Реагирование на инциденты безопасности AWS: функции
В чем преимущества Реагирования на инциденты безопасности?
Сервис Реагирования на инциденты безопасности AWS помогает вам быстрее и эффективнее подготовиться к инцидентам безопасности, реагировать на них и восстанавливаться после. Сервис сочетает в себе автоматическое обнаружение угроз, мониторинг и сортировку, расследование и локализацию с использованием искусственного интеллекта, а также круглосуточный прямой доступ к Команде реагирования на чрезвычайные ситуации клиентов AWS (CIRT).
Темы страниц
Основные функции
Открыть всеСервис Реагирования на инциденты безопасности отслеживает и сортирует данные, полученные от Amazon GuardDuty и сторонних инструментов, таких как CrowdStrike Falcon, Trend Micro Cloud One и Fortinet Lacework FortiCNAPP, через AWS Security Hub. Он использует специфичную для клиента информацию, такую как известные IP-адреса и сущности в Управлении идентификацией и доступом AWS (AWS IAM), для фильтрации полученных данных на основе ожидаемого поведения, уменьшая количество оповещений и привлекая внимание к тем, которые требуют немедленного реагирования.
Реагирование на инциденты безопасности развивается вместе с вашей средой, используя новые данные для повышения эффективности с течением времени. Сервис уточняет правила автоматической сортировки на основе характерных для вашей организации моделей активности, что упрощает различение стандартных операций и потенциальных рисков. По мере роста вашей среды Реагирование на инциденты безопасности позволяет обрабатывать критические инциденты с еще большей точностью и эффективностью.
Сократите время координации внутренних участников, создав специальную группу реагирования на инциденты. Эта группа будет получать немедленное уведомление по электронной почте всякий раз, когда через сервис создается заявка. Предоставьте членам группы необходимые разрешения для управления доступом к заявке, соблюдая принцип наименьших привилегий.
Благодаря интеграции Amazon EventBridge можно автоматизировать маршрутизацию записей об инцидентах и оповещений на сторонние платформы, такие как ServiceNow, Jira, Slack и PagerDuty. Например, когда сервис Реагирования на инциденты безопасности проактивно создает кейс, автоматизация EventBridge может запустить уведомление заинтересованных сторон, обеспечивая более оперативное реагирование при потенциальных угрозах безопасности.
Реагирование на инциденты безопасности сочетает анализ с помощью искусственного интеллекта и опыт экспертов для изучения полученных данных о безопасности, журналов и аномальных закономерностей, чтобы определить, требуется ли эскалация. Если угроза безопасности подтверждена или требуется дополнительная информация, сервис создает кейс и уведомляет об этом заинтересованные стороны, которых вы назначили частью группы реагирования на инциденты безопасности. Благодаря активному взаимодействию сервис изучает вашу среду и ожидаемое поведение, повышая точность оповещений и обеспечивая быстрое реагирование на реальные угрозы безопасности.
Агент искусственного интеллекта для реагирования на инциденты безопасности помогает сократить время расследования за счет автоматизации сбора доказательств и минимизации задержек связи, что позволяет быстрее реагировать и восстанавливать данные. Когда вы возбуждаете дело или служба активно возбуждает дело, следователь спрашивает о потенциальных показателях, названиях ресурсов и сроках, адаптируя расследование к вашей конкретной проблеме. Оно автоматически собирает и сопоставляет данные из нескольких источников данных AWS, таких как AWS CloudTrail, AWS IAM, Amazon EC2 и AWS Cost Explorer. Затем оно представляет вам результаты в виде четких и действенных сводок, и все это под постоянным контролем экспертов по безопасности AWS, которые помогут вам довести расследование до его завершения.
Если вам нужны специальные знания, AWS CIRT ответит на ваш запрос в течение нескольких минут. Команда AWS CIRT, дополняющая команду вашего центра управления безопасностью (SOC), имеет доступ к соответствующим данным журнала, независимо от конфигурации журналов, для расследования возможных угроз безопасности. AWS CIRT предоставляет вашей команде четкие инструкции по сдерживанию или устранению подтвержденных угроз безопасности. При желании вы можете разрешить AWS CIRT действовать от вашего имени.
Когда речь идет о результатах проверки безопасности, полученных с помощью сторонних инструментов, таких как CrowdStrike Falcon, Trend Micro Cloud One и Fortinet Lacework FortiCNAPP, команда AWS CIRT напрямую взаимодействует с этими провайдерами, объединяя их экспертные знания для формирования единого комплексного ответа. Такой унифицированный подход помогает вам получить выгоду от специализированных знаний разных провайдеров, в то время как AWS CIRT берет на себя коммуникацию и координацию, обеспечивая четкие и практические рекомендации на каждом этапе реагирования.
Вы можете предоставить сервису Реагирования на инциденты безопасности необходимые разрешения на выполнение поддерживаемых мер локализации угроз от вашего имени. Эта возможность позволяет быстрее предотвращать инциденты безопасности, сводя к минимуму потенциальное воздействие на среду.