AWS Security Incident Response – Features
Warum Security Incident Response?
Mit AWS Security Incident Response können Sie sich schneller und effektiver auf Sicherheitsvorfälle vorbereiten, darauf reagieren und sich davon erholen. Der Service kombiniert automatische Überwachung und Hervorhebung von Sicherheitserkenntnissen, KI-gestützte Untersuchungs- und Eingrenzungsfunktionen mit direktem Zugriff auf das AWS Customer Incident Response Team (CIRT) rund um die Uhr.
Themen der Seite
Wichtigste Features
Alles öffnenSecurity Incident Response überwacht und hebt Sicherheitserkenntnisse von Amazon GuardDuty und Drittanbieter-Tools wie CrowdStrike Falcon, Trend Micro Cloud One und Fortinet Lacework FortiCNAPP über AWS Security Hub hervor. Es nutzt kundenspezifische Informationen wie bekannte IP-Adressen und AWS Identity and Access Management (IAM)-Entitäten, um Ergebnisse basierend auf dem erwarteten Verhalten zu filtern. Dadurch wird die Anzahl der Warnmeldungen reduziert, während diejenigen, die sofortige Aufmerksamkeit erfordern, sofort bearbeitet werden.
Security Incident Response entwickelt sich mit Ihrer Umgebung weiter und integriert neue Erkenntnisse, um die Leistung im Laufe der Zeit zu verbessern. Der Service optimiert die Regeln für die automatische Hervorhebung basierend auf den spezifischen Aktivitätsmustern Ihres Unternehmens, wodurch es einfacher wird, Routinevorgänge von potenziellen Risiken zu unterscheiden. Mit Zunahme Ihrer Umgebung erkennt Security Incident Response kritische Ereignisse mit noch größerer Genauigkeit und Effizienz.
Verkürzen Sie die Zeit für die Koordination interner Interessengruppen, indem Sie ein personalisiertes Team für die Reaktion auf Vorfälle zusammenstellen. Dieses Team erhält umgehend eine E-Mail-Benachrichtigung, sobald über den Service ein Fall erstellt wird. Gewähren Sie diesen Teammitgliedern die erforderlichen Berechtigungen, um den Fallzugriff zu kontrollieren und die geringste Berechtigung beizubehalten.
Mit der Amazon-EventBridge-Integration können Sie das Weiterleiten von Ereignissen und Benachrichtigungen an Plattformen von Drittanbietern wie ServiceNow, Jira, Slack und PagerDuty automatisieren. Wenn beispielsweise Security Incident Response proaktiv einen Fall erstellt, kann die EventBridge-Automatisierung Systeme dazu veranlassen, die Interessengruppen zu benachrichtigen. Dadurch wird eine schnellere Reaktion bei potenziellen Sicherheitsvorfällen ermöglicht.
Security Incident Response kombiniert KI-gestützte Analysen mit fachkundiger Überwachung, um Sicherheitserkenntnisse, Protokolle und ungewöhnliche Muster zu untersuchen und festzustellen, ob eine Bearbeitung erforderlich ist. Wenn ein Sicherheitsereignis bestätigt wird oder zusätzliche Informationen erforderlich sind, erstellt der Service einen Fall und benachrichtigt die Interessensbeteiligten, die Sie als Teil Ihres Vorfallsreaktionsteams benannt haben. Durch aktive Interaktion lernt der Service Ihre Umgebung und erwartete Verhaltensweisen kennen, wodurch die Genauigkeit der Warnmeldungen verbessert und eine schnelle Reaktion auf echte Sicherheitsvorfälle gewährleistet wird.
Der KI-Agent von Security Incident Response trägt zur Verkürzung der Untersuchungszeit bei, indem er die Erfassung von Hinweisen automatisiert und Kommunikationsverzögerungen minimiert, wodurch eine schnellere Reaktion und Wiederherstellung ermöglicht wird. Wenn Sie einen Fall erstellen oder der Service proaktiv einen Fall erstellt, fragt der ermittelnde Agent nach möglichen Hinweisen, Ressourcennamen und Zeiträumen und passt die Untersuchung an Ihr spezifisches Anliegen an. Er erfasst und kombiniert automatisch Hinweise aus mehreren AWS-Datenquellen, wie AWS CloudTrail, AWS IAM, Amazon EC2 und AWS Cost Explorer. Anschließend werden Ihnen die Erkenntnisse in übersichtlichen, umsetzbaren Zusammenfassungen präsentiert – alles unter ständiger Aufsicht von AWS-Sicherheitsexperten, die Sie bis zum Abschluss der Untersuchung begleiten.
Wenn Sie spezialisiertes Fachwissen benötigen, reagiert das AWS CIRT innerhalb weniger Minuten auf Ihren Fall. Als Erweiterung Ihres Security Operations Center (SOC)-Teams hat das AWS CIRT Zugriff auf relevante Protokolldaten – unabhängig von Ihren Protokollkonfigurationen – um potenzielle Sicherheitsvorfälle zu untersuchen. Das AWS CIRT stellt Ihrem Team klare Maßnahmen zur Eingrenzung oder Behebung bestätigter Sicherheitsereignisse zur Verfügung. Falls gewünscht, können Sie das AWS CIRT autorisieren, sie in Ihrem Namen durchzuführen.
Wenn Sicherheitserkenntnisse von Drittanbieter-Tools wie CrowdStrike Falcon, Trend Micro Cloud One und Fortinet Lacework FortiCNAPP in einen Fall einfließen, arbeitet das AWS CIRT direkt mit diesen Anbietern zusammen und kombiniert deren Fachwissen, um eine umfassende Reaktion zu erstellen. Dieser einheitliche Ansatz trägt dazu bei, dass Sie vom Fachwissen verschiedener Anbieter profitieren, während das AWS CIRT die Kommunikation und Koordination übernimmt und in jedem Schritt der Reaktion klare, umsetzbare Erkenntnisse liefert.
Sie können Security Incident Response die erforderlichen Berechtigungen gewähren, um unterstützte Eingrenzungsmaßnahmen als Reaktion auf Warnmeldungen in Ihrem Namen durchzuführen. Diese Funktion ermöglicht eine schnellere Behebung von Sicherheitsereignissen und minimiert so die potenziellen Auswirkungen auf Ihre Umgebung.