Các tính năng của AWS Security Incident Response

Security Incident Response giám sát và phân loại các nội dung phát hiện bảo mật từ Amazon GuardDuty và các công cụ bên thứ ba như CrowdStrike Falcon, Trend Micro Cloud One, và Fortinet Lacework FortiCNAPP thông qua AWS Security Hub. Dịch vụ sử dụng thông tin dành riêng cho khách hàng, chẳng hạn như địa chỉ IP đã biết và các thực thể Quản lý truy cập và nhận dạng (IAM) trong AWS, để lọc các nội dung phát hiện dựa trên hành vi dự kiến, giảm khối lượng cảnh báo trong khi báo cáo lên trên các nội dung phát hiện cần chú ý ngay lập tức.

Phản hồi sự cố bảo mật phát triển theo môi trường của bạn, kết hợp thông tin chuyên sâu mới để nâng cao hiệu suất theo thời gian. Dịch vụ này tinh chỉnh các quy tắc phân loại tự động dựa trên các khuôn mẫu hoạt động độc đáo của tổ chức bạn, giúp bạn dễ dàng hơn trong việc phân biệt các hoạt động thông thường với các rủi ro tiềm ẩn. Khi môi trường của bạn phát triển, Phản hồi sự cố bảo mật sẽ hiển thị các sự kiện tối quan trọng với độ chính xác và hiệu quả cao hơn nữa.

Rút ngắn thời gian điều phối giữa các bên liên quan nội bộ bằng cách thiết lập một nhóm ứng phó sự cố chuyên biệt. Nhóm này sẽ nhận được thông báo qua email ngay lập tức bất cứ khi nào một trường hợp được tạo thông qua dịch vụ. Cấp cho các thành viên nhóm này các quyền hạn cần thiết để kiểm soát quyền truy cập vào trường hợp và duy trì đặc quyền tối thiểu.

Với tích hợp Amazon EventBridge, bạn có thể tự động hóa việc định tuyến các sự kiện và thông báo đến các nền tảng của bên thứ ba, như ServiceNow, Jira, Slack và PagerDuty. Ví dụ: khi Phản hồi sự cố bảo mật chủ động tạo một trường hợp, dịch vụ tự động hóa EventBridge có thể kích hoạt các hệ thống để thông báo cho các bên liên quan, cho phép phản hồi nhanh hơn trong các sự kiện bảo mật tiềm ẩn.

Phản hồi sự cố bảo mật kết hợp phân tích dựa trên AI với sự giám sát của chuyên gia để kiểm tra các nội dung phát hiện bảo mật, bản ghi và các khuôn mẫu bất thường để xác định xem có cần báo cáo lên trên hay không. Nếu một sự kiện bảo mật được xác nhận hoặc cần thêm thông tin, dịch vụ sẽ tạo trường hợp và thông báo cho các bên liên quan mà bạn đã chỉ định là nhóm ứng phó sự cố của bạn. Thông qua sự tham gia tích cực, dịch vụ sẽ tìm hiểu mỗi trường và học các hành vi dự kiến của bạn, cải thiện độ chính xác của cảnh báo và đảm bảo phản hồi nhanh chóng với các sự kiện bảo mật thực sự.

Trợ lý ảo AI Phản hồi sự cố bảo mật giúp giảm thời gian điều tra bằng cách tự động hóa việc thu thập bằng chứng và giảm thiểu sự chậm trễ liên lạc, cho phép phản hồi và phục hồi nhanh hơn. Khi bạn tạo một trường hợp hoặc dịch vụ chủ động tạo một trường hợp, trợ lý ảo điều tra sẽ hỏi về các chỉ số tiềm năng, tên tài nguyên và khung thời gian, điều chỉnh cuộc điều tra theo mối quan tâm cụ thể của bạn. Trợ lý ảo tự động thu thập và xâu chuỗi bằng chứng trên nhiều nguồn dữ liệu AWS, chẳng hạn như AWS CloudTrail, AWS IAM, Amazon EC2 và Trình khám phá chi phí AWS. Sau đó, trợ lý này trình bày các nội dung phát hiện cho bạn trong các bản tóm tắt rõ ràng, có thể thực thi — tất cả đều được giám sát liên tục từ các chuyên gia bảo mật AWS hướng dẫn bạn trong suốt quá trình điều tra đến khi hoàn thành.

Khi bạn cần chuyên môn chuyên sâu, AWS CIRT sẽ phản hồi trường hợp của bạn trong vòng vài phút. Hoạt động như một phần mở rộng của đội ngũ trung tâm hoạt động bảo mật (SOC) của bạn, AWS CIRT có quyền truy cập vào dữ liệu bản ghi có liên quan — bất kể cấu hình bản ghi của bạn — để điều tra trong các sự kiện bảo mật tiềm ẩn. AWS CIRT cung cấp cho đội ngũ của bạn các bước ngăn chặn hoặc khắc phục rõ ràng cho các sự kiện bảo mật đã được xác nhận. Nếu muốn, bạn có thể ủy quyền cho AWS CIRT thay mặt bạn thực hiện các hành động này.

Khi nội dung phát hiện bảo mật từ các công cụ của bên thứ ba như CrowdStrike Falcon, Trend Micro Cloud One và Fortinet Lacework FortiCNAPP có liên quan đến một trường hợp, AWS CIRT sẽ làm việc trực tiếp với các nhà cung cấp này, kết hợp chuyên môn của họ để tạo ra một phản hồi toàn diện. Cách tiếp cận thống nhất này giúp đảm bảo bạn được hưởng lợi từ kiến thức chuyên môn giữa các nhà cung cấp, trong khi AWS CIRT quản lý hoạt động giao tiếp và điều phối, cung cấp thông tin chuyên sâu rõ ràng, có thể thực thi trong từng bước phản hồi.

Bạn có thể cấp cho dịch vụ Phản hồi sự cố bảo mật các quyền cần thiết để thực hiện các hành động ngăn chặn được hỗ trợ như một phản hồi cho các cảnh báo thay mặt bạn. Khả năng này cho phép giảm thiểu các sự kiện bảo mật nhanh hơn, giảm thiểu tác động tiềm ẩn đến môi trường của bạn.