定義遏制動作偏好設定 - AWS 安全事件應變 使用者指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

定義遏制動作偏好設定

遏制動作可讓安全事件回應在作用中的安全事件期間執行快速回應措施,例如隔離遭入侵的主機或輪換登入資料。這些動作有助於快速減輕 環境中安全事件的影響。

重要

根據預設,安全事件回應不會啟用遏制功能。您必須透過遏制偏好設定明確授權遏制動作。

若要授權安全事件回應工程師代表您執行遏制動作,您必須定義您的組織或帳戶層級的遏制偏好設定。帳戶層級偏好設定會取代組織層級偏好設定。

先決條件:您必須具有建立 AWS 支援 案例的許可。

限制選項:

  • 需要核准 (預設):若未依case-by-case明確授權,請勿主動遏制任何資源。

  • 包含已確認:對已確認洩露的資源執行主動遏制。

  • 包含可疑:根據 AWS 安全事件應變 工程執行的分析,對具有高度可能遭到入侵的資源執行主動遏制。

若要定義遏制偏好設定:

  1. 建立請求為安全事件回應設定遏制動作偏好設定的 AWS 支援 案例

  2. 在您的支援案例中,指定:

    • 您的 AWS Organizations ID 或應授權遏制動作的特定帳戶 IDs

    • 您偏好的遏制選項 (無遏制、核准遏制或自動遏制)

    • 您想要授權的遏制動作類型 (例如 EC2 執行個體隔離、登入資料輪換或安全群組修改)

  3. AWS 支援 會與您一起設定您的遏制偏好設定。您必須部署必要的 AWS CloudFormation StackSet,以建立所需的 IAM 角色。如有需要, AWS 支援 可以提供協助。

設定後,安全事件回應會在作用中安全事件期間執行授權的遏制動作,以協助保護您的環境。

後續步驟:設定遏制偏好設定後,您可以在安全事件回應主控台中監控事件期間採取的遏制動作。