Fitur Respons Insiden Keamanan AWS

Respons Insiden Keamanan memantau dan melakukan triase temuan keamanan dari Amazon GuardDuty serta alat pihak ketiga, seperti CrowdStrike Falcon, Trend Micro Cloud One, dan Fortinet Lacework FortiCNAPP melalui AWS Security Hub. Respons Insiden Keamanan menggunakan informasi khusus pelanggan, seperti alamat IP yang diketahui dan entitas AWS Identity and Access Management (IAM), untuk memfilter temuan berdasarkan perilaku yang diperkirakan, yang mengurangi volume peringatan sambil mengeskalasi peringatan yang memerlukan perhatian cepat.

Respons Insiden Keamanan berkembang seiring dengan lingkungan Anda, menggabungkan wawasan baru untuk meningkatkan performa dari waktu ke waktu. Layanan tersebut menyempurnakan aturan triase otomatis berdasarkan pola aktivitas unik organisasi Anda, sehingga memudahkan untuk membedakan operasi rutin dari potensi risiko. Seiring pertumbuhan lingkungan Anda, Respons Insiden Keamanan menampilkan peristiwa penting dengan akurasi dan efektivitas yang lebih tinggi.

Persingkat waktu untuk berkoordinasi dengan pemangku kepentingan internal dengan membuat tim respons insiden yang dipersonalisasi. Tim ini langsung menerima notifikasi email setiap kali kasus dibuat melalui layanan tersebut. Berikan izin yang diperlukan untuk mengontrol akses kasus dan mempertahankan hak akses paling rendah kepada anggota tim ini.

Dengan integrasi Amazon EventBridge, Anda dapat mengotomatiskan perutean peristiwa dan notifikasi ke platform pihak ketiga, seperti ServiceNow, Jira, Slack, dan PagerDuty. Misalnya, ketika Respons Insiden Keamanan secara proaktif membuat kasus, otomatisasi EventBridge dapat memicu sistem untuk memberi tahu para pemangku kepentingan, sehingga memungkinkan respons yang lebih cepat selama adanya potensi peristiwa keamanan.

Respons Insiden Keamanan menggabungkan analisis berbasis AI dengan pengawasan ahli untuk menilai temuan keamanan, log, dan pola anomali untuk menentukan apakah eskalasi diperlukan. Jika peristiwa keamanan dikonfirmasi atau informasi tambahan diperlukan, layanan tersebut membuat kasus dan memberi tahu para pemangku kepentingan yang telah Anda tunjuk sebagai bagian dari tim respons insiden. Melalui keterlibatan aktif, layanan tersebut mempelajari lingkungan Anda dan perilaku yang diperkirakan, sehingga meningkatkan akurasi peringatan serta memastikan respons cepat terhadap peristiwa keamanan yang benar-benar terjadi.

Agen AI Respons Insiden Keamanan membantu mengurangi waktu investigasi dengan mengotomatiskan pengumpulan bukti dan meminimalkan penundaan komunikasi, sehingga memungkinkan respons serta pemulihan yang lebih cepat. Ketika Anda membuat kasus atau layanan secara proaktif membuat kasus, agen investigasi bertanya tentang potensi indikator, nama sumber daya, dan kerangka waktu, yang menyesuaikan investigasi dengan perhatian khusus Anda. Agen investigasi secara otomatis mengumpulkan dan menghubungkan bukti di banyak sumber data AWS, seperti AWS CloudTrail, AWS IAM, Amazon EC2, dan AWS Cost Explorer. Kemudian agen investigasi menyajikan temuan kepada Anda dalam ringkasan yang jelas dan dapat ditindaklanjut—semuanya dengan pengawasan berkelanjutan dari ahli keamanan AWS yang memandu Anda selama investigasi hingga penyelesaian.

Saat Anda membutuhkan keahlian khusus, CIRT AWS merespons kasus dalam hitungan menit. Bertindak sebagai perpanjangan dari tim pusat operasi keamanan (SOC), CIRT AWS memiliki akses ke data log yang relevan—terlepas dari konfigurasi log—untuk investigasi selama adanya potensi peristiwa keamanan. CIRT AWS memberi tim Anda langkah-langkah penahanan atau remediasi yang jelas untuk peristiwa keamanan yang dikonfirmasi. Jika diinginkan, Anda dapat mengotorisasi CIRT AWS untuk melakukan langkah-langkah tersebut atas nama Anda.

Ketika temuan keamanan dari alat pihak ketiga seperti CrowdStrike Falcon, Trend Micro Cloud One, dan Fortinet Lacework FortiCNAPP terlibat dalam suatu kasus, CIRT AWS bekerja langsung dengan penyedia ini, menggabungkan keahlian mereka untuk menciptakan satu respons komprehensif. Pendekatan terpadu ini membantu memastikan Anda mendapatkan keuntungan dari pengetahuan khusus di seluruh penyedia, sementara CIRT AWS mengelola komunikasi dan koordinasi, yang memberikan wawasan yang jelas serta dapat ditindaklanjuti di setiap langkah respons.

Anda dapat memberikan Respons Insiden Keamanan izin yang diperlukan untuk melakukan tindakan penahanan yang didukung sebagai respons terhadap peringatan atas nama Anda. Kemampuan ini memungkinkan mitigasi peristiwa keamanan yang lebih cepat, sehingga meminimalkan potensi dampak terhadap lingkungan Anda.