本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
步驟 1:啟用 AWS 安全事件應變
加入程序每個 AWS 組織大約需要 10 到 15 分鐘。如需逐步解說,請參閱服務文件中的入門影片。
注意
本節中的指示概述了如何使用 AWS 安全事件應變 主控台啟用安全事件回應和設定您的團隊 (步驟 1 和步驟 2)。您也可以使用 API/CLI 執行這些步驟。如需使用 API/CLI 的說明,請參閱 啟用安全事件回應,並使用 API/CLI 設定您的事件回應團隊。
AWS 安全事件應變 使用 AWS 安全事件應變 主控台啟用
-
使用您的 AWS 管理帳戶登入 管理主控台。
-
開啟 AWS 安全事件應變 主控台,然後選擇註冊。
-
設定您的中央成員資格帳戶。如需指引,請參閱 AWS 規範指引中的安全參考架構考量事項和建議,以及委派安全事件回應管理員帳戶的運作方式。
-
登入委派管理員帳戶。
-
輸入您的成員資格詳細資訊並關聯相關帳戶。
-
針對帳戶範圍,選擇 AWS 安全事件應變 為整個 AWS 組織或特定 OUs 啟用 。您可以在 OU 層級選取涵蓋範圍,但無法在個別帳戶層級選取涵蓋範圍。
-
主動回應預設為開啟,並建立服務連結角色,允許安全事件回應工程在偵測到威脅時擷取 GuardDuty 調查結果和開放主動調查案例。如需詳細資訊,請參閱主動回應。
AWS 安全事件應變 會自動在您的 AWS Organizations 管理帳戶和範圍內的所有帳戶中建立
AWSServiceRoleForSecurityIncidentResponse_Triage服務連結角色。 -
(選用) 選擇預先授權安全事件回應工程,以在作用中事件期間代表您執行遏制動作。支援的遏制動作包括遭入侵的 S3 儲存貯體、EC2 執行個體和 IAM 主體的 Runbook。如果您略過此步驟,安全事件回應工程將在調查期間提供手動指導。如需詳細資訊,請參閱包含動作。
-
檢閱服務許可和加入組態,然後選擇註冊。
