创建 AWS 托管案例 - AWS 安全事件响应 用户指南

创建 AWS 托管案例

您可通过控制台、API 或 AWS Command Line Interface为 AWS 安全事件响应创建由 AWS 支持的案例。由 AWS 支持的案例将由安全事件响应工程师为您提供支持。

重要

演示/模拟案例将在 90 天后关闭。

注意

AWS 安全事件响应工程师将在 15 分钟内响应您的案例。响应时间指 AWS 安全事件响应工程师发出首次响应的时间。我们会尽一切合理努力在此时间范围内响应您的初次请求。该响应时效不适用于后续响应。

注意

您不仅可以为活跃安全事件和调查创建由 AWS 支持的案例,还可以创建此类案例来咨询 AWS 安全事件响应的功能。这包括有关 GuardDuty 隐藏规则、警报分级配置、主动响应工作流以及有关安全态势的一般指导的问题。对于此类目的,请选择调查与查询案例类型。

以下示例演示控制台操作流程。

  1. 通过 AWS 管理控制台登录 AWS 安全事件响应。

  2. 选择创建案例

  3. 选择通过 AWS 解决案例

  4. 选择请求类型:

    1. 活跃安全事件:用于紧急事件响应支持服务。

    2. 调查与咨询:用于疑似的安全事件,AWS 安全事件响应工程师在日志分析和事件响应调查二次确认等方面提供支持。您还可以使用此类下来咨询涉及 Amazon GuardDuty 调查发现、隐藏规则、警报分级配置、主动响应工作流或与 AWS 安全事件响应功能相关的一般安全态势等方面的问题。

  5. 将预估开始日期设置为事件最早出现迹象的日期,例如:首次出现异常行为或收到首个相关安全警报的日期。

  6. 为案例定义标题

  7. 请提供案例的详细描述。  以下内容将帮助事件响应人员更快解决问题:

    1. 发生了什么?

    2. 是谁发现并报告的该事件?

    3. 哪些对象受到该案例影响?

    4. 目前已知的影响范围?

    5. 该案例的紧急程度?

    6. 添加一个或多个属于案例范围内的 AWS 账户 ID。

  8. 添加案例详细信息(选填):

    1. 从下拉列表中选择受影响的主要服务。

    2. 从下拉列表中选择受影响的主要区域。

    3. 添加一个或多个在该案例中确定的威胁行为者 IP 地址。 

  9. 为案例添加其他事件响应人员,以便接收通知。要添加响应人员,请执行以下操作:

    1. 添加电子邮件地址。

    2. 添加姓名(选填)。

    3. 选择新增添加其他响应人员。

    4. 要删除响应人员,选择对应人员的删除选项。

    5. 选择添加,可将所列出的所有人员添加到案例中。

      1. 您可以选择多人,然后选择删除,即可批量删除所选人员。

  10. 将标签添加到案例(可选)。

    1. 要添加标签,请执行以下操作:

    2. 选择添加新标签

    3. 对于,输入标签的名称。

    4. 对于,输入标签的值。

    5. 要删除标签,请为该标签选择删除选项。

由 AWS 支持等案例创建后,AWS 安全事件响应工程师和您的事件响应团队会立即收到通知。

创建由 AWS 支持的案例并启用人工智能调查

  1. console.aws.amazon.com/ 打开 AWS 安全事件响应控制台。

  2. 从导航窗格中选择案例

  3. 选择创建工单

  4. 对于案例类型,选择由 AWS 支持的案例

  5. 提供案例详情,包括标题、事件开始日期和受影响的 AWS 账户 ID。

  6. 描述安全事件部分中,提供对事件的详尽描述。

  7. 提供有关受影响 AWS 服务、区域和其他相关细节的更多信息。

  8. 选择创建工单

案例创建后,安全事件响应工程师和人工智能代理开始同时工作。

回答人工智能澄清性问题(可选)

  1. 在您的案例中导航至调查选项卡。

  2. 查看人工智能代理提出的任何澄清性问题。

  3. 回答问题,或者选择跳过(如果您不想回答)。

  4. 选择提交以继续。所有字段都是可选字段。

负责任的人工智能披露

调查摘要是使用 AWS 生成式人工智能功能生成的。您负责根据自己的具体背景评估人工智能生成的建议,实施恰当的监督机制,独立验证调查发现,并确保对所有安全决策实施人工监督。