信息载入指南 - AWS 安全事件响应 用户指南

信息载入指南

AWS信息载入指南将引导您完成先决条件、安全事件响应信息载入和 CIRT 遏制措施,以便在信息载入期间执行威胁遏制措施。

重要

先决条件

  1. 部署的唯一先决条件是启用 AWS Organizations

  2. 虽然不是必需的,但我们建议在所有账户和活动区域启用 Amazon GuardDutyAWS Security Hub CSPM,以最大限度发挥安全事件响应的优势。

  3. 查阅 GuardDuty 与安全事件响应

  4. 查阅 GuardDuty 最佳实践指南

Security Hub CSPM 将摄取第三方端点检测和响应(EDR)供应商(CrowdStrike、FortinetcNapp(Lacework)和 Trend Micro 等)的调查发现。如果这些调查发现被摄取到 Security Hub CSPM 中,安全事件响应也将自动对其进行分类,以便主动创建案例。要使用 Security Hub CSPM 设置第三方 EDR,请按照我们的检测和分析服务文档进行操作

要使用 Security Hub CSPM 设置第三方 EDR:

  1. 导航到 Security Hub CSPM 集成页面,验证是否存在第三方集成

  2. 从控制台导航到 Security Hub CSMP 服务页面。

  3. 选择集成(以 Wiz.io 为例):

  4. 搜索您想要集成的供应商

注意

系统会要求您提供账户或订阅信息,输入相关信息后,安全事件响应就会获取第三方调查发现。获取第三方调查发现的定价可以在 Security Hub CSPM 的“集成”页面上找到。