创建自主管理案例 - AWS 安全事件响应 用户指南

创建自主管理案例

您可通过控制台、API 或 AWS Command Line Interface为 AWS 安全事件响应创建自主管理案例。此类案例不需要 AWS 安全事件响应工程师参与。以下示例演示控制台操作流程。

  1. 通过位于 https://console.aws.amazon.com/security-ir/ 的 AWS 管理控制台 登录 AWS 安全事件响应。

  2. 选择创建案例

  3. 选择通过自有事件响应团队解决案例

  4. 将预估开始日期设置为事件最早出现迹象的日期,例如:首次出现异常行为或收到首个相关安全警报的日期。

  5. 为案例定义标题。建议选择生成标题选项,按提示纳入日期信息。

  6. 输入案例涉及的 AWS 账户 ID。要添加账户 ID,请执行以下操作:

    1. 输入 12 位数账户 ID,然后选择添加账户

    2. 要删除账户,选择案例中需删除账户旁的删除选项。

  7. 请提供案例的详细描述。 

    1. 以下内容将帮助事件响应人员更快解决问题:

      1. 发生了什么?

      2. 是谁发现并报告的该事件?

      3. 哪些对象受到该案例影响?

      4. 目前已知的影响范围?

      5. 该案例的紧急程度?

  8. 添加案例详细信息(选填):

    1. 从下拉列表中选择受影响的主要服务。

    2. 从下拉列表中选择受影响的主要区域。

    3. 添加一个或多个在该案例中确定的威胁行为者 IP 地址。

  9. 为案例添加其他事件响应人员,以便接收通知。要添加响应人员,请执行以下操作:

    1. 添加电子邮件地址。

    2. 添加姓名(选填)。

    3. 选择新增添加其他响应人员。

    4. 要删除响应人员,选择对应人员的删除选项。

    5. 选择添加,可将所列出的所有人员添加到案例中。您可以选择多人,然后选择删除,即可批量删除所选人员。

  10. 将标签添加到案例(可选)。要添加标签,请执行以下操作:

    1. 选择添加新标签

    2. 对于,输入标签的名称。

    3. 对于,输入标签的值。

    4. 要删除标签,请为该标签选择删除选项。

案例创建后,系统会通过电子邮件通知事件响应团队。