Amazon Web Services ブログ

新しい AWS セキュリティ インシデント対応は、組織がセキュリティ イベントに対応し、そこから回復するのに役立ちます

12 月 1 日、AWS Security Incident Responseを発表しました。これは、企業がセキュリティイベントを迅速かつ効果的に管理できるように設計された新しいサービスです。このサービスは、お客様がアカウントの乗っ取り、データ侵害、ランサムウェア攻撃など、さまざまなセキュリティイベントに備え、対応し、復旧できるようにすることを目的としています。

セキュリティ インシデント対応は、Amazon GuardDuty と、AWS Security Hub を介した統合されたサードパーティの脅威検出ツールからのセキュリティ検出結果のトリアージと調査を自動化します。コミュニケーションと調整が容易になり、セキュリティイベント中に支援できる AWS カスタマーインシデント対応チーム (CIRT) のセキュリティ専門家に 24 時間 365 日連絡できます。このサービスは、準備から検出、分析、復旧まで、インシデント対応ライフサイクルの各段階にわたって、より包括的なサポートをお客様に提供することを目的としています。

セキュリティイベントは、お客様にとってますます広範囲に及び、複雑になっています。セキュリティチームは毎日、膨大な数のアラートに直面することが多く、リソースの優先順位が間違っていたり、効果が低下したりする可能性があります。検出結果を手動で調査すると、リソースに負担がかかり、顧客が重要なセキュリティアラートを見落とす可能性があります。さらに、複数の利害関係者による対応の調整、さまざまな環境での権限の管理、およびアクションの文書化は、プロセスを複雑にします。お客様へのサポートを強化し、セキュリティイベント中にお客様が直面する、差別化されていないさまざまな面倒な点を取り除く機会があります。

主な機能

AWS Security Incident Response は、お客様がセキュリティイベントに効果的に備え、対応し、復旧できるよう支援する 3 つの主要機能を通じてこれらの課題に対処します:

  1. セキュリティ インシデント対応では、セキュリティ ハブを介して GuardDuty のセキュリティ検出結果とサポートされているサードパーティ ツールを自動的に優先順位付けし、即時対応が必要な優先度の高いインシデントを特定します。このサービスは、自動化とお客様固有の情報を使用して、予想される行動に基づいてセキュリティ検出結果をフィルタリングおよび抑制し、チームが重要なセキュリティアラートに集中できるようにします。
  2. このサービスは、事前設定された通知ルールと権限設定を提供することで、インシデント対応を簡素化します。これらの設定は、サードパーティのセキュリティプロバイダーを含む社内外の利害関係者に適用できます。お客様は、メッセージング、安全なデータ転送、ビデオ会議のスケジュール設定などの統合機能を備えた集中コンソールにアクセスでき、すべてサービス API または AWS マネジメントコンソールからアクセスできます。その他の機能には、ケース履歴の自動追跡とレポート機能があり、セキュリティチームは修復と復旧作業に集中できます。
  3. お客様は、セルフサービスの調査ツールと AWS CIRT による年中無休のサポートを利用できます。また、お客様はインシデントを個別に処理することも、サードパーティのセキュリティベンダーと相互運用することもできます。これらのオプションにより、お客様は特定のニーズと要件に基づいてインシデント対応を選択、管理、実施できます。

コア機能に加えて、お客様は、セキュリティインシデント対応のパフォーマンスを長期的に測定、監視、および改善するのに役立つメトリックを備えたサービスダッシュボードの恩恵を受けます。これらの指標には、平均解決時間 (MTTR)、特定期間内のアクティブなケースとクローズされたケースの数、トリアージされた検出結果の数、およびその他の主要業績評価指標が含まれます。お客様は、情報を照合したり、1 回限りのレポートを作成したりしなくても、これらの指標にすぐにアクセスできます。

開始方法

オンボーディングプロセスはいくつかのステップで完了できます。セキュリティインシデントレスポンスは AWS Organizations と統合され、セキュリティレイヤーを追加して、現在および将来のアカウントに包括的なセキュリティを提供します。お客様はまず、組織内の中央アカウントを選択します。このアカウントでは、すべてのアクティブおよび過去のセキュリティイベントを作成および管理できます。

次に、お客様はプロアクティブなインシデント対応機能を有効にできます。これにより、セキュリティ インシデント対応がセキュリティ ハブを通じて GuardDuty やサードパーティの検出ツールからの検出結果を監視および調査できるようにするサービス レベルの権限が作成されます。これらの検出結果は、サービス自動化と、一般的な IP アドレス、AWS ID およびアクセス管理 (IAM) プリンシパル、その他の関連属性を含む顧客固有のデータを使用して自動的に並べ替えられ、修復されます。自動的に修復できない検出結果については、セキュリティ インシデント対応部門がセキュリティ ケースを作成し、お客様の組織内の適切な関係者に通知します。

お客様は、特定の IAM ロールをデプロイすることで、コンテインメントアクションを実行するサービスの権限を設定することもできます。これらのセキュリティインシデント対応抑制機能を使用することで、お客様はインシデント対応時間を短縮し、セキュリティイベントがアカウントやリソースに与える影響を最小限に抑えることができます。

空き状況と使用開始

AWS セキュリティインシデントレスポンスは現在、米国東部 (バージニア北部、オハイオ)、米国西部 (オレゴン)、アジアパシフィック (ソウル、シンガポール、シドニー、東京)、カナダ (中部)、ヨーロッパ (フランクフルト、アイルランド、ロンドン、ストックホルム) の 12 の AWS リージョンでご利用いただけます。

AWS セキュリティインシデントレスポンスの詳細については、製品ページをご覧ください。

Betty

原文はこちらです。