步骤 1:启用 AWS 安全事件响应
每个 AWS 组织的入门流程大约需要 10 到 15 分钟。有关演练,请参阅服务文档中的入门视频。
注意
本部分中的说明概述了如何启用安全事件响应并使用 AWS 安全事件响应 控制台组建团队(步骤 1 和步骤 2)。您还可以使用 API/CLI 来执行这些步骤。有关如何使用 API/CLI 的说明,请参阅启用“安全事件响应”并使用 API/CLI 配置您的事件响应团队。
使用 AWS 安全事件响应 控制台启用 AWS 安全事件响应
-
使用管理账户登录到 AWS 管理控制台。
-
打开 AWS 安全事件响应 控制台,然后选择注册。
-
设置您的中央成员资格账户。有关指导,请参阅《AWS 规范性指南》中的安全参考架构以及有关安全事件响应委派管理员账户工作原理的注意事项和建议。
-
登录委托管理员账户。
-
输入会员资格详细信息并关联相关账户。
-
对于账户范围,选择为整个 AWS 组织还是特定 OU 启用 AWS 安全事件响应。您可以在 OU 级别选择覆盖,但不能在个人账户级别选择覆盖。
-
默认情况下,主动响应处于开启状态并创建了一个服务相关角色,允许安全事件响应工程团队摄取 GuardTuty 调查发现,并在检测到威胁时创建主动调查案例。有关更多信息,请参阅主动响应。
AWS 安全事件响应 自动在您的 AWS Organizations 管理账户和范围内的所有账户中创建
AWSServiceRoleForSecurityIncidentResponse_Triage服务相关角色。 -
(可选)选择预授权安全事件响应工程团队,进而在活动事件期间代表您执行遏制操作。支持的遏制操作包括遭盗用的 S3 存储桶、EC2 实例和 IAM 主体的运行手册。如果跳过此步骤,安全事件响应工程团队将在调查期间提供手动指导。有关更多信息,请参阅遏制操作。
-
查看服务权限和入门配置,然后选择注册。
