AWS 安全事件回應常見問答集

AWS 安全事件回應是一項結合了自動化功能與人類專業知識的服務，可協助您為安全事件做好準備、回應安全事件以及從安全事件中復原。該服務會透過 AWS Security Hub 持續監控和分類來自 Amazon GuardDuty 和第三方偵測工具的安全調查結果，自動篩選提醒並顯示需要立即關注的提醒。建立潛在安全事件的案例時，採用代理式 AI 技術的調查功能可加速證據收集和分析。 如果需要專門的專業知識，您即可透過安全事件回應全天候直接聯絡 AWS 客戶事件回應團隊 (CIRT)。這個專門的 AWS 專家團隊可協助調查潛在的安全事件、協調多個供應商之間的回應工作，並代表您執行抑制動作。

您可以透過管理或委派管理員帳戶，在 AWS Organizations 中啟用安全事件回應。為了體驗完整的服務，我們建議您同時啟用 GuardDuty 和 Security Hub。啟用適當的服務和許可後，安全事件回應可以監控、分類和調查安全調查結果，並主動升級需要中央安全團隊關注的安全事件。

如果您選擇授予必要的許可，安全事件回應可以主動監控和分類來自 GuardDuty 和 Security Hub 的調查結果。它會根據您的特定客戶資訊，例如已知的 IP 位址和 AWS Identity and Access Management (IAM) 實體，來採用智慧篩選。對於需要注意的調查結果，安全事件回應會立即採取行動。它會立即建立一個安全案例，並通知您指定為事件回應團隊的利害關係人，從而將風險和潛在損害降到最低。

客戶可以透過服務啟動安全案例。您可以選擇在內部處理這些案例，或獲得 AWS CIRT 的支援，這是一個專門的安全專家團隊，可全天候協助調查、回應安全事件並從安全事件中復原。

是，您可以隨時取消您的服務成員資格。如需詳細資訊，請瀏覽安全事件回應定價。