AWS 安全事件响应功能

安全事件响应服务通过 AWS Security Hub 监控和分类来自 Amazon GuardDuty 以及 CrowdStrike Falcon、Trend Micro Cloud One 和 Fortinet Lacework FortiCNAPP 之类第三方工具的安全调查发现。它使用特定于客户的信息，例如已知的 IP 地址和 AWS Identity and Access Management（IAM）实体，根据预期行为筛选调查发现，减少警报量，同时上报需要立即关注的警报。

安全事件响应服务会随着您的环境不断演变，从而融入新的见解以逐步提升其性能。该服务会根据您所在组织特有的活动模式来优化自动分类规则，从而更方便地区分常规操作与潜在风险。随着您的环境不断发展，安全事件响应服务能够更准确、更高效地呈现关键事件。

通过创建个性化的事件响应团队，减少协调内部利益相关者所需的时间。每当有人通过此服务创建案例时，该团队都会立即收到电子邮件通知。向这些团队成员授予必要的权限，以达到控制案例访问和维持最低权限的目的。

通过 Amazon EventBridge 集成，您可以实现事件路由及通知的自动化处理，使其能够发送至第三方平台，如 ServiceNow、Jira、Slack 和 PagerDuty。例如，当安全事件响应主动创建案例时，EventBridge 自动化会触发系统通知利益相关方，这样可以在潜在安全事件期间更快地做出响应。

安全事件响应服务将人工智能驱动的分析与专家监督相结合，检查安全调查发现、日志和异常模式，以确定是否需要上报。 如果确认存在安全事件或需要额外信息，该服务会创建一个案例，并通知您所指定的、作为事件响应团队成员的利益相关方。通过积极参与，该服务能够了解您的环境和预期行为，从而提高警报的准确性，并确保能够迅速应对真正的安全事件。

安全事件响应人工智能代理通过自动化证据收集并最大程序减少沟通延迟，帮助缩短调查时间，从而实现更迅速的响应和恢复。 当您创建案例，或者服务主动创建案例时，调查代理会询问可能的迹象、资源名称以及时间范围，从而根据您的具体需求来制定调查方案。它会自动收集和关联来自多个 AWS 数据来源的证据，例如 AWS CloudTrail、AWS IAM、Amazon EC2 和 AWS Cost Explorer 成本管理服务。随后，它会以清晰、可行的总结形式向您呈现调查发现——所有这些内容均由 AWS 安全专家持续监督，他们会指导您完成整个调查过程。

当您需要专业知识时，AWS CIRT 会在几分钟内响应您的案例。作为安全运营中心（SOC）团队的延伸，无论您的日志配置如何，AWS CIRT 都可以访问相关的日志数据，以便在可能出现的安全事件期间进行调查。AWS CIRT 为您的团队提供针对已确认的安全事件的明确控制或修复步骤。如果需要，您可以授权 AWS CIRT 代表您执行这些操作。

当案例中涉及第三方工具（如 CrowdStrike Falcon、Trend Micro Cloud One 和 Fortinet Lacework FortiCNAPP）的安全调查发现时，AWS CIRT 将直接与这些提供商合作，以结合他们的专业知识，共同制定一个全面的响应方案。这种统一的策略有助于确保您从各提供商的专业知识中获益，而 AWS CIRT 则负责沟通协调工作，从而在整个响应过程中提供清晰且可行的见解。

您可以为安全事件响应服务授予必要的权限，以代表您执行所支持的控制措施，作为对警报的响应。此功能够使安全事件的缓解速度加快，从而最大程度地降低对您环境的潜在影响。