# 开始使用
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/NSyUlhDc_d0?si=PguieeTI3HrUbTDs)
**Topics**
+ [信息载入指南](onboarding-guide.md)
+ [RACI 矩阵](raci-matrix.md)
+ [选择一个会员账户](select-a-membership-account.md)
+ [设置会员资格详细信息](setup-membership-details.md)
+ [将账户与 AWS Organizations 关联](associate-accounts-with-aws-organizations.md)
+ [设置主动响应和警报分级工作流程](setup-monitoring-and-investigation-workflows.md)
# 信息载入指南
信息载入指南将引导您完成先决条件以及 AWS 安全事件响应 信息载入和遏制措施。
**重要**
先决条件
部署的唯一先决条件是启用 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)。
虽然不是必需的,但我们建议在所有账户和活动AWS 区域启用 [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 和 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html),以最大限度发挥安全事件响应的优势。
查阅 GuardDuty 与安全事件响应。
查阅 [GuardDuty 最佳实践指南](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)。
AWS Security Hub CSPM 将摄取第三方端点检测和响应(EDR)供应商(CrowdStrike、FortinetcNapp(Lacework)和 Trend Micro 等)的调查发现。如果这些调查发现被摄取到 Security Hub CSPM 中,安全事件响应自动对其进行分类,以便主动创建案例。要使用 Security Hub CSPM 设置第三方 EDR,请参阅[检测和分析](https://docs.aws.amazon.com//security-ir/latest/userguide/detect-and-analyze.html)。
要使用 Security Hub CSPM 设置第三方 EDR:
1. 导航到 Security Hub CSPM 集成页面,验证是否存在第三方集成
1. 从控制台导航到 Security Hub CSPM 服务页面。
1. 选择**集成**(以 Wiz.io 为例):
![\[显示可用第三方集成的 Security Hub CSPM 集成页面。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Security_Hub_CSPM.png)
1. 搜索您想要集成的供应商
![\[用于查找和选择第三方供应商集成的搜索界面。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Integrations.png)
**注意**
根据提示填写您的账户或订阅信息。在提供这些信息后,安全事件响应将会摄取第三方调查发现。要查看摄取第三方调查发现的定价,请参阅 Security Hub CSPM 的**集成**页面。
# 部署和配置安全事件响应
1. 选择**注册**
![\[带有“注册”按钮的 AWS 安全事件响应 注册页面。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/AWS_Security_incident_Response.png)
1. 从管理账户中选择一个**安全工具**账户作为委托管理员。
+ [安全参考架构](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/introduction.html)
+ [委托管理员文档](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)
![\[设置中央会员账户页面以选择委派管理员账户。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Set_Up_Central_Membership_Account.png)
1. 登录到委托管理员账户
1. 输入会员详细信息并关联账户
![\[输入会员详细信息并关联账户。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Define_Membership_Details.png)
# 授权安全事件响应措施
本页介绍如何授权安全事件响应在您的 AWS 环境中执行自动化的监控和遏制措施。您可以启用两个不同的授权功能:主动响应监控和遏制措施首选项。这两个功能是相互独立的,可以根据您的安全要求单独启用。
# 启用主动响应
启用主动响应后,安全事件响应将可监控和调查整个组织中由 Amazon GuardDuty 和 AWS Security Hub CSPM 集成生成的警报。启用此功能后,安全事件响应会利用服务自动化功能对低优先级警报进行分级,以便您的团队可以专注于最关键的问题。
要在信息载入过程中启用主动响应,请执行以下操作:
1. 在安全事件响应控制台中,导航到信息载入工作流。
1. 检查服务权限,确保这些服务权限允许安全事件响应监控组织中所有范围内账户以及处于活动状态且受支持的 AWS 区域的调查发现。
1. 选择**注册**以启用此功能。
![\[检查服务权限屏幕,确认其显示了安全事件响应监控调查发现所需的权限。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Review_Service_Permissions.png)
![\[用于启用主动响应监控的注册确认屏幕。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Review_and_Sign_Up.png)
此功能会自动在 AWS Organizations 内的所有范围内成员账户中创建一个服务相关角色。但在管理账户中,您必须通过使用 AWS CloudFormation 堆栈集手动创建该服务相关角色。
**后续步骤:**有关安全事件响应如何与 Amazon GuardDuty 和 AWS Security Hub CSPM 配合使用的更多信息,请参阅《AWS 安全事件响应用户指南》中的*检测与分析***。
# 定义遏制措施偏好
遏制措施允许 AWS 安全事件响应 在活跃安全事件期间执行快速响应措施。这些操作有助于快速缓解环境中安全事件的影响。
**重要**
安全事件响应默认不会启用遏制功能。您必须通过遏制偏好显式授权遏制措施。
要授权 AWS 安全事件响应 工程师代表您执行遏制措施,除了部署用于创建所需 IAM 角色的 [AWS CloudFormation 堆栈集](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html)之外,您还必须定义组织或账户级别的遏制偏好。账户级别的偏好会取代组织级别的偏好。
**先决条件:**您必须拥有创建 AWS 支持 案例的权限。
**遏制选项:**
+ **需要审批**(默认):除非针对具体案例获得显式授权,否则不对任何资源执行主动遏制。
+ **遏制已确认**:主动遏制已确认泄露的资源。
+ **遏制疑似**:根据 AWS 安全事件响应工程所执行的分析,主动遏制泄漏可能性高的资源。
要定义遏制偏好,请执行以下操作:
1. [创建 AWS 支持 案例](https://docs.aws.amazon.com/security-ir/latest/userguide/create-support-case.html),请求为安全事件响应配置遏制措施偏好。
1. 在您的支持案例中,请指定以下信息:
+ 您的 AWS Organizations ID 或需要授权遏制措施的特定账户 ID
+ 您的偏好遏制选项(需要批准、包含已确认内容或包含可疑内容)。
+ 您要授权的遏制措施类型(例如 EC2 实例隔离、凭证轮换或安全组修改)
1. AWS 支持 将与您协同配置您的遏制偏好。您必须部署所需的 AWS CloudFormation 堆栈集来创建所需的 IAM 角色。AWS 支持 可以在需要时提供协助。
配置完成后,AWS 安全事件响应 将在活跃安全事件期间执行授权的遏制措施,以帮助保护您的环境。
**后续步骤:**配置遏制首选项后,您可以在安全事件响应控制台中监控事件期间所执行的遏制措施。
# 安全事件响应部署后
AWS 与您现有的事件响应框架集成,而非取而代之。
1. 了解我们的操作集成能力,以增强您当前的实践。
1. 观看我们的 OU 级成员支持演示、EventBridge 利用率和 Jira-ITSM 集成,以提高安全运营效率。
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/lVSi5XyMlws)
# 更新事件响应团队信息
1. 请确保您已订阅并已完成本《信息载入指南》**中描述的信息载入步骤。
1. 在左侧导航栏中选择“事件响应团队”
1. 选择您想邀请加入团队的团队成员
![\[AWS 服务将事件发送到 EventBridge 默认事件总线。如果事件与规则的事件模式匹配,则 EventBridge 会将事件发送到该规则指定的目标。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Teamates.png)
**注意**
团队可以包括组织领导层、法律顾问、MDR 合作伙伴、云工程师等。最多可添加 10 个成员。仅包含每位成员的姓名、职务和电子邮件地址。
# 由 AWS 支持的案例
AWS 安全事件响应提供了一个基于订阅的案例管理门户,让贵组织可以直接与我们的安全事件响应工程师互动。我们协助进行安全调查和处理突发事件,以 15 分钟为 SLO,且对响应类案例数量不作限制。请参阅我们的“创建 AWS 支持的案例”文档。
**扩大调查团队**
通过案例管理门户,您可以添加观察员和 IAM 策略来向外部相关方公开案例信息。这些选项可用于合作伙伴、法律团队或主题专家。
**要在案例中添加观察程序:**
1. 从安全事件响应案例门户打开任何案例。
![\[AWS 服务将事件发送到 EventBridge 默认事件总线。如果事件与规则的事件模式匹配,则 EventBridge 会将事件发送到该规则指定的目标。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Cases.png)
1. 选择“权限”选项卡
![\[AWS 服务将事件发送到 EventBridge 默认事件总线。如果事件与规则的事件模式匹配,则 EventBridge 会将事件发送到该规则指定的目标。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Overview.png)
1. 选择“添加”
![\[AWS 服务将事件发送到 EventBridge 默认事件总线。如果事件与规则的事件模式匹配,则 EventBridge 会将事件发送到该规则指定的目标。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Watchers.png)
**注意**
每个案例都包含一个预先填充的 IAM 策略,仅允许访问该特定案例,同时保持最低权限。将此策略直接复制并粘贴到第三方 MDR 合作伙伴或特定调查团队的 IAM 角色或用户,以便他们能够做出贡献。
# GuardDuty 调查发现和隐藏规则
AWS 安全事件响应 会主动摄取、分类和响应来自 CrowdStrike、FortinetcnApp(Lacework)和 Trend Micro 的所有 Amazon GuardDuty 调查发现和 AWS Security Hub CSPM 调查发现。我们的自动分类技术消除了对内部分析的需求。该服务在 GuardDuty 和 Security Hub CSPM 中为无害调查发现创建隐藏和自动存档规则。可在 Amazon GuardDuty 控制台的“调查发现”下查看或修改这些规则。
要查看已启用的 GuardDuty 的抑制规则,请完成以下步骤:
1. 打开 Amazon GuardDuty 控制台。
1. 选择**调查发现**。
1. 在导航窗格中,选择**抑制规则**。**抑制规则**页面会显示您账户的所有抑制规则的列表。
1. 要查看或更改规则的设置,请选择该规则,然后从**操作**菜单中选择**更新抑制规则**。
**注意**
随着时间的推移,使用 SIEM 技术的组织会看到 GuardDuty 调查发现数量大大减少,安全事件响应服务和 SIEM 效率都得到提升。
# Amazon EventBridge
Amazon EventBridge 为安全事件响应启用事件驱动架构,允许案例活动触发下游服务(SNS、Lambda、SQS、Step-Functions)或外部工具(Jira、ServiceNow、Teams、Slack、PagerDuty)。
**配置 EventBridge 规则:**
1. 访问 Amazon EventBridge
1. 从**总线**下拉菜单中选择**规则**。
![\[AWS 服务将事件发送到 EventBridge 默认事件总线。如果事件与规则的事件模式匹配,则 EventBridge 会将事件发送到该规则指定的目标。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Amazon_EventBridge_rules.png)
1. 选择 **Create Rule**。
1. 输入规则详细信息。
1. 选择**下一步**。
![\[AWS 服务将事件发送到 EventBridge 默认事件总线。如果事件与规则的事件模式匹配,则 EventBridge 会将事件发送到该规则指定的目标。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Define_Rule.png)
1. 滚动到 **AWS 服务**,然后从下拉菜单中选择 **AWS 安全事件响应**。
![\[AWS 服务将事件发送到 EventBridge 默认事件总线。如果事件与规则的事件模式匹配,则 EventBridge 会将事件发送到该规则指定的目标。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Event_Pattern_Security.png)
1. 从**事件类型**下拉列表中,选择要为其创建模式的事件或 API 调用。
1. 您可以手动编辑模式以包含多个事件。
1. 选择**下一步**。
![\[AWS 服务将事件发送到 EventBridge 默认事件总线。如果事件与规则的事件模式匹配,则 EventBridge 会将事件发送到该规则指定的目标。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Event_Pattern.png)
**注意**
为您的事件选择一个或多个目标(Amazon Simple Notifiction Service、AWS Lambda、SSM 文档、Step-Function)。在必要时配置跨账户目标。
您可以在“EventBridge 集成”菜单的“合作伙伴事件源”下查看合作伙伴集成模式。可用的合作伙伴包括 Atlassian(Jira)、DataDog、New Relic、PagerDuty、Symantec 和 Zendesk 等。
![\[AWS 服务将事件发送到 EventBridge 默认事件总线。如果事件与规则的事件模式匹配,则 EventBridge 会将事件发送到该规则指定的目标。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Amazon_EventBridge_Partners.png)
# 集成和外部工具工作流
**将 JIRA 或 ServiceNow 与安全事件响应集成的 AWS 解决方案**
部署我们已开发完成的解决方案,实现与 Jira 和 ServiceNow 的双向集成。这些集成在 AWS 安全事件响应案例与您的 ITSM 平台之间实现双向通信,案例更新会自动反映在相应的 Jira 任务中。
**集成的优势**
将 AWS 安全事件响应与现有 ITSM 平台集成,可通过集中处理事件跟踪和响应工作流来简化安全运营。借助这些预先构建的解决方案,您的安全团队无需自定义开发,即可跨 AWS 原生事件管理系统以及整个企业的事件管理系统随时掌握各种安全事件。利用 Amazon EventBridge 实现事件驱动的自动化功能,可在不同的平台之间无缝掌握动态,有助确保无论安全事件来自何处,都能持续进行跟踪。通过这种统一的方法,可减少安全分析师切换上下文的操作,缩短响应时间,并在整个事件响应生命周期中提供全面的审计跟踪记录。
配置 EventBridge 规则:
1. 访问 Amazon EventBridge。
1. 从**总线**下拉菜单中选择**规则**。
# 外部工具工作流
安全事件响应以多种方式与外部工具和合作伙伴集成:
+ *SIEM 集成:*当您提交由 AWS 支持的案例时,安全事件响应工程师会与您的团队并行分析和研究这些调查发现。我们会识别混合和多云环境之间的关联,帮助限定威胁行为者在提供商之间的移动。
+ *增强现有安全操作:*我们用更高效的并行响应模型取代了传统的 GuardDuty 响应工作流程。目前,许多组织通过案例管理来使用 SIEM 技术执行检测工作流。该服务提供了一种特别为 GuardDuty(以及部分 Security Hub CSPM)调查发现简化的替代方案。该解决方案利用先进的自动分级技术和人工监督,在您的门户中创建主动案例,同时提醒您的响应团队并让我们的安全事件响应工程师参与协调补救工作。
+ *第三方调查团队:*我们的安全事件响应工程师与您的合作伙伴和 MDR 提供商直接协作。
# 附录 A:联系人
通过事先向我们的安全事件响应工程师提供您的元数据,有助加快配置文件的创建速度,从而提高用户对我们最终分级技术的信心。这有助于减少在开始摄入威胁调查发现并为您创建“已知安全状态”时发现的预先误报。
**IR 和 SOC 人员联系方式**
| 条目 | IR \$1 SOC 人员:职务、姓名、电子邮件 | 主要/备用上报联系人 | 内部已知 CIDR 范围 | 外部已知 CIDR 范围 | 其他云服务提供商 | 工作的 AWS 区域 | DNS 服务器 IP(如果不是 Amazon Route 53 Resolver) | VPN \$1 远程访问解决方案和 IP | 关键应用程序名称 \$1 账号 | 常用的非常用端口 | EDR \$1 AV \$1 使用的漏洞管理工具 | IDP \$1 位置 |
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- |
| 1 | SOC 负责人,John Smith,jsmith@example.com | 主 | 10.0.0.0/16 | 5.5.60.0/20(Azure) | Azure | us-east-1、us-east-2 | 不适用 | Direct Connect,公有 VIF 116.32.8.7 | Nginx Web 服务器(示例关键服务器)\$1 1234567890 | 8080 | CrowdStrike Falcon | Entra、Azure |
| | | | | | | | | | | | | |
| | | | | | | | | | | | | |
| | | | | | | | | | | | | |
要为您的环境提交元数据信息,请创建 [AWS 支持 案例](https://repost.aws/knowledge-center/get-aws-technical-support)。
**要提交元数据**
1. 使用您的环境信息填写元数据表。
1. 创建包含以下详细信息的 AWS 支持 案例:
+ **案例类型:**技术
+ **服务:**安全事件响应服务
+ **类别:**其他
1. 将填好的元数据表附加到案例中。
# RACI 矩阵
以下 RACI 矩阵定义了整个安全事件响应实施过程中的角色和责任。RACI 代表执行(Responsible,R)、负责(Accountable,A)、咨询(Consulted,C)和知情(Informed,I)。
| 活动 | Customer | AWS 客户团队 | SIR 团队 |
| --- | --- | --- | --- |
| 信息载入前 |
| 确定关键利益相关者 | R | | 我 |
| 核实调查发现来源 | R | C | 我 |
| [第三方 EDR 集成] Security Hub CSPM | R | C | 我 |
| GuardDuty 验证/运行状况检查 | C | R | 我 |
| 确定账户范围 | R | | |
| 制定升级方案 | R | 我 | C |
| 启用 AWS Organizations | R | C | |
| 将账户与 AWS Organizations 关联 | R | 我 | |
| 选择委托管理员/安全工具账户 | R | 我 | |
| 信息载入 |
| 设置会员资格详细信息 | R | 我 | |
| 演练(设置主动响应和警报分级工作流;将服务相关角色部署到管理账户;授权遏制措施) | R | C | 我 |
| 部署后配置 |
| 检查运营集成能力 | R | C | 我 |
| 提交安全事件响应被动案例 | R | | |
| 配置 Amazon EventBridge 集成 | R | C | C |
| 连接第三方工具(Jira、ServiceNow、PagerDuty、Teams 等) | R | 我 | C |
| 服务深入分析和演示 | A | R | C |
**RACI 定义:**
+ **执行(R)**:执行工作以完成任务的一方
+ **负责(A)**:对任务的正确完成最终负责的一方
+ **咨询(C)**:向其征求意见的一方,沟通方向为双向
+ **知情(I)**:向其通报事件进展的一方,沟通方向为单向
# 选择一个会员账户
会员账户是用于配置账户详细信息、为事件响应团队添加和删除详细信息,以及可以在其中创建和管理所有活动和历史安全事件的 AWS 账户。建议将 AWS 安全事件响应成员账户与您为 Amazon GuardDuty 和 AWS Security Hub CSPM 等服务启用的账户保持一致。
可通过两种方式来使用 AWS Organizations 选择 AWS 安全事件响应成员账户。您可以在组织管理账户或组织委托管理员账户中创建会员资格。
**使用委托管理员账户:**AWS 安全事件响应管理任务和案例管理在委托管理员账户中执行。建议选择您为其他 AWS 安全与合规服务使用的相同委托管理员账户。提供 12 位数的委托管理员账户 ID,然后登录该账户继续操作。
**重要**
如果在设置过程中使用委托管理员账户,AWS 安全事件响应无法在您的 AWS Organizations 管理账户中自动创建所需的分类服务相关角色。
您可以使用 IAM 在您的 AWS Organizations 管理账户中创建此角色
登录您的 AWS Organizations 管理账户。
使用您偏好的方法访问 [AWS CloudShell](https://console.aws.amazon.com/cloudshell/home) 窗口或通过 CLI 访问账户。
使用 CLI 命令 `aws iam create-service-linked-role --aws-service-name "triage.security-ir.amazonaws.com" --no-cli-pager`
(可选)要验证命令是否有效,可以执行命令 `aws iam get-role --role-name AWSServiceRoleForSecurityIncidentResponse_Triage`
**使用当前登录的账户**:选择此账户意味着当前账户将被指定为您 AWS 安全事件响应会员资格的中央会员账户。贵组织内的个人需要通过此账户访问该服务,才能创建、访问和管理处于活动状态的案例和已解决的案例。
确保您有权管理 AWS 安全事件响应。
有关添加权限的具体步骤,请参阅[添加和删除 IAM 身份权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。
请参阅 [AWS 安全事件响应托管策略。](https://docs.aws.amazon.com/security-ir/latest/userguide/aws-managed-policies.html)
要验证 IAM 权限,您可以按照以下步骤操作:
+ *查看 IAM 策略:*审查附加到用户、群组或角色的 IAM 策略,确保此策略授予了必要的权限。为此,您可以导航到 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/),选择 `Users` 选项,选择特定用户,然后转到他们摘要页面上的 `Permissions` 选项卡,查看所有附加策略列表;您可以展开每个策略行查看其详细信息。
+ *测试权限:*尝试执行验证权限所需的操作。例如,如果您需要访问案例,请尝试 `ListCases`。如果您没有必要的权限,则会收到错误消息。
+ *使用 AWS CLI 或 SDK:*您可以使用首选编程语言的 AWS Command Line Interface 或 AWS SDK 来测试权限。例如,使用 AWS Command Line Interface,您可以运行 `aws sts get-caller-identity` 命令来验证您当前用户的权限。
+ *查看 AWS CloudTrail 日志:*[审查 CloudTrail 日志](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html),查看是否记录了您尝试执行的操作。这可以帮助您识别任何权限问题。
+ *使用 IAM 策略模拟器:*[IAM 策略模拟器](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)工具,可以让您测试 IAM 策略并查看它们对您权限的影响。
**注意**
具体步骤可能会有所不同,具体取决于 AWS 服务和您尝试执行的操作。
# 设置会员资格详细信息
+ 选择存储了会员资格和案例的 AWS 区域。
**警告**
在初始会员资格注册后,就无法更改默认 AWS 区域。
+ 选择您是想您的成员关系覆盖整个 AWS Organizations,还是通过组织单元(OU)覆盖 AWS Organizations 的一部分。
+ 您可以选择为此成员提供一个名称。
+ 在成员创建工作流中,必须提供一个主要联系人和一个辅助联系人。这些联系人会自动加入您的事件响应团队。单个会员资格必须至少有两个联系人,这可确保事件响应团队中至少有两个联系人。
+ 为您的会员资格定义可选标签。标签可帮助您跟踪 AWS 成本和搜索资源。
# 将账户与 AWS Organizations 关联
如果您在设置期间选择关联整个 AWS Organizations,则您的成员关系会覆盖组织中的所有成员账户。在组织中添加或删除账户时,关联的账户将自动更新。
如果您在设置期间选择关联 AWS Organizations 的一部分,并且将成员关系限制为特定的组织单元(OU),则您的成员关系会覆盖所选 OU 下的所有账户。这包括所选 OU 的子 OU 下的账户。在这些 OU 中添加或移除账户时,关联的账户将自动更新。
要详细了解涉及组织单元的最佳实践,请参阅 [Organizing Your AWS environment Using multiple accounts](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html)。
# 设置主动响应和警报分级工作流程
AWS 安全事件响应会监控和调查由 Amazon GuardDuty 和 Security Hub CSPM 集成生成的威胁警报。要使用此功能,[必须启用 Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)。AWS 安全事件响应会通过服务自动化对低优先级警报进行分类,以便您的团队可以专注于最关键的问题。有关如何将 AWS 安全事件响应与 Amazon GuardDuty、AWS Security Hub CSPM 结合使用的更多信息,请查看用户指南[检测和分析](https://docs.aws.amazon.com/security-ir/latest/userguide/detect-and-analyze.html)章节。
如果您遇到信息载入问题,请[创建 AWS 支持 案例](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case)以获得更多帮助。请务必提供详细信息,包括 AWS 账户 ID 和您在设置过程中看到的任何错误。
**注意**
如果您对 Amazon GuardDuty 隐藏规则、警报分类配置或主动响应工作流有疑问,可以使用**调查与咨询**案例类型,创建一个由 AWS 支持的案例,从而咨询 AWS 安全事件响应团队。有关更多信息,请参阅 [创建 AWS 托管案例](create-an-aws-supported-case.md)。
此功能可让 AWS 安全事件响应 监控和调查组织中所有范围内账户以及处于活动状态且受支持的 AWS 区域的调查发现。为便于使用此功能,AWS 安全事件响应 会自动在您 AWS Organizations 内的所有覆盖的成员账户中创建服务相关角色。但是,对于管理账户,您必须手动创建服务相关角色才能启用监控。
*此服务无法在管理账户中创建服务相关角色。您必须[使用 AWS CloudFormation 堆栈集](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html)在管理账户\$1中手动创建此角色。*
# 了解主动响应的自动存档行为
启用主动响应和警报分级后,AWS 安全事件响应 会自动监控来自 Amazon GuardDuty 和 Security Hub CSPM 的安全调查发现并进行分级。作为这一自动分级工作流的一部分,系统会根据以下标准将调查发现自动存档:
**自动存档行为:**
+ **无害调查发现:**当自动分级过程确定某项调查发现是无害的(不是真正的安全威胁)时,AWS 安全事件响应会自动在 Amazon GuardDuty 中将该调查发现存档,并创建隐藏规则来防止类似的调查发现在未来生成警报。
+ **隐藏规则:**服务会针对符合您环境中已知无害模式(例如符合预期的 IP 地址、IAM 实体和正常运行行为)的调查发现,在 Amazon GuardDuty 和 Security Hub CSPM 中创建隐藏和自动存档规则。
+ **减少警报量:**随着时间推移,服务会了解您的环境并自动存档无害的调查发现,因此使用 SIEM 技术的组织所看到的 Amazon GuardDuty 调查发现数量将会显著减少。这有助 AWS 安全事件响应 服务和您的 SIEM 提高效率。
**查看已存档调查发现:**
您可以查看自动存档的调查发现以及由 AWS 安全事件响应创建的抑制规则:
1. 导航到 Amazon GuardDuty 控制台
1. 选择**调查发现**
1. 选择调查发现筛选条件中的**已存档**
1. 选择每条规则旁边的向下箭头,查看隐藏规则
**重要注意事项:**
+ 已存档调查发现将在 Amazon GuardDuty 中保留 90 天,您可以在此期间随时查看
+ 您可以随时通过 Amazon GuardDuty 控制台修改或删除隐藏规则
+ 自动分级流程会不断适应您的环境,随着时间推移逐渐提高准确性和减少误报
**遏制:**发生安全事件时,AWS 安全事件响应可以执行遏制措施,快速缓解影响,例如隔离受影响的主机或轮换凭证。安全事件响应默认不会启用遏制功能。要执行这些遏制操作,您必须先授予此服务必要的权限。这可以通过部署 [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html) 来完成,该堆栈集会创建所需的角色。