本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
包含
AWS 安全事件回應會與您合作來包含事件。您可以設定服務在帳戶中採取主動遏制動作,以回應安全調查結果。您也可以使用支援遏制動作中所述的 SSM 文件,自行執行遏制,或與您的第三方關係合作。 https://docs.aws.amazon.com/security-ir/latest/userguide/supported-containment-actions.html
重要
AWS 根據預設,安全事件回應不會啟用遏制功能。
啟用主動遏制功能需要兩個步驟:
-
使用 IAM 角色將必要的許可授予服務。您可以使用 AWS CloudFormation 堆疊集來建立所需的角色,藉此為每個帳戶或整個組織個別建立這些角色。
-
定義每個帳戶或整個組織的遏制偏好設定,以授權主動遏制動作。帳戶層級偏好設定會取代組織層級偏好設定。這可以透過建立 AWS 支援案例來完成 (技術:安全事件回應服務/其他)。可用的遏制偏好設定包括:
-
需要核准 (預設):若未依case-by-case明確授權,請勿主動遏制任何資源。
-
包含已確認:對已確認遭到入侵的資源執行主動遏制。
-
包含可疑:根據 AWS 安全事件回應工程執行的分析,對具有高度可能遭到入侵的資源執行主動遏制。
-
