建立 AWS 支援的案例 - AWS 安全事件應變 使用者指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 AWS 支援的案例

您可以透過 AWS 安全事件應變 主控台、 API 或 建立 AWS 支援的案例 AWS Command Line Interface。 AWS 支援的案例可讓您獲得安全事件回應工程師的支援。

重要

示範/模擬案例會在 90 天後關閉。

注意

AWS 安全事件回應工程師將在 15 分鐘內回應您的案例。回應時間是 AWS 安全事件回應工程師的第一個回應。我們將盡一切合理努力在此時間範圍內回應您的初始請求。此回應時間不適用於後續回應。

注意

您可以建立 AWS 支援的案例,不僅針對作用中的安全事件和調查,也可以針對 AWS 安全事件回應功能進行查詢。這包括有關 GuardDuty 禁止規則、提醒分類組態、主動回應工作流程以及安全狀態一般指導的問題。為這些目的選取調查和查詢案例類型。

下列範例涵蓋 主控台的使用。

  1. AWS 安全事件應變 透過 登入 AWS 管理主控台。

  2. 選擇建立案例

  3. 選擇使用 解決案例 AWS

  4. 選取請求的類型

    1. 作用中安全事件:此類型適用於緊急事件回應支援和服務。

    2. 調查和查詢:將此類型用於感知安全事件,其中 AWS 安全事件回應工程師可以在日誌分析和事件回應調查的次要確認中提供支援。您也可以使用此類型來查詢 GuardDuty 調查結果、禁止規則、提醒分類組態、主動回應工作流程,以及與安全事件回應功能相關的一般 AWS 安全狀態問題。

  5. 將開始日期預估設定為事件的最早指標日期。例如,當您第一次遇到異常行為,或收到第一個相關的安全提醒時。

  6. 定義案例的標題

  7. 提供案例的詳細說明。  請考慮下列層面,這些層面可協助事件回應者解決案例:

    1. 發生了什麼?

    2. 誰發現並報告了事件?

    3. 誰會受到案例的影響?

    4. 已知的影響是什麼?

    5. 此案例的緊急程度為何?

    6. 新增案例範圍內的一或多個 AWS 帳戶 IDs。

  8. 新增選用案例詳細資訊:

    1. 從下拉式清單中選取受影響的主要服務。

    2. 從下拉式清單中選取受影響的主要區域。

    3. 新增您識別為此案例一部分的一或多個威脅執行者 IP 地址。 

  9. 將選用的其他事件回應者新增至將接收通知的案例。若要新增個人,請執行下列動作:

    1. 新增電子郵件地址。

    2. 新增選用的名字和姓氏。

    3. 選擇新增以新增另一個個人。

    4. 若要移除個人,請選擇個人的 移除選項。

    5. 選擇新增,將所有列出的個人新增至案例。

      1. 您可以選取多個個人,然後選擇移除,從清單中將其刪除。

  10. 將選用標籤新增至案例。

    1. 若要新增標籤,請執行以下操作:

    2. 選擇 Add new tag (新增標籤)

    3. 針對金鑰,輸入標籤的名稱。

    4. 針對,輸入標籤值。

    5. 若要移除標籤,選擇該標籤的移除選項。

建立 AWS 支援案例後, AWS 安全事件回應工程師和您的事件回應團隊會立即收到通知。

使用 AI AWS調查建立支援的案例

  1. 在 https://console.aws.amazon.com/ 開啟 AWS 安全事件應變 主控台。

  2. 從導覽窗格中選擇案例

  3. 選擇建立案例

  4. 針對案例類型,選取 AWS支援的案例

  5. 提供案例詳細資訊,包括標題、事件開始日期和受影響的 AWS 帳戶 ID。

  6. 描述安全事件區段中,提供事件的完整描述。

  7. 提供有關受影響 AWS 服務、區域和其他相關詳細資訊的其他資訊。

  8. 選擇建立案例

建立案例後,安全事件回應工程師和 AI 代理程式都會開始同時運作。

回應 AI 釐清問題 (選用)

  1. 導覽至您案例中的調查索引標籤。

  2. 檢閱 AI 代理器提出的任何釐清問題。

  3. 回應問題,或者如果您不想回答,請選擇略過

  4. 選擇提交以繼續。所有欄位都是選擇性的。

負責任的 AI 揭露

使用 AWS 生成式 AI 功能產生調查摘要。您有責任在特定內容中評估 AI 產生的建議、實作適當的監督機制、獨立驗證問題清單,以及維護所有安全決策的人工監督。