AWS Security Incident Response の機能
AWS Security Incident Response を使用すべき理由
AWS Security Incident Response は、セキュリティイベントに対する準備、セキュリティイベントへの準備、対応、および復旧を、より迅速かつ効果的に支援します。 このサービスでは、自動化されたセキュリティ検出結果の監視とトリアージ、AI 駆動型の調査、封じ込め機能を統合し、AWS カスタマーインシデントレスポンスチーム(CIRT)への 24 時間年中無休の直接アクセスを提供します。
ページトピック
主な特徴
すべて開くSecurity Incident Response は、Amazon GuardDuty と、CrowdStrike Falcon、Trend Micro Cloud One、Fortinet Lacework FortiCNAPP などのサードパーティーツールからのセキュリティ検出結果を AWS Security Hub を通じて監視および優先順位付けします。既知の IP アドレスや AWS Identity and Access Management (IAM) エンティティなどのお客様固有の情報を使用して、予想される動作に基づいて検出結果をフィルタリングし、アラートの量を減らしながら、緊急の対応が必要なものをエスカレートします。
Security Incident Response は環境に合わせて進化し、新しいインサイトを取り入れて時間の経過とともにパフォーマンスを向上させます。このサービスでは、組織固有のアクティビティパターンに基づいて自動トリアージルールを絞り込むため、日常的な運用と潜在的なリスクを簡単に区別できます。環境が拡大するにつれて、Security Incident Response は重大なイベントをさらに正確かつ効果的に明らかにします。
パーソナライズされたインシデント対応チームを結成することで、社内関係者の調整にかかる時間を短縮できます。このチームには、サービスを通じてケースが作成されるたびに、すぐに E メール通知が届きます。このチームメンバーに、ケースへのアクセスを制御し、最小特権を維持するために必要な権限を付与します。
Amazon EventBridge との統合により、ServiceNow、Jira、Slack、PagerDuty などのサードパーティープラットフォームへのイベントのルーティングと通知を自動化できます。例えば、Security Incident Response が事前にケースを作成すると、EventBridge オートメーションによってシステムが起動して利害関係者に通知できるため、潜在的なセキュリティイベントの発生時に迅速に対応できます。
Security Incident Response は、AI 主導の分析と専門家による監視を組み合わせて、セキュリティ上の検出結果、ログ、異常パターンを調べ、エスカレーションが必要かどうかを判断します。 セキュリティイベントが確認されたり、追加情報が必要になったりした場合、サービスはケースを作成し、インシデント対応チームの一員として指定した利害関係者に通知します。このサービスは、積極的なエンゲージメントを通じて、お客様の環境と予想される行動を学習し、アラートの精度を向上させ、本物のセキュリティイベントに迅速に対応できるようにします。
Security Incident Response AI エージェントは、証拠収集を自動化し、コミュニケーションの遅延を最小限に抑えることで調査時間を短縮し、より迅速な対応と復旧を可能にします。 ケースを作成したり、サービスが事前にケースを作成したりすると、調査エージェントが潜在的な指標、リソース名、時間枠について質問し、特定の懸念事項に合わせて調査を調整します。AWS CloudTrail、AWS IAM、Amazon EC2、AWS Cost Explorer など、複数の AWS データソースにわたって自動的に証拠を収集し、相互に関連付けます。その後、検出結果を明確で実用的な要約として示します。これらはすべて、調査を完了まで導いてくれる AWS セキュリティ専門家による継続的な監視のもと行います。
専門知識が必要な場合、AWS CIRT は数分以内にお客様のケースに対応します。AWS CIRT は、お客様のセキュリティ運用センター (SOC) チームの一員として、ログの設定にかかわらず、セキュリティイベントが発生しそうな場合に調査するために関連するログデータにアクセスできます。AWS CIRT は、確認済みのセキュリティイベントに対する明確な封じ込めまたは修復手順をお客様のチームに示します。必要に応じて、お客様に代わって AWS CIRT にそれらの実行を許可できます。
CrowdStrike Falcon、Trend Micro Cloud One、Fortinet Lacework ForticNApp などのサードパーティーツールから得られたセキュリティ検出結果がケースに含まれる場合、AWS CIRT はこれらのプロバイダーと直接連携し、それぞれの専門知識を組み合わせて包括的な対応策を作成します。この統一されたアプローチにより、AWS CIRT がコミュニケーションと調整を管理し、対応のあらゆる段階で明確で実用的なインサイトを提供しながら、プロバイダー間の専門知識を活用できるようになります。
Security Incident Response には、ユーザーに代わってアラートへの対応として、サポートされている封じ込めアクションを実行するために必要なアクセス許可を付与できます。この機能により、セキュリティイベントをより迅速に軽減し、環境への潜在的な影響を最小限に抑えることができます。