建立自我管理的案例 - AWS 安全事件應變 使用者指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立自我管理的案例

您可以透過 AWS 安全事件應變 主控台、API 或 建立 的自我管理 AWS Command Line Interface。這種類型的案例不會與 AWS 安全事件回應工程師互動。下列範例涵蓋 主控台的使用。

  1. 透過 登入 AWS 安全事件應變 , AWS 管理主控台 網址為 https://https://console.aws.amazon.com/security-ir/

  2. 選擇 Create Case (建立案例)

  3. 選擇 與我自己的事件回應團隊解決案例。

  4. 將開始日期預估設定為事件的最早指標日期。例如,當您第一次遇到異常行為,或收到第一個相關的安全提醒時。

  5. 定義案例的標題。選取 產生標題選項時,建議依建議將資料納入案例標題

  6. 屬於案例一部分的 AWS 帳戶 IDs。若要新增帳戶 ID,請執行下列動作:

    1. 輸入 12 位數的帳戶 ID,然後選擇新增帳戶

    2. 若要移除帳戶,請選擇您要從案例移除的帳戶旁的移除

  7. 提供案例的詳細說明。 

    1. 請考慮下列層面,這些層面可協助事件回應者解決案例:

      1. 發生了什麼?

      2. 誰發現並報告了事件?

      3. 誰會受到案例的影響?

      4. 已知的影響是什麼?

      5. 此案例的緊急程度為何?

  8. 新增選用案例詳細資訊:

    1. 從下拉式清單中選取受影響的主要服務。

    2. 從下拉式清單中選取受影響的主要區域。

    3. 新增您識別為此案例一部分的一或多個威脅執行者 IP 地址。

  9. 將選用的其他事件回應者新增至將接收通知的案例。若要新增個人,請執行下列動作:

    1. 新增電子郵件地址。

    2. 新增選用的名字和姓氏。

    3. 選擇新增以新增另一個個人。

    4. 若要移除個人,請選擇個人的 移除選項。

    5. 選擇新增,將所有列出的個人新增至案例。您可以選取多個個人,然後選擇移除,從清單中將其刪除。

  10. 將選用標籤 新增至案例。若要新增標籤,請執行以下操作:

    1. 選擇 Add new tag (新增標籤)

    2. 針對金鑰,輸入標籤的名稱。

    3. 針對,輸入標籤值。

    4. 若要移除標籤,選擇該標籤的移除選項。

案例建立後,事件回應團隊會收到電子郵件通知。