View a markdown version of this page

文件歷史記錄 - AWS 安全事件應變 使用者指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

文件歷史記錄

下表說明 2026 年 1 月 1 日起 AWS 安全事件回應文件的重要新增項目。如需有關此文件更新的通知,您可以訂閱 RSS 摘要。

變更描述日期

修訂遏制文件

將遏制頁面與支援的遏制動作、遏制決策、策略開發、階段式遏制方法,以及遏制與事件生命週期的相關性的更新描述合併。

2026 年 6 月 26 日

已將部署遏制和 EC2 Triage 角色新增至加入指南

將 AWS CloudFormation StackSets 文件移動和重寫為新的加入步驟。新增建立step-by-step程序,並使用 EC2 Triage 選項更新僅遏制和遏制的範本描述。 StackSet

2026 年 6 月 26 日

在啟用期間新增委派管理員的 IAM 許可需求

新增先決條件,指定用於登入委派管理員帳戶的 IAM 主體必須具有AdministratorAccess許可。在啟用程序的登入步驟中新增備註,釐清許可不足會導致步驟失敗。

2026 年 6 月 19 日

新增取消成員資格的服務連結角色清除指引

新增重要注意事項,說明在取消成員資格後不會自動刪除 AWSServiceRoleForSecurityIncidentResponseAWSServiceRoleForSecurityIncidentResponse_Triage和服務連結角色。您必須從範圍內的所有帳戶手動刪除這些角色。

2026 年 6 月 17 日

已將事件後報告重新命名為每月報告

將事件後報告區段重新命名為每月報告。更新章節,說明報告會傳送給事件回應團隊的所有聯絡人,包括交付時間,並記錄電子郵件主旨行格式。

2026 年 5 月 13 日

更新加入文件

已更新啟用 AWS 安全事件回應主題,以釐清 AWS 安全事件回應在使用主控台時,會自動在 AWS Organizations 管理帳戶中建立AWSServiceRoleForSecurityIncidentResponse_Triage服務連結角色。新增使用 API/CLI 啟用安全事件回應的說明連結。

2026 年 5 月 7 日

新增使用 API/CLI 主題啟用安全事件回應

新增了使用委派管理員註冊和管理帳戶註冊方法啟用 AWS 安全事件回應step-by-step CLI 說明主題。

2026 年 5 月 7 日

釐清 Amazon GuardDuty 和第三方調查結果的主動回應要求

釐清 Amazon GuardDuty 不需要使用主動回應。 AWS 安全事件回應也可以使用 Security Hub CSPM 整合來監控和調查來自第三方威脅偵測工具的威脅警示。更新章節以準確描述偵測服務需求,以及設定問題清單擷取的值。

2026 年 5 月 5 日

新增 EC2 Triage 支援的作業系統

新增 EC2 Triage 功能的支援作業系統清單,包括 Linux 發行版本 (Amazon Linux 2、Amazon Linux 2023、Ubuntu、RHEL、CentOS、SLES 和 Debian) 和 Windows Server 版本。

2026 年 4 月 29 日

更新 的政策描述 AWSSecurityIncidentResponseReadOnlyAccess

已更新政策以新增security-ir:ListInvestigations動作。

2026 年 4 月 22 日

更新 的政策描述 AWSSecurityIncidentResponseFullAccess

更新政策以新增 AWS Organizations 許可和移除 MFA 條件。

2026 年 4 月 22 日

更新 的政策描述 AWSSecurityIncidentResponseCaseFullAccess

更新政策以新增 security-ir:ListInvestigationssecurity-ir:SendFeedback動作,並移除 MFA 條件。

2026 年 4 月 22 日

AWS 安全事件回應的 EC2 分類功能

新增 EC2 Triage 功能,可讓 AWS 安全事件回應在安全調查期間,使用 AWS Systems Manager Run Command 從 Amazon Elastic Compute Cloud 執行個體收集調查資訊。已更新偵測和分析頁面,以記錄 EC2 Triage 先決條件和功能。

2026 年 4 月 20 日

AWS 安全事件回應的 EC2 分類功能

已更新 CloudFormation StackSets 文件,提供兩種範本選項:僅限限制和 EC2 Triage 限制。包含 EC2 Triage 範本包含從 Amazon EC2 執行個體進行調查資料收集的額外許可。

2026 年 4 月 20 日

受管制客戶的資料收集、區域行為和合規指引

新增了有關資料收集和使用、資料駐留和區域行為,以及資料存取和許可的新章節。已擴展合規驗證章節,為受監管產業的客戶提供共同責任和中繼資料分類指引。

2026 年 4 月 17 日

更新加入指南

以新的step-by-step結構更新了入門指南,包括事件回應團隊、案例類型和工具整合的準備步驟、先決條件和簡化的組態工作流程。

2026 年 4 月 7 日

更新 AWS 安全事件回應分類服務角色政策的政策描述

更新 AWS 安全事件回應分類服務角色政策的政策描述,以反映允許服務改善服務調校並收集資訊以調查潛在事件的變更。

2026 年 3 月 27 日

提交中繼資料

新增透過 AWS 支援 案例提交中繼資料的指示。

2026 年 3 月 27 日

提交遏制偏好設定

新增透過 AWS 支援 案例提交遏制偏好設定的指示。

2026 年 3 月 27 日

遏制 StackSet 範本

已更新遏制 StackSet CloudFormation 範本。

2026 年 3 月 27 日

已釐清委派管理員帳戶的 AWS 區域 考量事項

釐清當您在初始設定 AWS 區域 期間在一個 中指定委派 AWS 的安全事件回應管理員帳戶時,此服務會提供所有支援的全組織涵蓋範圍 AWS 區域。

2026 年 3 月 20 日

定義遏制動作偏好設定

已更新遏制動作偏好設定區段,以符合目前的選項。

2026 年 3 月 19 日

主動回應和警示分類

移除主動回應和警示分類工作流程的參考為選用。

2026 年 3 月 3 日

回應時間軸

更新回應時間表,指定案例確認的 15 分鐘 SLO,以及案例關閉前的客戶回應的 5 個工作天。

2026 年 2 月 24 日

通訊最佳實務

更新案例關閉時間表,以指定 5 個工作天供客戶回應重要資訊請求。

2026 年 2 月 24 日

AWS CLI 使用 與安全事件回應互動中新增的參考 AWS CloudShell

新增 AWS 安全事件回應 AWS Command Line Interface 參考的連結。

2026 年 2 月 24 日

RACI 矩陣

RACI 矩陣中的「授權 CIRT 遏制動作」已更新為「授權遏制動作」。

2026 年 2 月 13 日

限制偏好設定

將「無遏制動作」、「包含核准」和「自動遏制」的遏制偏好設定選項更新為「核准必要」、「包含已確認」和「包含可疑」,其中包含修訂後的描述。

2026 年 2 月 13 日

部署後安全事件回應

新增 AWS 安全事件回應的連結:新整合和 OU 層級訂閱示範。

2026 年 2 月 4 日

監控和調查

在此頁面的簡介和子章節中新增修訂內容。

2026 年 2 月 4 日

偵測和分析

在此頁面的簡介和子章節中新增修訂內容。

2026 年 2 月 4 日

包含

已將修訂後的內容新增至此頁面。

2026 年 2 月 4 日

AI 調查代理程式

已將客戶資料免責聲明的使用新增至此頁面。免責聲明:AI 調查客服人員不會使用客戶資料進行模型訓練,也不會與第三方共用客戶資料。

2026 年 2 月 4 日

舊版更新
    變更 描述 日期

    取消成員資格

    更新取消成員資格頁面,指出成員資格和服務將在取消後立即結束,而不是在計費週期結束時結束。

    2025 年 11 月 20 日

    AWS 受管政策

    新增更新案例、建立案例評論、列出案例、列出案例評論至服務提供的動作清單。

    2025 年 11 月 19 日

    使用服務連結角色

    新增更新案例、建立案例評論、列出案例、列出案例評論至服務提供的動作清單。

    2025 年 11 月 19 日

    通訊偏好設定

    新功能文件建立並更新了新增通訊偏好設定區段。

    2025 年 11 月 12 日

    加入指南新增和更新

    已建立和更新新增的入門指南,包括下列各節

    新增啟用安全事件回應區段。

    新增授權安全事件回應工程師以執行威脅遏制動作一節。

    新增部署後安全事件回應章節。

    新增更新事件回應團隊區段。

    新增 GuardDuty 調查結果和隱藏規則區段。

    新增 Amazon EventBridge 區段。

    新增整合和外部工具工作流程區段。

    已新增外部工具工作流程區段。

    新增附錄 A:聯絡點區段。

    2025 年 11 月 12 日

    合規和帳單語言更新

    已更新已移除陳述式,指出 AWS 安全事件回應未涵蓋在任何架構下。 AWS 安全事件回應現在涵蓋在 HITRUST 下,未來將出現更多事件。

    更新可行性和控制,以新增 AWS 安全事件回應

    更新取消成員資格以釐清服務計費期間。

    新增影片至入門,為開始使用 AWS 安全事件回應的一般任務提供額外的內容。

    2025 年 8 月 15 日

    已更新 – AWSSecurityIncidentResponseServiceRolePolicy

    此政策現在包含兩個適用於 的新動作"organizations:DescribeAccount""organizations:ListDelegatedAdministrators"以及新條件:

    "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } }
    待定

    功能更新:訂閱特定的組織單位 OUs) 或整個 AWS 組織

    使用者介面中的說明面板已更新,以反映訂閱特定組織單位 (OUs) 或整個 AWS 組織的更新。

    使用組織單位 (OUs管理成員資格建立新頁面

    與 相關的頁面 AWS Organizations 已更新,以反映新的 OU 管理功能。

    2025 年 8 月 7 日

    更新的服務配額

    已更新 Service Quotas 頁面,以引導使用者前往AWS 安全事件回應端點和配額 AWS 的一般參考指南

    2025 年 8 月 7 日

    使用者意見回饋更新

    新增服務至AWS 安全事件回應案例的超連結

    更新以反映 安全技術指南中的電腦安全事件處理指南 SP 800-61 r3

    2025 年 8 月 7 日
    新增 Amazon EventBridge 與 AWS 安全事件回應整合的頁面。

    說明 Amazon EventBridge 如何在 AWS 安全事件回應中建構的新內容區段。

    2025 年 6 月 26 日
    更新 SLR 新增許可以支援服務權利。

    AWSSecurityIncidentResponseTriageServiceRolePolicy 已更新,以新增 security-ir:GetMembership、 security-ir:ListMemberships、 security-ir:UpdateCase、guardduty:ListFilters、guarduty:UpdateFilter、guardduty:DeleteFilter 和 guardduty:GetAdministratorAccount 許可。已新增 guardduty:GetAdministratorAccount,以協助管理委派帳戶中的 GuardDuty Auto-Archival 篩選條件。

    2025 年 6 月 2 日
    資源更新。

    更新 https://docs.aws.amazon.com/security-ir/latest/userguide/appendix-b-incident-response-resources.html#playbook-resources://。

    2025 年 5 月 23 日
    服務支援日文語言。

    更新支援的組態,以識別日本當地時間的日文語言支援。全球支援英文。

    2025 年 5 月 13 日
    內容更新和客戶意見回饋。

    新增備註至 https://docs.aws.amazon.com/security-ir/latest/userguide/select-a-membership-account.html://。

    更新了使用服務產生的案例偵測和分析時的客戶體驗。

    更新帳戶取消詳細資訊,以更清楚說明取消會員資格的帳單影響。

    2025 年 5 月 9 日
    新增三個新的支援區域。

    將三個新區域新增至 https://docs.aws.amazon.com/security-ir/latest/userguide/supported-configs.html。孟買、巴黎和聖保羅。

    2025 年 5 月 7 日
    已更新:來自客戶對文件的評論的更新。

    多個頁面上的拼寫和文法錯誤正確。

    已更新 https://docs.aws.amazon.com/en_us/security-ir/latest/userguide/organizations_permissions.html,以準確反映 security-ir 做為服務字首。

    已將 Route53 和 DNS 的相關備註新增至 https://docs.aws.amazon.com/security-ir/latest/userguide/source-containment.html。

    2025 年 2 月 7 日
    已更新:來自客戶對文件的評論的更新。

    將 https://docs.aws.amazon.com/security-ir/latest/userguide/setup-monitoring-and-investigation-workflows.html 更新為堆疊集範本。

    已將項目 triage.security-ir.com 更正為 triage.security-ir.amazonaws.com

    在 https://docs.aws.amazon.com/security-ir/latest/userguide/contain.html:// 新增 AWSSupport-ContainEC2Reversible 的追蹤連線備註。

    已修正 https://https://docs.aws.amazon.com/security-ir/latest/userguide/managing-associated-accounts.html 上的中斷連結。

    在 https://https://docs.aws.amazon.com/security-ir/latest/userguide/select-a-membership-account.html 新增成員資格帳戶的定義。

    在 https://docs.aws.amazon.com/en_us/security-ir/latest/userguide/using-service-linked-roles.html 中新增管理 AWS Organizations 帳戶的澄清說明。

    2024 年 12 月 20 日
    已更新:來自客戶對文件的評論的更新。

    移除文字 AWS AWS 中的多個重複項目。

    修正 https://docs.aws.amazon.com/security-ir/latest/userguide/sir_tagging.html 和 https://docs.aws.amazon.com/security-ir/latest/userguide/service-name-info-in-cloudtrail.html 上的中斷連結。

    https://docs.aws.amazon.com/security-ir/latest/userguide/contain.html 的更新。從第一個段落移除 >。將 AWSSupport-ContainEC2Reversible為 AWSSupport-ContainEC2Instance。將 AWSSupport-ContainIAMReversible為 AWSSupport-ContainIAMPrincipal。將 AWSSupport-ContainS3Reversible為 AWSSupport-ContainS3Resource。

    https://docs.aws.amazon.com/en_us/security-ir/latest/userguide/issues.html 上的更新格式

    告知客戶透過支援票證聯絡安全事件回應時,https://https://docs.aws.amazon.com/security-ir/latest/userguide/understand-response-teams-and-support.html 現在提供在支援表單中選取的選項。

    移除 CloudWatch Events,並取代為 https://https://docs.aws.amazon.com/security-ir/latest/userguide/logging-and-events.html 上的 EventBridge。

    https://https://docs.aws.amazon.com/security-ir/latest/userguide/technique-access-containment.html 上的文法更新。

    從 https://docs.aws.amazon.com/security-ir/latest/userguide/security-incident-response-guide.html 移除發佈日期,並以此表格中的更新取代。

    2024 年 12 月 10 日
    已更新: AWS 受管政策和服務連結角色。 受管政策和服務連結角色的更新。 2024 年 12 月 1 日
    服務啟動 在 re:Invent 2024 啟動服務的初始服務文件 2024 年 12 月 1 日