AWS 安全事件回應功能

安全事件回應會透過 AWS Security Hub 監控和分類來自 Amazon GuardDuty 和第三方工具 (例如 CrowdStrike Falcon、Trend Micro Cloud One 和 Fortinet Lacework FortiCNAPP) 的調查結果。該服務使用客戶特定資訊 (例如已知的 IP 位址和 AWS Identity and Access Management (IAM) 實體)，根據預期的行為篩選調查結果，從而減少提醒數量，同時提高需要立即關注的結果。

安全事件回應會隨您環境的變化而發展演進，隨時間推移不斷融入新的洞察，進而提升效能。該服務會根據組織的獨特活動模式完善改進自動分類規則，從而更輕鬆地區分例行營運與潛在風險。隨著您的環境不斷擴展，安全事件回應能夠以更高的準確性和效率揭示重要事件。

建立個人化事件回應團隊，縮短協調內部利害關係人的時間。每當透過服務建立案例時，該團隊即會立即收到電子郵件通知。授予這些團隊成員必要的許可，以控制案例存取並維持最低權限。

透過 Amazon EventBridge 整合，您可以自動將事件路由和通知傳送至第三方平台，例如 ServiceNow、Jira、Slack 和 PagerDuty。例如，當安全事件回應主動建立案例時，EventBridge 自動化能夠觸發針對利害關係人的系統通知，從而提升潛在安全性事故期間的回應速度。

安全事件回應結合了採用 AI 技術的分析與專家監督，可檢查安全調查結果、日誌和異常模式，進而判斷是否需要升級。 如果確認安全事件或需要其他資訊，則該服務會建立一個案例，並通知您指定為事件回應團隊的利害關係人。透過主動參與，該服務可以了解您的環境和預期的行為，從而提高提醒的準確性並確保快速回應真正的安全事件。

安全事件回應 AI 代理程式可以自動執行證據收集並最大限度地減少通訊延遲，以幫助縮短調查時間，從而實現更快的回應和復原。 當您建立案例或該服務主動建立案例時，調查代理程式會詢問潛在的指標、資源名稱和時間範圍，從而根據您的特定問題量身定制調查方案。它會自動收集跨多個 AWS 資料來源的證據並建立關聯，例如 AWS CloudTrail、AWS IAM、Amazon EC2 和 AWS Cost Explorer。然後，它會以清晰且切實可行的摘要形式向您展示調查結果，所有這些動作都將在 AWS 安全專家的持續監督下進行，他們會引導您完成調查。

當您需要專門的專業知識時，AWS CIRT 會在幾分鐘內針對您的案例做出回應。作為您的安全營運中心 (SOC) 團隊的延伸，AWS CIRT 可以存取相關日誌資料 (而無論您的日誌組態如何)，以便在潛在安全事件期間進行調查。針對已確認的安全事件，AWS CIRT 為您的團隊提供了清晰的抑制或修復步驟。如有需要，您可以授權 AWS CIRT 代表您執行這些動作。

當案例涉及來自第三方工具 (例如 CrowdStrike Falcon、Trend Micro Cloud One 和 Fortinet Lacework FortiCNAPP) 的安全調查結果時，AWS CIRT 會直接與這些供應商合作，結合他們的專業知識，共同建立一個全面的回應。這種統一的方法有助於確保您能從各個供應商的專業知識中受益，同時 AWS CIRT 可管理溝通和協調，在回應的每個步驟中提供清晰、切實可行的洞察。

您可以授予安全事件回應必要的許可，以便他們能夠在回應提醒時代表您執行支援的抑制動作。這個功能讓您能夠更快地緩解安全事件，並將對環境的潛在影響降至最低。