ฟีเจอร์การตอบสนองต่ออุบัติการณ์ด้านความปลอดภัยของ AWS

การตอบสนองต่อเหตุการณ์ด้านความปลอดภัยจะตรวจสอบและคัดแยกการค้นพบด้านความปลอดภัยจาก Amazon GuardDuty และเครื่องมือของบุคคลที่สาม เช่น CrowdStrike Falcon, Trend Micro Cloud One และ Fortinet Lacework FortiCNAPP ผ่าน AWS Security Hub ใช้ข้อมูลเฉพาะของลูกค้า เช่น ที่อยู่ IP ที่รู้จักและหน่วยงาน AWS Identity and Access Management (IAM) เพื่อกรองการค้นพบตามพฤติกรรมที่คาดหวัง ลดปริมาณการแจ้งเตือนพร้อมกับเพิ่มจำนวนที่ต้องให้ความสนใจทันที

การตอบสนองต่อเหตุการณ์ความปลอดภัยจะพัฒนาไปตามสภาพแวดล้อมของคุณ โดยรวมข้อมูลเชิงลึกใหม่ๆ เพื่อปรับปรุงประสิทธิภาพเมื่อเวลาผ่านไป บริการนี้ปรับแต่งกฎการกำหนดอัตโนมัติตามรูปแบบกิจกรรมที่ไม่ซ้ำกันขององค์กรของคุณ ทำให้การแยกแยะการดำเนินงานประจำวันจากความเสี่ยงที่อาจเกิดขึ้นได้ง่ายขึ้น เมื่อสภาพแวดล้อมของคุณเติบโตขึ้น การตอบสนองต่อเหตุการณ์ความปลอดภัยจะแสดงเหตุการณ์สำคัญด้วยความแม่นยำและมีประสิทธิภาพมากยิ่งขึ้น

ลดเวลาในการประสานงานผู้มีส่วนได้ส่วนเสียภายใน โดยการสร้างทีมตอบสนองต่อเหตุการณ์เฉพาะบุคคล ทีมนี้จะได้รับการแจ้งเตือนทางอีเมลทันทีเมื่อใดก็ตามมีการสร้างกรณีถผ่านบริการนี้ ให้สิทธิ์ที่จำเป็นแก่สมาชิกในทีมเหล่านี้เพื่อควบคุมการเข้าถึงกรณีและรักษาการให้สิทธิ์เท่าที่จำเป็นไว้

การผสานรวม Amazon EventBridge ช่วยให้คุณกำหนดเส้นทางเหตุการณ์และการแจ้งเตือนไปยังแพลตฟอร์มของบุคคลที่สามโดยอัตโนมัติเช่น ServiceNow, Jira, Slack และ PagerDuty ตัวอย่างเช่น เมื่อการตอบสนองต่ออุบัติการณ์ด้านความปลอดภัยสร้างเคสในเชิงรุก EventBridge สามารถเรียกใช้ระบบอัตโนมัติเพื่อแจ้งเตือนผู้เกี่ยวข้อง ซึ่งช่วยให้ตอบสนองได้รวดเร็วขึ้นระหว่างเหตุการณ์ความปลอดภัยที่อาจเกิดขึ้น

การตอบสนองต่อเหตุการณ์ความปลอดภัยจะผสานการวิเคราะห์ที่ขับเคลื่อนด้วย AI เข้ากับการกำกับดูแลจากผู้เชี่ยวชาญเพื่อตรวจสอบการค้นพบความปลอดภัย ข้อมูลบันทึก และรูปแบบที่ผิดปกติ เพื่อตรวจสอบว่าจำเป็นต้องส่งต่อเรื่องหรือไม่ หากมีการยืนยันเหตุการณ์ด้านความปลอดภัยหรือต้องการข้อมูลเพิ่มเติม บริการจะสร้างกรณีและแจ้งผู้มีส่วนได้ส่วนเสียที่คุณกำหนดให้เป็นส่วนหนึ่งของทีมรตอบสนองเหตุการณ์ ด้วย การมีส่วนร่วมอย่างกระตือรือร้น บริการจะเรียนรู้สภาพแวดล้อมและพฤติกรรมที่คาดหวังของคุณ ปรับปรุงความแม่นยำในการแจ้งเตือน และรับประกันการตอบสนองอย่างรวดเร็วต่อเหตุการณ์ความปลอดภัยจริง

การตอบสนองต่อเหตุการณ์ด้นความปลอดภัยของ AI Agent จะช่วยลดเวลาในการตรวจสอบโดยการรวบรวมหลักฐานโดยอัตโนมัติและลดความล่าช้าในการสื่อสาร ทำให้การตอบสนองและการกู้คืนได้เร็วขึ้น เมื่อคุณสร้างกรณีหรือบริการสร้างคดีโดยเชิงรุก เจ้าหน้าที่การตรวจสอบจะถามเกี่ยวกับตัวชี้วัดที่อาจเกิดขึ้น ชื่อทรัพยากร และกรอบเวลา โดยปรับการสอบสวนให้เหมาะกับความกังวลเฉพาะของคุณ โดยจะรวบรวมและเชื่อมโยงหลักฐานโดยอัตโนมัติในแหล่งที่มาของข้อมูล AWS หลายแหล่ง เช่น AWS CloudTrail, AWS IAM, Amazon EC2 และ AWS Cost Explorer จากนั้นจะเสนอผลการค้นพบให้คุณในบทสรุปที่ชัดเจนและสามารถดำเนินการได้ ทั้งหมดนี้ด้วยการกำกับดูแลอย่างต่อเนื่องจากผู้เชี่ยวชาญด้านความปลอดภัยของ AWS ที่แนะนำคุณตลอดการตรวจสอบจนเสร็จสิ้น

เมื่อคุณต้องการความเชี่ยวชาญเฉพาะทาง AWS CIRT จะตอบสนองต่อกรณีของคุณภายในระดับนาที AWS CIRT ทำหน้าที่เป็นส่วนขยายของทีมศูนย์ปฏิบัติการรักษาความปลอดภัย (SOC) ของคุณ AWS CIRT สามารถเข้าถึงข้อมูลบันทึกที่เกี่ยวข้องโดยไม่คำนึงถึงการกำหนดค่าบันทึกของคุณ เพื่อการตรวจสอบระหว่างเหตุการณ์ความปลอดภัยที่อาจเกิดขึ้น AWS CIRT ช่วยให้ทีมของคุณมีขั้นตอนการควบคุมหรือแก้ไขที่ชัดเจนสำหรับเหตุการณ์ความปลอดภัยที่ได้รับการยืนยัน หากต้องการ คุณสามารถอนุญาตให้ AWS CIRT ดำเนินการในนามของคุณได้

เมื่อปรากฏการค้นพบด้านความปลอดภัยจากเครื่องมือของบุคคลที่สาม เช่น CrowdStrike Falcon, Trend Micro Cloud One และ Fortinet Lacework FortiCNAPP เกี่ยวข้องกับกรณี AWS CIRT จะทำงานโดยตรงกับผู้ให้บริการเหล่านี้ โดยรวมความเชี่ยวชาญเข้าด้วยกันเพื่อสร้างการตอบสนองที่ครอบคลุมเพียงหนึ่งเดียว วิธีการแบบครบวงจรนี้ช่วยรับรองความมั่นใจว่าคุณจะได้รับประโยชน์จากความรู้เฉพาะของผู้ให้บริการในขณะที่ AWS CIRT จะจัดการการสื่อสารและการประสานงานโดยให้ข้อมูลเชิงลึกที่ชัดเจนและดำเนินการได้ในทุกขั้นตอนของการตอบสนอง

คุณสามารถให้สิทธิ์การตอบสนองต่อเหตุการณ์ความปลอดภัยที่จำเป็นในการดำเนินการกักกันที่รองรับ เพื่อตอบสนองต่อการแจ้งเตือนในนามของคุณ ความสามารถนี้ช่วยให้บรรเทาเหตุการรักษาความปลอดภัยได้เร็วขึ้น ลดผลกระทบที่อาจเกิดขึ้นต่อสภาพแวดล้อมของคุณ