# 信息载入指南
<a name="onboarding-guide"></a>

 信息载入指南将引导您完成先决条件以及 AWS 安全事件响应 信息载入和遏制措施。

**重要**  
 先决条件   
部署的唯一先决条件是启用 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)。
虽然不是必需的，但我们建议在所有账户和活动AWS 区域启用 [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 和 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html)，以最大限度发挥安全事件响应的优势。
查阅 GuardDuty 与安全事件响应。
查阅 [GuardDuty 最佳实践指南](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)。

AWS Security Hub CSPM 将摄取第三方端点检测和响应（EDR）供应商（CrowdStrike、FortinetcNapp（Lacework）和 Trend Micro 等）的调查发现。如果这些调查发现被摄取到 Security Hub CSPM 中，安全事件响应自动对其进行分类，以便主动创建案例。要使用 Security Hub CSPM 设置第三方 EDR，请参阅[检测和分析](https://docs.aws.amazon.com//security-ir/latest/userguide/detect-and-analyze.html)。

要使用 Security Hub CSPM 设置第三方 EDR：

1. 导航到 Security Hub CSPM 集成页面，验证是否存在第三方集成

1. 从控制台导航到 Security Hub CSPM 服务页面。

1. 选择**集成**（以 Wiz.io 为例）：  
![\[显示可用第三方集成的 Security Hub CSPM 集成页面。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Security_Hub_CSPM.png)

1. 搜索您想要集成的供应商  
![\[用于查找和选择第三方供应商集成的搜索界面。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Integrations.png)

**注意**  
 根据提示填写您的账户或订阅信息。在提供这些信息后，安全事件响应将会摄取第三方调查发现。要查看摄取第三方调查发现的定价，请参阅 Security Hub CSPM 的**集成**页面。

# 部署和配置安全事件响应
<a name="deploy-configure"></a>

1. 选择**注册**  
![\[带有“注册”按钮的 AWS 安全事件响应 注册页面。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/AWS_Security_incident_Response.png)

1. 从管理账户中选择一个**安全工具**账户作为委托管理员。
   + [安全参考架构](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/introduction.html)
   + [委托管理员文档](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)  
![\[设置中央会员账户页面以选择委派管理员账户。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Set_Up_Central_Membership_Account.png)

1. 登录到委托管理员账户

1. 输入会员详细信息并关联账户  
![\[输入会员详细信息并关联账户。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Define_Membership_Details.png)

# 授权安全事件响应措施
<a name="authorize-security-incident-response"></a>

 本页介绍如何授权安全事件响应在您的 AWS 环境中执行自动化的监控和遏制措施。您可以启用两个不同的授权功能：主动响应监控和遏制措施首选项。这两个功能是相互独立的，可以根据您的安全要求单独启用。

# 启用主动响应
<a name="enable-proactive-response"></a>

 启用主动响应后，安全事件响应将可监控和调查整个组织中由 Amazon GuardDuty 和 AWS Security Hub CSPM 集成生成的警报。启用此功能后，安全事件响应会利用服务自动化功能对低优先级警报进行分级，以便您的团队可以专注于最关键的问题。

 要在信息载入过程中启用主动响应，请执行以下操作：

1. 在安全事件响应控制台中，导航到信息载入工作流。

1. 检查服务权限，确保这些服务权限允许安全事件响应监控组织中所有范围内账户以及处于活动状态且受支持的 AWS 区域的调查发现。

1. 选择**注册**以启用此功能。  
![\[检查服务权限屏幕，确认其显示了安全事件响应监控调查发现所需的权限。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Review_Service_Permissions.png)  
![\[用于启用主动响应监控的注册确认屏幕。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Review_and_Sign_Up.png)

 此功能会自动在 AWS Organizations 内的所有范围内成员账户中创建一个服务相关角色。但在管理账户中，您必须通过使用 AWS CloudFormation 堆栈集手动创建该服务相关角色。

 **后续步骤：**有关安全事件响应如何与 Amazon GuardDuty 和 AWS Security Hub CSPM 配合使用的更多信息，请参阅《AWS 安全事件响应用户指南》中的*检测与分析***。

# 定义遏制措施偏好
<a name="define-containment-preferences"></a>

 遏制措施允许 AWS 安全事件响应 在活跃安全事件期间执行快速响应措施。这些操作有助于快速缓解环境中安全事件的影响。

**重要**  
 安全事件响应默认不会启用遏制功能。您必须通过遏制偏好显式授权遏制措施。

 要授权 AWS 安全事件响应 工程师代表您执行遏制措施，除了部署用于创建所需 IAM 角色的 [AWS CloudFormation 堆栈集](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html)之外，您还必须定义组织或账户级别的遏制偏好。账户级别的偏好会取代组织级别的偏好。

 **先决条件：**您必须拥有创建 AWS 支持 案例的权限。

 **遏制选项：**
+ **需要审批**（默认）：除非针对具体案例获得显式授权，否则不对任何资源执行主动遏制。
+ **遏制已确认**：主动遏制已确认泄露的资源。
+ **遏制疑似**：根据 AWS 安全事件响应工程所执行的分析，主动遏制泄漏可能性高的资源。

 要定义遏制偏好，请执行以下操作：

1. [创建 AWS 支持 案例](https://docs.aws.amazon.com/security-ir/latest/userguide/create-support-case.html)，请求为安全事件响应配置遏制措施偏好。

1. 在您的支持案例中，请指定以下信息：
   + 您的 AWS Organizations ID 或需要授权遏制措施的特定账户 ID
   + 您的偏好遏制选项（需要批准、包含已确认内容或包含可疑内容）。
   + 您要授权的遏制措施类型（例如 EC2 实例隔离、凭证轮换或安全组修改）

1. AWS 支持 将与您协同配置您的遏制偏好。您必须部署所需的 AWS CloudFormation 堆栈集来创建所需的 IAM 角色。AWS 支持 可以在需要时提供协助。

 配置完成后，AWS 安全事件响应 将在活跃安全事件期间执行授权的遏制措施，以帮助保护您的环境。

 **后续步骤：**配置遏制首选项后，您可以在安全事件响应控制台中监控事件期间所执行的遏制措施。

# 安全事件响应部署后
<a name="post-deploy"></a>

AWS 与您现有的事件响应框架集成，而非取而代之。

1. 了解我们的操作集成能力，以增强您当前的实践。

1. 观看我们的 OU 级成员支持演示、EventBridge 利用率和 Jira-ITSM 集成，以提高安全运营效率。  
[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/lVSi5XyMlws/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/lVSi5XyMlws)

# 更新事件响应团队信息
<a name="update-security-incident-response"></a>

1. 请确保您已订阅并已完成本《信息载入指南》**中描述的信息载入步骤。

1. 在左侧导航栏中选择“事件响应团队”

1. 选择您想邀请加入团队的团队成员  
![\[AWS 服务将事件发送到 EventBridge 默认事件总线。如果事件与规则的事件模式匹配，则 EventBridge 会将事件发送到该规则指定的目标。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Teamates.png)

**注意**  
团队可以包括组织领导层、法律顾问、MDR 合作伙伴、云工程师等。最多可添加 10 个成员。仅包含每位成员的姓名、职务和电子邮件地址。

# 由 AWS 支持的案例
<a name="support-case"></a>

AWS 安全事件响应提供了一个基于订阅的案例管理门户，让贵组织可以直接与我们的安全事件响应工程师互动。我们协助进行安全调查和处理突发事件，以 15 分钟为 SLO，且对响应类案例数量不作限制。请参阅我们的“创建 AWS 支持的案例”文档。

**扩大调查团队**

通过案例管理门户，您可以添加观察员和 IAM 策略来向外部相关方公开案例信息。这些选项可用于合作伙伴、法律团队或主题专家。

**要在案例中添加观察程序：**

1. 从安全事件响应案例门户打开任何案例。  
![\[AWS 服务将事件发送到 EventBridge 默认事件总线。如果事件与规则的事件模式匹配，则 EventBridge 会将事件发送到该规则指定的目标。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Cases.png)

1. 选择“权限”选项卡  
![\[AWS 服务将事件发送到 EventBridge 默认事件总线。如果事件与规则的事件模式匹配，则 EventBridge 会将事件发送到该规则指定的目标。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Overview.png)

1. 选择“添加”  
![\[AWS 服务将事件发送到 EventBridge 默认事件总线。如果事件与规则的事件模式匹配，则 EventBridge 会将事件发送到该规则指定的目标。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Watchers.png)

**注意**  
每个案例都包含一个预先填充的 IAM 策略，仅允许访问该特定案例，同时保持最低权限。将此策略直接复制并粘贴到第三方 MDR 合作伙伴或特定调查团队的 IAM 角色或用户，以便他们能够做出贡献。

# GuardDuty 调查发现和隐藏规则
<a name="guard-duty"></a>

AWS 安全事件响应 会主动摄取、分类和响应来自 CrowdStrike、FortinetcnApp（Lacework）和 Trend Micro 的所有 Amazon GuardDuty 调查发现和 AWS Security Hub CSPM 调查发现。我们的自动分类技术消除了对内部分析的需求。该服务在 GuardDuty 和 Security Hub CSPM 中为无害调查发现创建隐藏和自动存档规则。可在 Amazon GuardDuty 控制台的“调查发现”下查看或修改这些规则。

要查看已启用的 GuardDuty 的抑制规则，请完成以下步骤：

1. 打开 Amazon GuardDuty 控制台。

1. 选择**调查发现**。

1. 在导航窗格中，选择**抑制规则**。**抑制规则**页面会显示您账户的所有抑制规则的列表。

1. 要查看或更改规则的设置，请选择该规则，然后从**操作**菜单中选择**更新抑制规则**。

**注意**  
随着时间的推移，使用 SIEM 技术的组织会看到 GuardDuty 调查发现数量大大减少，安全事件响应服务和 SIEM 效率都得到提升。

# Amazon EventBridge
<a name="amazon-eventbridge"></a>

Amazon EventBridge 为安全事件响应启用事件驱动架构，允许案例活动触发下游服务（SNS、Lambda、SQS、Step-Functions）或外部工具（Jira、ServiceNow、Teams、Slack、PagerDuty）。

**配置 EventBridge 规则：**

1. 访问 Amazon EventBridge

1. 从**总线**下拉菜单中选择**规则**。  
![\[AWS 服务将事件发送到 EventBridge 默认事件总线。如果事件与规则的事件模式匹配，则 EventBridge 会将事件发送到该规则指定的目标。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Amazon_EventBridge_rules.png)

1. 选择 **Create Rule**。

1. 输入规则详细信息。

1. 选择**下一步**。  
![\[AWS 服务将事件发送到 EventBridge 默认事件总线。如果事件与规则的事件模式匹配，则 EventBridge 会将事件发送到该规则指定的目标。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Define_Rule.png)

1. 滚动到 **AWS 服务**，然后从下拉菜单中选择 **AWS 安全事件响应**。  
![\[AWS 服务将事件发送到 EventBridge 默认事件总线。如果事件与规则的事件模式匹配，则 EventBridge 会将事件发送到该规则指定的目标。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Event_Pattern_Security.png)

1. 从**事件类型**下拉列表中，选择要为其创建模式的事件或 API 调用。

1. 您可以手动编辑模式以包含多个事件。

1. 选择**下一步**。  
![\[AWS 服务将事件发送到 EventBridge 默认事件总线。如果事件与规则的事件模式匹配，则 EventBridge 会将事件发送到该规则指定的目标。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Event_Pattern.png)

**注意**  
为您的事件选择一个或多个目标（Amazon Simple Notifiction Service、AWS Lambda、SSM 文档、Step-Function）。在必要时配置跨账户目标。

您可以在“EventBridge 集成”菜单的“合作伙伴事件源”下查看合作伙伴集成模式。可用的合作伙伴包括 Atlassian（Jira）、DataDog、New Relic、PagerDuty、Symantec 和 Zendesk 等。

![\[AWS 服务将事件发送到 EventBridge 默认事件总线。如果事件与规则的事件模式匹配，则 EventBridge 会将事件发送到该规则指定的目标。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/Amazon_EventBridge_Partners.png)


# 集成和外部工具工作流
<a name="integrations-external-tooling"></a>

**将 JIRA 或 ServiceNow 与安全事件响应集成的 AWS 解决方案**

部署我们已开发完成的解决方案，实现与 Jira 和 ServiceNow 的双向集成。这些集成在 AWS 安全事件响应案例与您的 ITSM 平台之间实现双向通信，案例更新会自动反映在相应的 Jira 任务中。

**集成的优势**

将 AWS 安全事件响应与现有 ITSM 平台集成，可通过集中处理事件跟踪和响应工作流来简化安全运营。借助这些预先构建的解决方案，您的安全团队无需自定义开发，即可跨 AWS 原生事件管理系统以及整个企业的事件管理系统随时掌握各种安全事件。利用 Amazon EventBridge 实现事件驱动的自动化功能，可在不同的平台之间无缝掌握动态，有助确保无论安全事件来自何处，都能持续进行跟踪。通过这种统一的方法，可减少安全分析师切换上下文的操作，缩短响应时间，并在整个事件响应生命周期中提供全面的审计跟踪记录。

配置 EventBridge 规则：

1. 访问 Amazon EventBridge。

1. 从**总线**下拉菜单中选择**规则**。

# 外部工具工作流
<a name="external-tooling"></a>

安全事件响应以多种方式与外部工具和合作伙伴集成：
+ *SIEM 集成：*当您提交由 AWS 支持的案例时，安全事件响应工程师会与您的团队并行分析和研究这些调查发现。我们会识别混合和多云环境之间的关联，帮助限定威胁行为者在提供商之间的移动。
+ *增强现有安全操作：*我们用更高效的并行响应模型取代了传统的 GuardDuty 响应工作流程。目前，许多组织通过案例管理来使用 SIEM 技术执行检测工作流。该服务提供了一种特别为 GuardDuty（以及部分 Security Hub CSPM）调查发现简化的替代方案。该解决方案利用先进的自动分级技术和人工监督，在您的门户中创建主动案例，同时提醒您的响应团队并让我们的安全事件响应工程师参与协调补救工作。
+ *第三方调查团队：*我们的安全事件响应工程师与您的合作伙伴和 MDR 提供商直接协作。

# 附录 A：联系人
<a name="appendix"></a>

通过事先向我们的安全事件响应工程师提供您的元数据，有助加快配置文件的创建速度，从而提高用户对我们最终分级技术的信心。这有助于减少在开始摄入威胁调查发现并为您创建“已知安全状态”时发现的预先误报。


**IR 和 SOC 人员联系方式**  

| 条目 | IR \$1 SOC 人员：职务、姓名、电子邮件 | 主要/备用上报联系人 | 内部已知 CIDR 范围 | 外部已知 CIDR 范围 | 其他云服务提供商 | 工作的 AWS 区域 | DNS 服务器 IP（如果不是 Amazon Route 53 Resolver） | VPN \$1 远程访问解决方案和 IP | 关键应用程序名称 \$1 账号 | 常用的非常用端口 | EDR \$1 AV \$1 使用的漏洞管理工具 | IDP \$1 位置 | 
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | 
| 1 | SOC 负责人，John Smith，jsmith@example.com | 主 | 10.0.0.0/16 | 5.5.60.0/20（Azure） | Azure | us-east-1、us-east-2 | 不适用 | Direct Connect，公有 VIF 116.32.8.7 | Nginx Web 服务器（示例关键服务器）\$1 1234567890 | 8080 | CrowdStrike Falcon | Entra、Azure | 
|   |   |   |   |   |   |   |   |   |   |   |   |   | 
|   |   |   |   |   |   |   |   |   |   |   |   |   | 
|   |   |   |   |   |   |   |   |   |   |   |   |   | 

要为您的环境提交元数据信息，请创建 [AWS 支持 案例](https://repost.aws/knowledge-center/get-aws-technical-support)。

**要提交元数据**

1. 使用您的环境信息填写元数据表。

1. 创建包含以下详细信息的 AWS 支持 案例：
   + **案例类型：**技术
   + **服务：**安全事件响应服务
   + **类别：**其他

1. 将填好的元数据表附加到案例中。