# 用户任务
**Topics**
+ [
# 控制面板
](dashboard.md)
+ [
# 管理我的事件响应团队
](managing-my-incident-response-team.md)
# 控制面板
在 AWS 安全事件响应控制台中,控制面板会提供事件响应团队、主动响应状态以及为期四周的滚动案例数量等内容的概览。
选择**查看事件响应团队**,以获取事件响应团队成员的详细信息。
控制面板中*我的案例*板块会显示在指定时间段内已开启和已关闭的 AWS 托管案例数量,以及分配给您的自主管理案例数量。此外,该板块还会以小时为单位显示已关闭案例的平均解决时长。
# 管理我的事件响应团队
您的事件响应团队包含参与事件响应流程的相关人员。您最多可以配置十名相关人员作为团队成员。
内部相关人员示例:事件响应团队成员、安全分析师、应用程序负责人、安全领导团队。
外部相关人员示例:希望纳入事件响应流程的独立软件供应商(ISV)、托管服务提供商(MSP)。
**注意**
配置事件响应团队并不会自动授予成员对服务资源(如成员资格和案例)的访问权限。您可以使用 AWS 安全事件响应提供的 AWS 托管策略,授予对资源的读写访问权限。[点击此处,了解详情。](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)
事件响应团队成员(在成员级别指定)会被自动添加到所有案例。创建好案例后,您仍可随时添加或删除单个团队成员。
发生[通信偏好](https://docs.aws.amazon.com/security-ir/latest/APIReference/API_IncidentResponder.html#securityir-Type-IncidentResponder-communicationPreferences)中列出的事件时,事件响应团队会收到电子邮件通知。
# 通信偏好
配置通信首选项,以控制您接收通知以及与安全事件响应系统交互的方式。
您可以从控制面板页面为事件响应团队中的个人配置通信首选项。
可按照以下步骤管理团队成员的通信设置:
1. 从控制面板导航到事件响应团队页面
1. 请执行以下操作之一:
+ 要更新现有团队成员:选择要修改其通信偏好的团队成员,然后选择**编辑**
+ 要添加新的团队成员,请执行以下操作:选择**添加**
1. 您将在此表单底部看到“通信”
1. 勾选要接收的通信的复选框
1. 清除不想接收的通信的复选框
![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/CommPref.png)
1. 保存您的更改
![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/CommPreferencesDashboard.png)
默认情况下,事件响应团队成员将启用所有通信。可以随时按照上述步骤修改这些设置。
通信首选项控制您与事件响应团队交互的方式,以及在安全事件期间向您发送通知的方式。
**注意**
这些首选项适用于安全事件响应系统内的所有未来通信。可以随时重复上述步骤来修改这些设置。
# AWS Organizations 账户关联
启用 AWS 安全事件响应 时,您可以选择整个组织或特定组织单元(OU)。如果选择了特定 OU,则您的会员资格将仅覆盖属于这些选定 OU 的账户。如果选择了整个组织,则您的会员资格将覆盖组织内的所有账户。
如需了解更多详情,请参阅[使用 AWS Organizations 管理 AWS 安全事件响应账户](https://docs.aws.amazon.com/security-ir/latest/userguide/security-ir-organizations.html)。
# 管理成员覆盖范围
您可以随时更改成员覆盖范围选项,包括从全组织覆盖切换到特定的 OU。
# 更新 OU 关联
要管理成员覆盖范围,请执行以下操作:
1. 导航到“账户关联设置”页面
1. 选择**添加 OU**,以选择要关联到成员的 OU
1. 选择要关联到成员的 OU
1. 单击**更新关联**,以在该成员上保存 OU 关联
更新关联后,您可以返回到同一页面,移除要与您的成员取消关联的任何 OU。即使您最初选择的是整个组织,也同样可以拥有这种灵活性——您可以事后更新成员以仅涵盖特定的 OU,而无需取消和重新启用服务。
如需了解更多信息,请参阅[使用组织单元(OU)管理成员](https://docs.aws.amazon.com/security-ir/latest/userguide/managing-membership-with-ou.html)。
# 重要注意事项
**直接位于根目录下的账户**:选择特定的 OU 作为成员时,直接位于组织根目录下的账户(不属于任何 OU)将不会关联到您的成员。要将这些账户纳入成员覆盖范围,您必须先将其添加到某个 OU,然后将该 OU 关联到成员。
**注意**
我们正在不断改进 OU 关联的用户体验,确保过程更加直观、易懂。
# 监控与调查
AWS 安全事件响应会审查来自 Amazon GuardDuty 和 AWS Security Hub CSPM 的安全警报并进行分级,然后根据您的环境配置隐藏规则来阻止不必要的警报。AWS 安全事件响应工程(SIRE)团队会调查调查发现并快速升级,指导您的团队及时遏制潜在问题。您也可以选择授权 AWS 安全事件响应代表自己执行遏制措施。
AWS 安全事件响应会遵循 NIST 800-61r2 [https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final) 的安全事件响应标准。通过采用这一行业标准,AWS 安全事件响应提供一致的安全事件管理方法,并在您的 AWS 环境中遵循安全事件防护和响应的最佳实践。
当 AWS 安全事件响应检测到安全警报或您请求安全协助时,AWS SIRE 会进行调查。该团队会收集日志事件和服务数据(如 GuardDuty 警报),对这些数据进行分级和分析,执行修复和遏制措施,并提供事件后分析报告。
**Topics**
+ [
# 准备
](prepare.md)
+ [
# 检测与分析
](detect-and-analyze.md)
+ [
# 人工智能调查代理
](ai-investigative-agent.md)
+ [
# 遏制
](contain.md)
+ [
# 根除
](eradicate.md)
+ [
# 恢复
](recover.md)
+ [
# 事件后报告
](post-incident-report.md)
# 准备
AWS 安全事件响应团队会在整个安全事件响应生命周期中全程参与调查,并与您保持密切协作。建议在安全事件发生前就完成该团队的组建,并分配好必要的访问权限。
# 检测与分析
**报告事件**
您可通过 AWS 安全事件响应门户上报安全事件。发生安全事件时,切勿延误。AWS 安全事件响应采用自动化与人工结合的方式调查安全事件、分析日志并识别异常模式。您对自身环境的深入理解与积极配合会显著加速分析进程。
**启用支持的检测数据源**
**注意**
AWS 安全事件响应费用不包含与支持的检测数据源相关的使用费用,以及其他 AWS 服务的使用费用。如需了解费用详情,请参阅各功能或服务的定价页面。
*Amazon GuardDuty*
如需在整个组织内启用 GuardDuty,请参阅《[Amazon GuardDuty User Guide](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html#guardduty_enable-gd)》中的“`Setting up GuardDuty`”部分。
强烈建议在所有受支持的 AWS 区域启用 GuardDuty。这样,GuardDuty 就可以生成有关未经授权或异常活动的调查发现,甚至在您未主动使用的区域也是如此。有关更多信息,请参阅 [Amazon GuardDuty Regions and endpoints](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_regions.html)。
启用 GuardDuty 可为 AWS 安全事件响应提供关键威胁检测数据,显著增强其在 AWS 环境中识别和响应潜在安全问题的能力。
*AWS Security Hub CSPM*
Security Hub CSPM 可以摄入来自多种 AWS 服务和受支持的第三方安全解决方案的安全调查发现。这些集成可以帮助 AWS 安全事件响应监控和调查来自其他检测工具的调查发现。
要启用 Security Hub CSPM 与 Organizations 的集成,请参阅 [AWS Security Hub CSPM 用户指南](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html#securityhub-orgs-setup-overviews)。
Security Hub CSPM 提供了多种启用集成的方式。对于第三方产品集成,您可能需要从 AWS Marketplace 中购买集成,然后配置该集成。集成信息提供了用于完成这些任务的链接。详细了解[如何启用 AWS Security Hub CSPM 集成。](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integration-enable.html)
当以下工具与 AWS Security Hub CSPM 集成时,AWS 安全事件响应会监控和调查来自这些工具的调查发现:
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-crowdstrike-falcon](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-crowdstrike-falcon)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-lacework](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-lacework)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-trend-micro](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-trend-micro)
启用这些集成可显著提升 AWS 安全事件响应的监控和调查能力范围及效果。
**检测**
如果启用了“主动响应”,[https://docs.aws.amazon.com/security-ir/latest/userguide/setup-monitoring-and-investigation-workflows.html](https://docs.aws.amazon.com/security-ir/latest/userguide/setup-monitoring-and-investigation-workflows.html) AWS 安全事件响应会通过在信息载入期间部署到您账户的 Amazon EventBridge 规则,从 Amazon GuardDuty 和 AWS Security Hub CSPM 中摄取调查发现。
对于在自动分级期间确定为无害或与预期活动相关的 Amazon GuardDuty 调查发现,AWS 安全事件响应 会自动将其存档。您可以在 Amazon GuardDuty 控制台中选择调查发现“状态”筛选条件中的“已存档”,从而查看已存档的调查发现。有关更多信息,请参阅《Amazon GuardDuty 用户指南》中的 [Viewing generated findings in GuardDuty console](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_working-with-findings.html)**。
对于在自动分级期间确定为无害或与预期活动相关的 Amazon GuardDuty 调查发现,AWS 安全事件响应 会自动将其存档。这种存档仅适用于经过分级且结果为“存档”的调查发现。即使调查已经结束,当前正在调查的调查发现仍然可在 Amazon GuardDuty 控制台中看到。您可以在 Amazon GuardDuty 控制台中选择调查发现“状态”筛选条件中的**已存档**,从而查看已存档的调查发现。有关使用已存档调查发现的更多信息,请参阅《Amazon GuardDuty 用户指南》中的 [Working with findings](https://docs.aws.amazon.com/guardduty/latest/ug/findings_managing.html)**。
当 AWS Security Hub CSPM 摄取安全调查发现时,系统会更新每个调查发现,添加一条指示已开始自动化分级的注释。工作流状态将从“新”变为“已通知”,这会将该调查发现从默认的 AWS Security Hub CSPM 调查发现视图中移除。如果分级后确定某个调查发现是无害或与预期活动相关联,则系统会向该调查发现添加一条注释,并将工作流状态更新为“已隐藏”。
**分析:自动化分级**
AWS 安全事件响应 会自动对安全调查发现进行分级。在确定检测到的活动是否属于预期行为时,分级过程会分析来自多个来源的数据,包括调查发现有效载荷、AWS 服务元数据、AWS 日志记录和监控数据(例如 AWS CloudTrail 和 VPC 流日志)、AWS 威胁情报以及邀请您提供有关您的 AWS 和本地环境的上下文等。
如果自动分级确定检测到的活动是预期行为,则系统不会执行进一步的调查操作。
**分析:事件响应安全调查**
AWS 安全事件响应工程是一支可随时为用户提供支持的全球性团队,由拥有 AWS 和安全事件响应专业知识的安全专业人员组成。如果自动分级无法确定该活动是否是预期行为,则 AWS 安全事件响应工程将参与安全调查。如果事件是从 Security Hub 摄取的,则会在相关调查发现中发布一条注释,表明 AWS 安全事件响应工程正在进行调查。
AWS 安全事件响应工程通过分析额外的服务元数据和威胁情报、查看根据您环境中的历史调查发现和调查得出的见解,并运用事件响应专业知识,来进行切实的安全调查。根据您的遏制偏好(请参阅“遏制”),AWS 安全事件响应工程可能会通过 AWS 安全事件响应控制台中的安全事件响应案例与贵组织的事件响应团队联系,核实检测到的活动是否是预期行为以及[对 AWS 生成案例的授权响应](https://docs.aws.amazon.com/security-ir/latest/userguide/responding-to-an-aws-generated-case.html)。
**沟通**
AWS 安全事件响应通过安全事件响应案例与您的事件响应团队接触互动,让您在安全调查期间随时了解情况。多名 AWS 安全事件响应工程成员可能会为一项调查提供支持。沟通内容可能包括:确认或通知安全调查的创建;建立通话桥梁;分析日志文件等构件;请求确认预期活动;以及共享调查结果。
当 AWS 安全事件响应与您的事件响应团队主动联系时,会在您的 AWS 安全事件响应成员账户中创建一个案例,用于集中管理所有组织账户的沟通。这些案例的标题中带有用于标识发起者为 AWS 安全事件响应的“[Proactive case]”前缀。通过积极参与并及时回复这些沟通,您的事件响应团队可以 AWS 安全事件响应 协助完成以下工作:
+ 确保快速响应真实安全事件。
+ 了解您的环境和预期行为。
+ 逐步减少检测误报情况。
AWS 安全事件响应的有效性会随着协作不断提升,从而打造更有效监控和安全的 AWS 环境。
**更新调查发现**
AWS 安全事件响应根据调查发现的来源和分级结果,对其进行不同的管理。
**服务优化**
如果您的账户服务配额允许,则 AWS 安全事件响应 会尝试部署一条 [Amazon GuardDuty 隐藏规则](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html) 或 [AWS Security Hub CSPM 自动化规则](https://docs.aws.amazon.com/securityhub/latest/userguide/automation-rules.html)。这些规则会隐藏与已知获授权活动类型和来源(例如,源 IP 地址、ASN、身份主体或资源)匹配的未来调查发现。AWS Security Hub CSPM 规则的部署优先级为 10,从而让您能够在需要时使用自定义规则覆盖这些自动化。
通过这种方式,AWS 安全事件响应 可以根据 AWS 环境中的预期行为优化检测来源。有关这些规则集的修改将会通知您的事件响应团队,并可按要求回滚更改。
# 人工智能调查代理
## 概述
由人工智能驱动的调查代理与客户和 AWS 安全事件响应工程师协同工作,加快安全调查。当客户创建由 AWS 支持的案例时,该代理会在安全事件响应工程师参与的同时自动激活,从而将解决问题的时间从几天缩短到几小时。
在客户升级期间,安全事件响应案例可以由客户创建,也可以由 AWS 安全事件响应主动创建。创建由 AWS 支持的新案例时,系统会自动触发调查代理。您可以通过控制台、API 或 Amazon EventBridge 集成来管理所有案例。
**主要优势**
+ **并行调查**:代理与响应人员同时工作,实现人工智能驱动的自动化与人类专业知识的结合。
+ **自动采集证据**:通过自动查询 AWS CloudTrail、IAM、Amazon EC2 和 Cost Explorer 成本管理服务,消除手动日志分析的需要。
+ **自然语言界面**:可用通俗易懂的语言描述安全问题,无需有关 AWS 日志格式的专业知识。
+ **更快响应**:几分钟之内即可在“调查”选项卡中查看调查摘要。
+ **完全可审计**:所有代理操作均在 AWS CloudTrail 中于 `AWSServiceRoleForSupport` 角色下记录。
**重要**
此功能仅适用于由 AWS 支持的案例。客户自行管理的案例不包括人工智能调查功能。
## 工作原理
人工智能调查代理在分析由 AWS 支持的安全案例时遵循结构化的工作流:
**调查工作流**
1. **创建案例**:客户在安全事件响应控制台中创建一个由 AWS 支持的案例并提供有关安全问题的描述。
1. **并行激活**
+ 安全事件响应工程师参与处理该案例。
+ 人工智能代理同时启动其调查工作流。
1. **背景问题(可选)**:代理可以询问澄清性的问题来收集具体细节:
+ 受影响的 AWS 账户 ID
+ 涉及的 IAM 主体(用户、角色、访问密钥)
+ 具体的资源标识符(S3 存储桶、EC2 实例、ARN)
+ 可疑活动的时间线
1. **证据采集**:代理自动查询 AWS 数据来源:
+ *AWS CloudTrail*:与事件相关的 API 调用与活动
+ *IAM*:用户和角色权限、策略更改和新身份创建
+ *Amazon EC2 实例 API*:有关计算资源(如涉及)的信息
+ *Cost Explorer 成本管理服务*:异常资源消耗的成本和使用情况指标
1. **分析和关联**:代理将跨服务的证据关联起来,识别模式并确定事件发生的时间线。
1. **生成摘要**:代理将在几分钟之内在“调查”选项卡中显示一份全面的调查摘要。
**注意**
所有字段都是可选字段。如果在 10 分钟内未提供答案,则将自动启动调查。对于某些案例,如果已经有足够充分的信息,则代理可能会完全跳过可选问题。
**访问调查结果**
查看人工智能分析:
1. 在安全事件响应控制台中导航到您的案例。
1. 选择**调查**选项卡。
1. 查看调查摘要,包括调查发现、时间线和背景。
人工智能调查代理摘要会作为备注在案例的**沟通**部分发布,便于结合其他案例更新查看。
**数据访问与权限**
人工智能调查代理使用 `AWSServiceRoleForSupport` 服务相关角色来访问 AWS 资源。该角色提供了证据采集所需的只读权限:
代理执行的所有操作均在 AWS CloudTrail 记录,以便客户能够准确审计在调查期间访问的数据。在 AWS CloudTrail 日志中,这些操作均归于 `AWSServiceRoleForSupport`。
## 先决条件
在使用人工智能驱动的调查功能前,请确保您已满足下列条件:
**必需的设置**
+ **已启用 AWS 安全事件响应**:必须已通过 AWS Organizations 管理账户启用该服务。
+ **由 AWS 支持的案例类型**:人工智能调查仅适用于由 AWS 支持的案例(不适用于客户自行管理的案例)。
+ **AWSServiceRoleForSupport**:此服务相关角色会自动创建,为调查代理提供所需的权限。
**所需权限**
要创建由 AWS 支持的案例并访问调查结果,该 IAM 主体需要具有以下权限:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"security-ir:CreateCase",
"security-ir:GetCase",
"security-ir:ListCases",
"security-ir:UpdateCase"
],
"Resource": "*"
}
]
}
```
## 使用调查代理
创建由 AWS 支持的案例时,人工智能调查代理会自动激活。
**监控人工智能调查进度**
1. 在 AWS 安全事件响应 控制台中打开您的案例。
1. 选择**调查**选项卡。
1. 查看调查状态(*正在进行*或*已完成*)。
1. 完成后,查看综合调查摘要,其中包括调查结果、时间线和建议。
**负责任的人工智能披露**
调查摘要是使用 AWS 生成式人工智能功能生成的。您负责根据自己的具体背景评估人工智能生成的建议,实施恰当的监督机制,独立验证调查发现,并确保对所有安全决策实施人工监督。
**客户数据的使用**
人工智能调查代理不使用客户数据进行模型训练,也不会与第三方共享客户数据。
# 遏制
AWS 安全事件响应会与您协同遏制安全事件。您可以将该服务配置为在您的账户中主动执行遏制措施,以响应安全调查发现。您可以自行执行遏制措施,也可以使用[支持的遏制措施](https://docs.aws.amazon.com/security-ir/latest/userguide/supported-containment-actions.html)中所述的 [SSM 文档](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-runbook-reference.html),与第三方合作伙伴协同执行遏制措施。
**重要**
默认情况下,AWS 安全事件响应不会启用遏制功能。
需要完成两个步骤才能启用主动遏制功能:
使用 IAM 角色向服务**授予必要的权限**。您可以为每个账户分别创建这些角色,也可使用 AWS CloudFormation 堆栈集为整个组织创建这些角色(这些堆栈集将会创建所需角色)。
为每个账户或整个组织**定义遏制首选项**,以授权主动执行遏制措施。账户级别的首选项会取代组织级别的首选项。这可以通过创建 AWS Support 案例(技术:安全事件响应服务/其他)来完成。可用的遏制首选项如下:
**需要审批(默认):**除非针对具体案例获得显式授权,否则不对任何资源执行主动遏制。
**遏制已确认:**主动遏制已确认泄露的资源。
**遏制疑似:**根据 AWS 安全事件响应工程所执行的分析,主动遏制泄漏可能性高的资源。
# 遏制决策
遏制的核心在于决策,例如:判断是否关闭系统、从网络隔离资源、禁用访问权限或终止会话等。如果已经预先确定了遏制事件的策略和程序,则这些决策将会更加容易。AWS安全事件响应会提供遏制策略,告知潜在影响,并仅在您确认同意相关风险后指导您实施解决方案。
# 支持的遏制措施
AWS 安全事件响应可代表您执行支持的遏制措施,以便加速响应,缩短威胁行为者在您环境中可能造成破坏的时间窗口。该功能可快速解决已识别的威胁,最大程度降低潜在影响,提升整体安全防护水平。根据分析的资源类型,有不同的遏制选项可供使用。支持的遏制措施详见以下子章节。
# EC2 实例遏制
`AWSSupport-ContainEC2Instance` 自动化遏制方案将对 EC2 实例执行可逆的网络遏制,在保持实例完整运行的同时阻断所有新网络活动,防止实例与 VPC 内外资源通信。
**重要**
值得注意的是,修改安全组规则不会中断现有已建立的连接,新安全组和该 SSM 文档只会有效阻断后续流量。如需了解更多信息,请参阅服务技术指南的[源遏制](https://docs.aws.amazon.com/security-ir/latest/userguide/source-containment.html)部分。
# IAM 访问遏制
`AWSSupport-ContainIAMPrincipal` 自动化遏制方案将对 IAM 用户或角色执行可逆的网络遏制,在 IAM 中保留该用户/角色的同时,阻止其与您账户中的资源进行通信。
# S3 存储桶遏制
`AWSSupport-ContainS3Resource` 自动化遏制方案将对 S3 存储桶执行可逆的遏制,在保留存储桶内所有对象的同时,通过修改访问策略来隔离 Amazon S3 存储桶或对象。
# 制定遏制策略
AWS 安全事件响应建议根据风险承受能力,为每类主要事件制定相应的遏制策略。请明确记录决策标准,以便事件发生时参考。需考虑的标准包括:
+ 资源潜在损害程度
+ 证据保存与合规要求
+ 服务不可用性(如网络连接、向外部提供的服务)
+ 实施策略所需的时间与资源
+ 策略有效性(如部分遏制与完全遏制)
+ 解决方案持久性(如可逆与不可逆操作)
+ 解决方案的持续时间(如应急变通方案、临时变通方案、永久解决方案)
执行可降低风险的安全控制措施,为制定和实施更有效的遏制策略争取时间。
# 阶段式遏制方法
AWS 安全事件响应建议采用分阶段方案实现高效遏制,根据资源类型制定短期与长期策略。
# 遏制策略决策流程
**AWS 安全事件响应是否能识别安全事件的范围?**
+ 是:标记所有相关资源(用户、系统、资源)。
+ 否:对已识别资源执行下一步,同时继续调查。
**资源是否能被隔离?**
+ 是:立即隔离受影响资源。
+ 否:协同系统负责人确定替代遏制方案。
**所有受影响的资源是否都已与未受影响的资源隔离开来?**
+ 是:进入下一阶段。
+ 否:继续执行隔离,完成短期遏制,防止事件升级。
# 系统备份
**是否已为受影响的系统创建备份以用于进一步的分析?**
**取证副本是否已加密并安全存储?**
+ 是:进入下一阶段。
+ 否:立即加密取证映像并安全存储,防止意外使用、损坏或篡改。
# 提交遏制偏好
要为您的账户或组织配置遏制偏好,请创建 [AWS 支持 案例](https://repost.aws/knowledge-center/get-aws-technical-support)。
在支持案例中,请指定以下信息:
+ 您的 AWS Organizations ID 或应授权遏制措施的特定账户 ID
+ 您的偏好遏制选项。
配置完成后,AWS 安全事件响应 将在活跃安全事件期间执行授权的遏制措施,以帮助保护您的环境。
**注意**
只有在配置了适当的偏好且部署所需的 AWS CloudFormation 堆栈集以授予必要权限之后,AWS 安全事件响应 才会执行遏制措施。
# 根除
在根除阶段,必须全面识别并处理所有受影响的账户、资源及实例(包括删除恶意软件、清除遭入侵的用户账户、修复已发现的漏洞),以便在整个环境中实施统一的修复措施。
最佳实践是采用分阶段根除与恢复方案,并优先处理关键修复步骤。早期阶段旨在通过高价值变更快速(数日至数周内)提升整体安全性,预防未来发生安全事件。后期阶段则侧重于长期变更(例如基础设施改造)和持续优化工作来尽力保障企业安全。每个案例都具有独特性,AWS 安全事件响应工程师会协助您评估需采取的必要措施。
请考虑以下事项:
+ 能否通过系统重装并应用补丁或其他防护措施来消除或降低攻击风险?
+ 能否以全新实例替换受感染系统,在终止污染项目的同时建立洁净基准?
+ 是否已清除所有恶意软件及未授权使用痕迹,并针对进一步攻击对受影响系统进行强化?
+ 是否需要对受影响资源进行取证?
# 恢复
AWS 安全事件响应将提供系统恢复指导,包括:恢复正常运行、确认功能完整性,以及修复漏洞以防事件重现。但 AWS 安全事件响应不会直接参与系统恢复操作。关键考虑因素包括:
+ 受影响系统是否已针对同类攻击完成补丁安装并强化防护?
+ 将系统恢复至生产环境的合理时间安排为何?
+ 将使用哪些工具来测试、监控及验证已恢复的系统?
# 事件后报告
AWS 安全事件响应将在双方团队完成安全处置工作后,提供事件摘要报告。
每月底,AWS 安全事件响应将通过电子邮件向每位客户的主要联系人发送月度报告。报告将采用 PDF 格式,且包含下述指标。每个 AWS Organizations 的客户都会收到一份报告。
# 案例指标
+ 新建案例
+ 维度名称:类型
+ 维度值:AWS 托管 \$1 自主管理
+ 单位:个
+ 说明:新建案例数量统计。
+ 已关闭案例
+ 维度名称:类型
+ 维度值:AWS 托管、自主管理
+ 单位:个
+ 说明:已关闭案例总数统计。
+ 未关闭案例
+ 维度名称:类型
+ 维度值:AWS 托管 \$1 自主管理
+ 单位:个
+ 说明:未关闭案例数量统计。
# 分级指标
+ 接收到的调查发现
+ 单位:个
+ 说明:需分级处理的调查发现数量。
+ 已归档的调查发现
+ 单位:个
+ 说明:经处理后无需人工调查而归档的调查发现数量。
+ 人工调查的调查发现
+ 单位:个
+ 说明:经过人工调查的调查发现数量。
+ 已归档调查
+ 单位:个
+ 说明:判定为误报并归档的人工调查案例数量。
+ 已升级的调查
+ 单位:个
+ 说明:确认为安全事件并升级处理的人工调查案例数量。
# 案例
AWS 安全事件响应支持创建两种类型的案例:AWS 托管案例、自主管理案例。
# 创建 AWS 托管案例
您可通过控制台、API 或 AWS Command Line Interface为 AWS 安全事件响应创建由 AWS 支持的案例。由 AWS 支持的案例将由安全事件响应工程师为您提供支持。
**重要**
演示/模拟案例将在 90 天后关闭。
**注意**
AWS 安全事件响应工程师将在 15 分钟内响应您的案例。响应时间指 AWS 安全事件响应工程师发出首次响应的时间。我们会尽一切合理努力在此时间范围内响应您的初次请求。该响应时效不适用于后续响应。
**注意**
您不仅可以为活跃安全事件和调查创建由 AWS 支持的案例,还可以创建此类案例来咨询 AWS 安全事件响应的功能。这包括有关 GuardDuty 隐藏规则、警报分级配置、主动响应工作流以及有关安全态势的一般指导的问题。对于此类目的,请选择**调查与查询**案例类型。
# 何时联系 AWS 安全事件响应
您可以根据自己的需求出于各种目的联系 AWS 安全事件响应。下表介绍了各种不同的场景以及每种场景的相应联系方式。
| 场景 | 何时使用 | 响应时间 | 案例类型 |
| --- | --- | --- | --- |
| **活跃安全事件** | 您遇到了紧急安全事件,需要立即获得事件响应支持和服务 | 15 分钟(第一次响应) | [活跃安全事件](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **调查** | 您怀疑出现了安全事件,需要获得有关日志分析和事件响应调查二次确认方面的支持 | 15 分钟(第一次响应) | [调查与咨询](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **咨询与指导** | 您有涉及 Amazon GuardDuty 调查发现、隐藏规则、警报分级配置、主动响应工作流或与 AWS 安全事件响应 功能相关的一般安全态势等方面的问题 | 15 分钟(第一次响应) | [调查与咨询](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **信息载入问题** | 您在 AWS 安全事件响应的信息载入过程中遇到了技术问题 | 因支持计划而异 | [AWS 支持 案例](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case) |
对于所有由 AWS 支持的案例(活跃安全事件以及调查与咨询),AWS 安全事件响应工程师将在 15 分钟内进行第一次响应。该响应时效仅适用于第一次联系,不适用于后续响应。
以下示例演示控制台操作流程。
1. 通过 AWS 管理控制台登录 AWS 安全事件响应。
1. 选择**创建案例**
1. 选择**通过 AWS 解决案例**
1. 选择请求类型:
1. **活跃安全事件**:用于紧急事件响应支持服务。
1. **调查与咨询**:用于疑似的安全事件,AWS 安全事件响应工程师在日志分析和事件响应调查二次确认等方面提供支持。您还可以使用此类下来咨询涉及 Amazon GuardDuty 调查发现、隐藏规则、警报分级配置、主动响应工作流或与 AWS 安全事件响应功能相关的一般安全态势等方面的问题。
1. 将预估开始日期设置为事件最早出现迹象的日期,例如:首次出现异常行为或收到首个相关安全警报的日期。
1. 为案例定义标题
1. 请提供案例的详细描述。 以下内容将帮助事件响应人员更快解决问题:
1. 发生了什么?
1. 是谁发现并报告的该事件?
1. 哪些对象受到该案例影响?
1. 目前已知的影响范围?
1. 该案例的紧急程度?
1. 添加一个或多个属于案例范围内的 AWS 账户 ID。
1. 添加案例详细信息(选填):
1. 从下拉列表中选择受影响的主要服务。
1. 从下拉列表中选择受影响的主要区域。
1. 添加一个或多个在该案例中确定的威胁行为者 IP 地址。
1. 为案例添加其他事件响应人员,以便接收通知。要添加响应人员,请执行以下操作:
1. 添加电子邮件地址。
1. 添加姓名(选填)。
1. 选择**新增**添加其他响应人员。
1. 要删除响应人员,选择对应人员的**删除**选项。
1. 选择**添加**,可将所列出的所有人员添加到案例中。
1. 您可以选择多人,然后选择**删除**,即可批量删除所选人员。
1. 将标签添加到案例(可选)。
1. 要添加标签,请执行以下操作:
1. 选择**添加新标签**。
1. 对于**键**,输入标签的名称。
1. 对于**值**,输入标签的值。
1. 要删除标签,请为该标签选择**删除**选项。
由 AWS 支持等案例创建后,AWS 安全事件响应工程师和您的事件响应团队会立即收到通知。
**创建由 AWS 支持的案例并启用人工智能调查**
1. 从 [console.aws.amazon.com/](https://console.aws.amazon.com/) 打开 AWS 安全事件响应控制台。
1. 从导航窗格中选择**案例**。
1. 选择**创建工单**。
1. 对于**案例类型**,选择**由 AWS 支持的案例**。
1. 提供案例详情,包括标题、事件开始日期和受影响的 AWS 账户 ID。
1. 在**描述安全事件**部分中,提供对事件的详尽描述。
1. 提供有关受影响 AWS 服务、区域和其他相关细节的更多信息。
1. 选择**创建工单**。
案例创建后,安全事件响应工程师和人工智能代理开始同时工作。
**回答人工智能澄清性问题(可选)**
1. 在您的案例中导航至**调查**选项卡。
1. 查看人工智能代理提出的任何澄清性问题。
1. 回答问题,或者选择**跳过**(如果您不想回答)。
1. 选择**提交**以继续。所有字段都是可选字段。
**负责任的人工智能披露**
调查摘要是使用 AWS 生成式人工智能功能生成的。您负责根据自己的具体背景评估人工智能生成的建议,实施恰当的监督机制,独立验证调查发现,并确保对所有安全决策实施人工监督。
# 创建自主管理案例
您可通过控制台、API 或 AWS Command Line Interface为 AWS 安全事件响应创建自主管理案例。此类案例*不需要* AWS 安全事件响应工程师参与。以下示例演示控制台操作流程。
1. 通过位于 [https://console.aws.amazon.com/security-ir/](https://console.aws.amazon.com/) 的 AWS 管理控制台 登录 AWS 安全事件响应。
1. 选择**创建案例**。
1. 选择**通过自有事件响应团队解决案例**。
1. 将预估开始日期设置为事件最早出现迹象的日期,例如:首次出现异常行为或收到首个相关安全警报的日期。
1. 为案例定义标题。建议选择**生成标题**选项,按提示纳入日期信息。
1. 输入案例涉及的 AWS 账户 ID。要添加账户 ID,请执行以下操作:
1. 输入 12 位数账户 ID,然后选择**添加账户**。
1. 要删除账户,选择案例中需删除账户旁的**删除**选项。
1. 请提供案例的详细描述。
1. 以下内容将帮助事件响应人员更快解决问题:
1. 发生了什么?
1. 是谁发现并报告的该事件?
1. 哪些对象受到该案例影响?
1. 目前已知的影响范围?
1. 该案例的紧急程度?
1. 添加案例详细信息(选填):
1. 从下拉列表中选择受影响的主要服务。
1. 从下拉列表中选择受影响的主要区域。
1. 添加一个或多个在该案例中确定的威胁行为者 IP 地址。
1. 为案例添加其他事件响应人员,以便接收通知。要添加响应人员,请执行以下操作:
1. 添加电子邮件地址。
1. 添加姓名(选填)。
1. 选择**新增**添加其他响应人员。
1. 要删除响应人员,选择对应人员的**删除**选项。
1. 选择**添加**,可将所列出的所有人员添加到案例中。您可以选择多人,然后选择**删除**,即可批量删除所选人员。
1. 将标签添加到案例(可选)。要添加标签,请执行以下操作:
1. 选择**添加新标签**。
1. 对于**键**,输入标签的名称。
1. 对于**值**,输入标签的值。
1. 要删除标签,请为该标签选择**删除**选项。
案例创建后,系统会通过电子邮件通知事件响应团队。
# 与 AWS 安全事件响应工程师协同工作
在您创建安全事件案例后,AWS 安全事件响应工程师将开始处理您的事件。本节介绍了调查期间预计将出现的情况以及如何与我们的团队进行有效协作。
# AWS 安全事件响应工程师预计将执行的工作
当您创建由 AWS 支持的案例时,系统将为您的事件指派一名安全事件响应工程师。为您指定的响应人员将执行以下工作:
+ 检查您在案例中提供的初步信息
+ 分析相关的 AWS 服务日志和安全调查发现
+ 确定安全事件的范围和影响
+ 根据您的情况制定调查和响应计划
**响应时限**:AWS 安全事件响应工程师确认新案例的服务等级目标(SLO)为 15 分钟内。初始评估时限可能因案例的严重程度和复杂性而异。如果 AWS 安全事件响应工程师在 5 个工作日内没有收到您的回复或重要信息,则将关闭该案例。
# 调查工作流
AWS 安全事件响应工程师遵循与 NIST 800-61r2 框架一致的结构化事件响应流程。在调查期间,预计将会出现以下阶段:
1. **初步分级**:安全事件响应工程师审查您的案例详情并确认事件范围
1. **调查**:安全事件响应工程师分析日志,识别泄漏指标并确定根本原因
1. **遏制**:安全事件响应工程师建议可限制事件影响的措施
1. **根除和恢复**:安全事件响应工程师协助您消除威胁并恢复正常运行
1. **事后审查**:安全事件响应工程师提供调查发现,以及旨在防止未来发生事件的建议
在这些阶段,安全事件响应工程师会通过案例更新随时向您通报情况,并且可能会要求您提供更多信息或采取行动。
# 信息安全事件响应工程师可能提出要求
为有效地调查您的事件,AWS 安全事件响应工程师可能会要求您提供下列信息:
+ **时间线详情**:您首次检测到事件的时间以及引发该事件的任何相关事件
+ **受影响的资源**:涉及的特定 AWS 账户 ID、服务、区域和资源 ARN
+ **访问信息**:有关谁有权访问受影响资源的详细信息以及任何最近的访问权限变更
+ **业务背景**:受影响资源的使用方式以及对业务的潜在影响
+ **日志和证据**:可能有助于调查的其他日志、屏幕截图或构件
+ **授权**:批准代表您执行特定的遏制或补救措施
您的安全事件响应工程师将解释为什么需要各条信息以及这些信息对调查有何帮助。
# 沟通最佳实践
有效的沟通可以加快事件的解决。与 AWS 安全事件响应工程师协作时,请遵循以下最佳实践:
+ **及时响应**安全事件响应工程师要求提供的信息
+ 即使您不确定其相关性,也应**提供完整的信息**
+ 如果您不理解任何建议或需要澄清,**请随时提问**
+ 根据事件的任何新进展或变化**更新案例**
+ 在您的团队中**指定一名主要联系人**,负责与安全事件响应工程师进行协调
**重要**
如果对于提供关键信息的请求,AWS 安全事件响应工程师在 5 个工作日内未收到回复,我们会关闭案例。如果有新信息可用,您可以重新创建案例。
# 您在调查期间的角色
虽然调查由 AWS 安全事件响应工程师主管,但您的参与也至关重要。您负责采取以下措施:
+ 及时响应有关提供信息的请求
+ 在您的 AWS 环境中实施建议的遏制和弥补措施
+ 授权安全事件响应工程师代表您采取措施(如果您启用了主动响应)
+ 根据需要与内部团队(安全、法律、合规)进行协调
+ 做出有关事件响应优先级和权衡的商业决策
AWS 安全事件响应工程师提供专业知识和建议,您自己的 AWS 资源始终由您控制,相关响应措施也由您最终决定。
# 关闭案例
发生下列情况时,AWS 安全事件响应工程师会关闭案例:
+ 事件已得到遏制和补救
+ 已将所有调查发现提供给您
+ 不再需要 安全事件响应工程师提供任何进一步的协助
+ 您要求关闭案例
在关闭案例之前,安全事件响应工程师将会向您提供一份摘要,说明相关调查发现、所执行的措施以及可改善安全状况的建议。
如果您在案例关闭后需要其他帮助,可以创建新案例或联系 AWS 支持。
# 响应 AWS 生成的案例
当账户或资源可能受到影响需要而采取行动或给予关注时,AWS 安全事件响应可能会主动创建外发通知或案例。只有当您在订阅中启用了主动响应和警报分级工作流时,才会触发此功能。
这些通知会在 AWS 安全事件响应中显示为带 "[Proactive case]" 前缀的安全事件响应案例。要查看和管理这些案例,请完成以下步骤:
+ 在 https://console.aws.amazon.com/security-ir/ 上打开安全事件响应控制台
+ 选择**案例**。
+ 您会看到所有案例,包括带 "[Proactive case]" 前缀的案例。
您可以根据需要更新、解决、重新打开这些案例。您可以通过这些案例直接与 AWS 安全事件响应团队沟通,确保潜在安全问题得到高效处理。
# 管理案例
**Topics**
+ [
# 更改案例状态
](changing-the-case-status.md)
+ [
# 变更解决方
](changing-the-resolver.md)
+ [
# 待执行事项
](action-items.md)
+ [
# 编辑案例
](edit-a-case.md)
+ [
# 通信
](communications.md)
+ [
# 权限
](sir-permissions.md)
+ [
# 附件
](attachments.md)
+ [
# 标签
](tags.md)
+ [
# 案例活动
](case-activities.md)
+ [
# 关闭案例
](closing-a-case.md)
# 更改案例状态
案例可能的状态如下:
+ 已提交:这是案例的初始状态,表示已收到请求但尚未开始处理。
+ 检测与分析:此状态表示事件响应人员已开始处理案例。此阶段包括包括数据收集、事件分级及分析数据进行论证。
+ 遏制、根除与恢复:此状态表示事件响应人员已识别需要额外处置的可疑活动。响应人员将提供业务风险分析建议和后续行动方案。若已启用服务的可选功能,AWS 事件响应人员会征求您的授权,以便在受影响账户中通过 SSM 文档执行遏制措施。
+ 事件后活动:该状态表示主要安全事件已得到控制。当前重点是让业务恢复正常运营。若案例由 AWS 托管解决,则会提供事件摘要和根本原因分析。
+ 已关闭:这是工作流程的最终状态。案例处于“已关闭”状态,表示处置已完成。已关闭案例无法重新开启,因此务必确保已完成所有操作,再切换到该状态。
对于自主管理案例,选择**操作/更新状态**即可更改状态。对于由 AWS 支持的案例,该状态将由 AWS 安全事件响应工程师设置。
# 变更解决方
对于自主管理案例,您的事件响应团队可向 AWS 请求协助。选择**获取 AWS 协助**即可将案例解决方变更为 AWS。转为 AWS 托管案例后,状态会变更为**已提交**。现有的案例历史记录将可由 AWS 安全事件响应工程师查阅。一旦请求 AWS 协助,案例不可再转回自主管理模式。
# 待执行事项
负责该案例的 AWS 安全事件响应工程师可能会要求您的内部团队采取行动。
案例创建后出现的待执行事项包括:
+ 请求为事件响应人员授予案例访问权限
+ 请求提供更多关于案例的信息
准备关闭时的待执行事项:
+ 请求查看案例报告
+ 请求关闭案例
# 编辑案例
选择**编辑**即可更改案例详情。
**对于 AWS 托管案例和自主管理案例:**
创建案例后,您可以更改案例的下列详情:
+ 标题
+ 说明
**仅适用于 AWS 托管案例:**
您可以更改其他字段:
+ **请求类型:**
+ **活跃安全事件**:用于紧急事件响应支持服务。
+ **调查**:可让您获取有关疑似安全事件的支持,AWS 安全事件响应工程师可在日志深度分析和安全事件二次确认等方面提供支持。
+ **预计开始日期**:如果获取到早于当前设定日期的案例相关迹象,请修改此字段。建议在描述字段补充新发现迹象的详细信息,或在沟通标签页中添加评论说明。
# 通信
AWS 安全事件响应工程师可在处理案例时添加备注,以记录自己的工作内容。不同的 AWS 安全事件响应工程师可能会同时处理同一案例。这些人在通信日志中统一标记为 **AWS 响应人员**。
# 权限
“权限”选项卡列出了所有会收到案例变更通知的人员。在案例关闭之前,您都可以在列表中添加或删除人员。
**注意**
单个案例最多支持添加 30 名相关人员。需额外配置权限才可授予这些相关人员案例级别的访问权限。
**在控制台中授予对案例的访问权限**
要通过 AWS 管理控制台管理控制台授予案例访问权限,请复制 IAM 权限策略模板,并将之添加到用户或角色。
将 IAM 策略附加到用户或角色:
1. 复制 IAM 权限策略。
1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM。
1. 在导航窗格中,选择**用户**或**角色**。
1. 选择用户或角色打开详细信息页面。
1. 在“权限”选项卡中,请选择**添加权限**。
1. 选择**附加策略**。
1. 选择相应的 [AWS 安全事件响应托管策略](https://docs.aws.amazon.com/security-ir/latest/userguide/aws-managed-policies.html)。
1. 选择**添加策略**。
# 附件
事件响应人员可为案例添加附件,协助其他响应人员调查自主管理案例。
**注意**
若选择 AWS 托管案例,AWS 便无法查看附件内容。AWS 托管案例的所有详细信息都必须通过案例评论来提供,或由您使用自选通讯技术进行屏幕共享来提供。
点击**上传**从本机选择文件添加到案例。
**注意**
所有已上传附件都会在案例处于 `Closed` 状态七天后自动删除。
# 标签
标签是一种可选标记,您可将其分配给案例来存储相应资源的元数据。每个标签都是由一个密钥和一个可选值组成的。标签可用来搜索、分配成本以及对资源进行权限认证。
要添加标签,请执行以下操作:
1. 选择**添加新标签**。
1. 对于**键**,输入标签的名称。
1. 对于**值**,输入标签的值。
要删除标签,请为该标签选择**删除**选项。
# 案例活动
审计跟踪记录功能提供所有案例活动的详细时间序记录。这些记录在事后分析中至关重要,能帮助识别潜在改进点。案例审计跟踪记录会记录任何案例变更的时间、用户、操作及详情。
# 关闭案例
对于 AWS 托管案例,在案例详细信息页面选择**关闭案例**,即可随时永久关闭处于任何状态的案例。通常情况下,案例会先进入**准备关闭**状态,再被永久关闭。若在非**准备关闭**状态下提前关闭案例,即表示要求 AWS 安全事件响应工程师停止处理该由 AWS 支持的案例。
如果您的事件响应团队为响应方,请在案例详细信息页面选择**操作/关闭案例**。
**注意**
“准备关闭”状态表示案例可以永久关闭,且无需进一步处理。
永久关闭后,案例无法重新开启,所有信息将转为只读模式。为防止意外关闭,系统会要求您确认是否要关闭案例。
# 使用 CloudFormation StackSets
**重要**
AWS 安全事件响应 默认不会启用遏制功能。要执行这些遏制措施,您必须先使用 AWS Identity and Access Management 角色授予此服务必要的权限。您可以为每个账户单独创建这些角色,也可以部署 CloudFormation 堆栈集在组织中创建这些角色。堆栈集会创建所需的角色。
有关如何使用服务管理权限创建堆栈集的具体说明,请参阅 *AWS CloudFormation 用户指南*中的[使用服务管理权限创建 CloudFormation 堆栈集](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-associate-stackset-with-org.html)。
以下为创建 *AWSSecurityIncidentResponseContainment* 和 *AWSSecurityIncidentResponseContainmentExecution* 角色所需的模板。
```
AWSTemplateFormatVersion: '2010-09-09'
Description: 'Template for production SIR containment roles'
Resources:
AWSSecurityIncidentResponseContainment:
Type: 'AWS::IAM::Role'
Properties:
RoleName: AWSSecurityIncidentResponseContainment
AssumeRolePolicyDocument:
{
'Version': '2012-10-17',
'Statement':
[
{
'Effect': 'Allow',
'Principal': { 'Service': 'containment.security-ir.amazonaws.com' },
'Action': 'sts:AssumeRole',
'Condition': { 'StringEquals': { 'sts:ExternalId': !Sub '${AWS::AccountId}' } },
},
{
'Effect': 'Allow',
'Principal': { 'Service': 'containment.security-ir.amazonaws.com' },
'Action': 'sts:TagSession',
},
],
}
Policies:
- PolicyName: AWSSecurityIncidentResponseContainmentPolicy
PolicyDocument:
{
'Version': '2012-10-17',
'Statement':
[
{
'Effect': 'Allow',
'Action': ['ssm:StartAutomationExecution'],
'Resource':
[
!Sub 'arn:${AWS::Partition}:ssm:*:*:automation-definition/AWSSupport-ContainEC2Instance:$DEFAULT',
!Sub 'arn:${AWS::Partition}:ssm:*:*:automation-definition/AWSSupport-ContainS3Resource:$DEFAULT',
!Sub 'arn:${AWS::Partition}:ssm:*:*:automation-definition/AWSSupport-ContainIAMPrincipal:$DEFAULT',
],
},
{
'Effect': 'Allow',
'Action':
['ssm:DescribeInstanceInformation', 'ssm:GetAutomationExecution', 'ssm:ListCommandInvocations'],
'Resource': '*',
},
{
'Effect': 'Allow',
'Action': ['iam:PassRole'],
'Resource': !GetAtt AWSSecurityIncidentResponseContainmentExecution.Arn,
'Condition': { 'StringEquals': { 'iam:PassedToService': 'ssm.amazonaws.com' } },
},
],
}
AWSSecurityIncidentResponseContainmentExecution:
Type: 'AWS::IAM::Role'
Properties:
RoleName: AWSSecurityIncidentResponseContainmentExecution
AssumeRolePolicyDocument:
{
'Version': '2012-10-17',
'Statement':
[{ 'Effect': 'Allow', 'Principal': { 'Service': 'ssm.amazonaws.com' }, 'Action': 'sts:AssumeRole' }],
}
ManagedPolicyArns:
- !Sub arn:${AWS::Partition}:iam::aws:policy/SecurityAudit
Policies:
- PolicyName: AWSSecurityIncidentResponseContainmentExecutionPolicy
PolicyDocument:
{
'Version': '2012-10-17',
'Statement':
[
{
'Sid': 'AllowIAMContainment',
'Effect': 'Allow',
'Action':
[
'iam:AttachRolePolicy',
'iam:AttachUserPolicy',
'iam:DeactivateMFADevice',
'iam:DeleteLoginProfile',
'iam:DeleteRolePolicy',
'iam:DeleteUserPolicy',
'iam:GetLoginProfile',
'iam:GetPolicy',
'iam:GetRole',
'iam:GetRolePolicy',
'iam:GetUser',
'iam:GetUserPolicy',
'iam:ListAccessKeys',
'iam:ListAttachedRolePolicies',
'iam:ListAttachedUserPolicies',
'iam:ListMfaDevices',
'iam:ListPolicies',
'iam:ListRolePolicies',
'iam:ListUserPolicies',
'iam:ListVirtualMFADevices',
'iam:PutRolePolicy',
'iam:PutUserPolicy',
'iam:TagMFADevice',
'iam:TagPolicy',
'iam:TagRole',
'iam:TagUser',
'iam:UntagMFADevice',
'iam:UntagPolicy',
'iam:UntagRole',
'iam:UntagUser',
'iam:UpdateAccessKey',
'identitystore:CreateGroupMembership',
'identitystore:DeleteGroupMembership',
'identitystore:IsMemberInGroups',
'identitystore:ListUsers',
'identitystore:ListGroups',
'identitystore:ListGroupMemberships',
],
'Resource': '*',
},
{
'Sid': 'AllowOrgListAccounts',
'Effect': 'Allow',
'Action': 'organizations:ListAccounts',
'Resource': '*',
},
{
'Sid': 'AllowSSOContainment',
'Effect': 'Allow',
'Action':
[
'sso:CreateAccountAssignment',
'sso:DeleteAccountAssignment',
'sso:DeleteInlinePolicyFromPermissionSet',
'sso:GetInlinePolicyForPermissionSet',
'sso:ListAccountAssignments',
'sso:ListInstances',
'sso:ListPermissionSets',
'sso:ListPermissionSetsProvisionedToAccount',
'sso:PutInlinePolicyToPermissionSet',
'sso:TagResource',
'sso:UntagResource',
],
'Resource': '*',
},
{
'Sid': 'AllowSSORead',
'Effect': 'Allow',
'Action': ['sso-directory:SearchUsers', 'sso-directory:DescribeUser'],
'Resource': '*',
},
{
'Sid': 'AllowS3Read',
'Effect': 'Allow',
'Action':
[
's3:GetAccountPublicAccessBlock',
's3:GetBucketAcl',
's3:GetBucketLocation',
's3:GetBucketOwnershipControls',
's3:GetBucketPolicy',
's3:GetBucketPolicyStatus',
's3:GetBucketPublicAccessBlock',
's3:GetBucketTagging',
's3:GetEncryptionConfiguration',
's3:GetObject',
's3:GetObjectAcl',
's3:GetObjectTagging',
's3:GetReplicationConfiguration',
's3:ListBucket',
's3express:GetBucketPolicy',
],
'Resource': '*',
},
{
'Sid': 'AllowS3Write',
'Effect': 'Allow',
'Action':
[
's3:CreateBucket',
's3:DeleteBucketPolicy',
's3:DeleteObjectTagging',
's3:PutAccountPublicAccessBlock',
's3:PutBucketACL',
's3:PutBucketOwnershipControls',
's3:PutBucketPolicy',
's3:PutBucketPublicAccessBlock',
's3:PutBucketTagging',
's3:PutBucketVersioning',
's3:PutObject',
's3:PutObjectAcl',
's3express:CreateSession',
's3express:DeleteBucketPolicy',
's3express:PutBucketPolicy',
],
'Resource': '*',
},
{
'Sid': 'AllowAutoScalingWrite',
'Effect': 'Allow',
'Action':
[
'autoscaling:CreateOrUpdateTags',
'autoscaling:DeleteTags',
'autoscaling:DescribeAutoScalingGroups',
'autoscaling:DescribeAutoScalingInstances',
'autoscaling:DescribeTags',
'autoscaling:EnterStandby',
'autoscaling:ExitStandby',
'autoscaling:UpdateAutoScalingGroup',
],
'Resource': '*',
},
{
'Sid': 'AllowEC2Containment',
'Effect': 'Allow',
'Action':
[
'ec2:AuthorizeSecurityGroupEgress',
'ec2:AuthorizeSecurityGroupIngress',
'ec2:CopyImage',
'ec2:CreateImage',
'ec2:CreateSecurityGroup',
'ec2:CreateSnapshot',
'ec2:CreateTags',
'ec2:DeleteSecurityGroup',
'ec2:DeleteTags',
'ec2:DescribeImages',
'ec2:DescribeInstances',
'ec2:DescribeSecurityGroups',
'ec2:DescribeSnapshots',
'ec2:DescribeTags',
'ec2:ModifyNetworkInterfaceAttribute',
'ec2:RevokeSecurityGroupEgress',
],
'Resource': '*',
},
{
'Sid': 'AllowKMSActions',
'Effect': 'Allow',
'Action':
[
'kms:CreateGrant',
'kms:DescribeKey',
'kms:GenerateDataKeyWithoutPlaintext',
'kms:ReEncryptFrom',
'kms:ReEncryptTo',
],
'Resource': '*',
},
{
'Sid': 'AllowSSMActions',
'Effect': 'Allow',
'Action': ['ssm:DescribeAutomationExecutions'],
'Resource': '*',
},
],
}
```
# 取消会员资格
拥有 AWS 安全事件响应 服务 CancelMembership 权限的角色,可通过控制台、API 或 AWS Command Line Interface取消会员资格。
**重要**
取消会员资格后,您便无法查看历史案例数据。当您取消某个成员资格时,您的成员资格将被立即删除,并且您将不再能够查看有关该成员资格的案例。所有处于 `Active` 或 `ready to close` 状态的资源或调查,都将在成员资格取消时立即终止。
当您取消会员资格时:
您的成员资格将被删除,并且您将不再能够查看有关该成员资格的案例。
**重要**
如果重新订阅服务,系统会创建新的会员资格,原会员资格下的案例资源仅可在取消前下载方可访问。
会员资格取消后,系统会通过电子邮件通知该会员资格事件响应团队的所有人。
**重要**
如果使用委托管理员账户创建会员资格,并通过 AWS Organizations API 删除该账户的委托管理员身份,则相关会员资格会立即终止。