の両方に抑制ルールと自動アーカイブルールを作成します。
アラートボリュームの削減: SIEM テクノロジーを使用している組織は、サービスが環境を学習し、良性の検出結果を自動的にアーカイブすると、時間の経過とともに Amazon GuardDuty の検出結果ボリュームが大幅に減少します。これにより、AWS Security Incident Response のサービスと SIEM の両方の効率が向上します。

アーカイブされた検出結果の表示:

自動的にアーカイブされた検出結果と、AWS Security Incident Response によって作成された抑制ルールを確認できます:

[Amazon GuardDuty コンソール] に移動する
[検出結果] を選択する
検出結果フィルターから [アーカイブ済み] を選択する
各ルールの横にある下矢印を選択して、抑制ルールを確認する

重要な考慮事項:

アーカイブされた検出結果は 90 日間 Amazon GuardDuty に保持され、その期間中いつでも表示することができます
抑制ルールは、Amazon GuardDuty コンソールからいつでも変更または削除できます
自動トリアージプロセスは、継続的に環境に適応し、時間の経過とともに精度を向上させ、誤検出を削減します

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

プロアクティブレスポンスとアラートのトリアージワークフローを設定する

ユーザータスク