Funzionalità di AWS Security Incident Response

Security Incident Response monitora e valuta i risultati di sicurezza di Amazon GuardDuty e di strumenti di terze parti come CrowdStrike Falcon, Trend Micro Cloud One e Fortinet Lacework FortiCNAPP tramite AWS Security Hub. Utilizza informazioni specifiche del cliente, come indirizzi IP noti ed entità AWS Identity and Access Management (IAM), per filtrare i risultati in base al comportamento previsto, riducendo il volume degli avvisi e aumentando quelli che richiedono attenzione immediata.

Security Incident Response si evolve con il tuo ambiente, incorporando nuove informazioni per migliorare le prestazioni nel tempo. Il servizio perfeziona le regole di triage automatico in base ai modelli di attività unici dell'organizzazione, rendendo più facile distinguere le operazioni di routine dai potenziali rischi. Man mano che l'ambiente cresce, Security Incident Response evidenzia gli eventi critici con una precisione ed efficacia ancora maggiori.

Riduci il tempo necessario per coordinare le parti interessate creando un team di risposta agli incidenti personalizzato. Questo team riceve una notifica e-mail immediata ogni volta che viene creato un caso tramite l'assistenza. Concedi a questi membri del team le autorizzazioni necessarie per controllare l'accesso ai casi e mantenere il privilegio minimo.

Con l'integrazione di Amazon EventBridge, puoi automatizzare il routing degli eventi e le notifiche su piattaforme di terze parti, come ServiceNow, Jira, Slack e PagerDuty. Ad esempio, quando Security Incident Response crea un caso in modo proattivo, l'automazione di EventBridge può attivare i sistemi per notificare le parti interessate, consentendo una risposta più rapida durante potenziali eventi di sicurezza.

Security Incident Response combina l'analisi basata sull'intelligenza artificiale con la supervisione di esperti per esaminare i risultati della sicurezza, i log e i modelli anomali per determinare se è necessaria un'escalation. Se un evento di sicurezza viene confermato o sono necessarie informazioni aggiuntive, il servizio crea un caso e ne informa le parti interessate che hai designato come parte del tuo team di risposta agli incidenti. Attraverso un coinvolgimento attivo, il servizio apprende l'ambiente e i comportamenti previsti, migliorando la precisione degli avvisi e garantendo una risposta rapida a eventi di sicurezza reali.

L'agente IA di Security Incident Response aiuta a ridurre i tempi di indagine automatizzando la raccolta delle prove e minimizzando i ritardi nelle comunicazioni, consentendo una risposta e un ripristino più rapidi. Quando si crea un caso o il servizio ne crea uno in modo proattivo, l'agente investigativo chiede informazioni su potenziali indicatori, nomi delle risorse e tempistiche, adattando l'indagine al problema specifico. Raccoglie e correla automaticamente le prove su più origini dati AWS, come AWS CloudTrail, AWS IAM, Amazon EC2 e AWS Cost Explorer. Quindi presenta i risultati in riepiloghi chiari e utilizzabili, il tutto con la supervisione continua degli esperti di sicurezza di AWS che ti guidano dall'indagine al completamento.

Quando hai bisogno di competenze specialistiche, AWS CIRT risponde al tuo caso in pochi minuti. Agendo come un'estensione del team del tuo centro operativo di sicurezza (SOC), AWS CIRT ha accesso ai dati di log pertinenti, indipendentemente dalle configurazioni dei log, per le indagini durante potenziali eventi di sicurezza. L'AWS CIRT fornisce al tuo team chiare procedure di contenimento o riparazione per eventi di sicurezza confermati. Se lo desideri, puoi autorizzare AWS CIRT a eseguirli per tuo conto.

Quando i risultati di sicurezza di strumenti di terze parti come CrowdStrike Falcon, Trend Micro Cloud One e Fortinet Lacework FortiCNAPP sono coinvolti in un caso, l'AWS CIRT collabora direttamente con questi fornitori, combinando le loro competenze per creare una risposta completa. Questo approccio unificato ti aiuta a trarre vantaggio dalle conoscenze specialistiche di tutti i fornitori, mentre AWS CIRT gestisce la comunicazione e il coordinamento, fornendo informazioni chiare e fruibili in ogni fase della risposta.

Puoi concedere a Security Incident Response le autorizzazioni necessarie per eseguire azioni di contenimento supportate come risposta agli avvisi per tuo conto. Questa funzionalità consente una mitigazione più rapida degli eventi di sicurezza, riducendo al minimo il potenziale impatto sull'ambiente.