격리
AWS Security Incident Response는 이벤트를 포함하기 위해 사용자와 협력합니다. 보안 조사 결과에 대응하여 계정에서 선제적 격리 작업을 수행하도록 서비스를 구성할 수 있습니다. 또한 지원되는 격리 작업에서 설명한 대로 SSM 문서를 사용하여 직접 또는 서드 파티 관계자와 협력하여 격리를 수행할 수도 있습니다.
중요
AWS Security Incident Response는 기본적으로 격리 기능을 활성화하지 않습니다.
선제적 격리 기능을 활성화하려면 다음 두 단계가 필요합니다.
-
IAM 역할을 사용하여 서비스에 필요한 권한을 부여합니다. 필요한 역할을 생성하는 AWS CloudFormation StackSets 작업을 통해 계정당 또는 조직 전체에서 이러한 역할을 개별적으로 생성할 수 있습니다.
-
계정별 또는 조직 전체에서 격리 기본 설정을 정의하여 선제적 격리 작업에 권한을 부여합니다. 계정 수준 기본 설정은 조직 수준 기본 설정을 대체합니다. 이 작업은 AWS 지원 사례(기술: Security Incident Response 서비스/기타)를 생성하여 수행할 수 있습니다. 사용 가능한 격리 기본 설정은 다음과 같습니다.
-
승인 필요(기본값): 사례별로 명시적 권한 부여 없이 리소스를 선제적으로 격리하지 않습니다.
-
확인 항목 격리: 손상된 것으로 확인된 리소스에 대해 선제적 격리를 수행합니다.
-
의심 항목 격리: AWS Security Incident Response 엔지니어링에서 수행한 분석을 기반으로 손상 가능성이 큰 리소스를 선제적으로 격리합니다.
-
