定义遏制措施偏好
借助遏制措施,安全事件响应可在活跃安全事件期间执行快速响应措施,例如隔离受影响的主机或轮换凭证等。这些操作有助于快速缓解环境中安全事件的影响。
重要
安全事件响应默认不会启用遏制功能。您必须通过遏制首选项显式授权遏制措施。
要授权安全事件响应工程师代表您执行遏制措施,您必须定义组织或账户级别的遏制首选项。账户级别的首选项会取代组织级别的首选项。
先决条件:您必须拥有创建 AWS 支持 案例的权限。
遏制选项:
-
需要审批(默认):除非针对具体案例获得显式授权,否则不对任何资源执行主动遏制。
-
遏制已确认:主动遏制已确认泄露的资源。
-
遏制疑似:根据 AWS 安全事件响应工程所执行的分析,主动遏制泄漏可能性高的资源。
要定义遏制首选项,请执行以下操作:
-
创建 AWS 支持 案例,请求为安全事件响应配置遏制措施偏好。
-
在您的支持案例中,请指定以下信息:
-
您的 AWS Organizations ID 或需要授权遏制措施的特定账户 ID
-
您的首选遏制选项(无遏制措施、经批准后遏制或自动遏制)
-
您要授权的遏制措施类型(例如 EC2 实例隔离、凭证轮换或安全组修改)
-
-
AWS 支持 将与您协同配置您的遏制偏好。您必须部署所需的 AWS CloudFormation 堆栈集来创建所需的 IAM 角色。AWS 支持 可以在需要时提供协助。
配置完成后,安全事件响应将在活跃安全事件期间执行授权的遏制措施,以帮助保护您的环境。
后续步骤:配置遏制首选项后,您可以在安全事件响应控制台中监控事件期间所执行的遏制措施。
