Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kasus
Respons Insiden Keamanan AWS memungkinkan Anda membuat dua jenis kasus - kasus yang AWS didukung atau dikelola sendiri.
# Buat kasus yang AWS didukung
Anda dapat membuat kasus yang AWS didukung Respons Insiden Keamanan AWS melalui Konsol, API, atau AWS Command Line Interface. AWS kasus yang didukung memungkinkan Anda menerima dukungan dari teknisi Respons Insiden Keamanan.
**penting**
Kasus demo/simulasi ditutup setelah jangka waktu 90 hari.
**catatan**
AWS Insinyur Respons Insiden Keamanan akan menanggapi kasus Anda dalam waktu 15 menit. Waktu respons adalah untuk respons pertama dari insinyur Respons Insiden AWS Keamanan. Kami akan melakukan segala upaya yang wajar untuk menanggapi permintaan awal Anda dalam jangka waktu ini. Waktu respons ini tidak berlaku untuk tanggapan selanjutnya.
**catatan**
Anda dapat membuat kasus yang AWS didukung tidak hanya untuk insiden dan investigasi keamanan aktif, tetapi juga untuk pertanyaan tentang kemampuan Respons Insiden AWS Keamanan. Ini termasuk pertanyaan tentang aturan GuardDuty penekanan, konfigurasi triaging peringatan, alur kerja respons proaktif, dan panduan umum tentang postur keamanan. Pilih jenis kasus **Investigasi dan Pertanyaan** untuk tujuan ini.
# Kapan harus menghubungi Respons Insiden Keamanan AWS
Anda dapat menghubungi AWS Security Incident Response untuk berbagai keperluan tergantung kebutuhan Anda. Tabel berikut menjelaskan skenario yang berbeda dan metode kontak yang sesuai untuk masing-masing.
| Skenario | Kapan Harus Digunakan | Waktu Respons | Jenis Kasus |
| --- | --- | --- | --- |
| **Insiden Keamanan Aktif** | Anda mengalami insiden keamanan mendesak yang membutuhkan dukungan dan layanan respons insiden segera | 15 menit (respons pertama) | [Insiden Keamanan Aktif](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Investigasi** | Anda memiliki insiden keamanan yang dirasakan dan membutuhkan dukungan dengan analisis log dan konfirmasi sekunder dari investigasi respons insiden | 15 menit (respons pertama) | [Investigasi dan Pertanyaan](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Pertanyaan dan Bimbingan** | Anda memiliki pertanyaan tentang GuardDuty temuan Amazon, aturan penekanan, konfigurasi triaging peringatan, alur kerja respons proaktif, atau postur keamanan umum yang terkait dengan kemampuan Respons Insiden Keamanan AWS | 15 menit (respons pertama) | [Investigasi dan Pertanyaan](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Masalah Orientasi** | Anda mengalami masalah teknis selama proses orientasi untuk AWS Security Incident Response | Bervariasi berdasarkan rencana dukungan | [AWS Dukungan kasus](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case) |
Untuk semua kasus yang AWS didukung (Insiden Keamanan Aktif dan Investigasi dan Pertanyaan), teknisi AWS Security Incident Response akan merespons dalam waktu 15 menit untuk tanggapan pertama. Waktu respons ini hanya berlaku untuk kontak awal dan tidak berlaku untuk tanggapan selanjutnya.
Contoh berikut mencakup penggunaan konsol.
1. Masuk Respons Insiden Keamanan AWS melalui Konsol Manajemen AWS.
1. Pilih **Buat Kasus**
1. Pilih **Selesaikan kasus dengan AWS**
1. Pilih jenis permintaan
1. **Insiden Keamanan Aktif**: Jenis ini untuk dukungan dan layanan respons insiden mendesak.
1. **Investigasi dan Pertanyaan**: Gunakan jenis ini untuk insiden keamanan yang dirasakan di mana insinyur Respons Insiden AWS Keamanan dapat mendukung analisis log dan konfirmasi sekunder dari investigasi respons insiden. Anda juga dapat menggunakan jenis ini untuk pertanyaan tentang GuardDuty temuan, aturan penekanan, konfigurasi triaging peringatan, alur kerja respons proaktif, dan pertanyaan postur keamanan umum yang terkait dengan kemampuan Respons Insiden Keamanan. AWS
1. Tetapkan perkiraan tanggal mulai ke tanggal indikator awal insiden Anda. Misalnya, ketika Anda mengalami perilaku abnormal untuk pertama kalinya atau ketika Anda menerima peringatan keamanan terkait pertama.
1. Tentukan judul untuk kasus ini
1. Berikan deskripsi rinci tentang kasus ini. Pertimbangkan aspek-aspek berikut yang dapat membantu responden insiden dengan penyelesaian kasus:
1. Apa yang terjadi?
1. Siapa yang menemukan dan melaporkan kejadian itu?
1. Siapa yang terpengaruh oleh kasus ini?
1. Apa dampak yang diketahui?
1. Apa urgensi untuk kasus ini?
1. Tambahkan satu atau beberapa Akun AWS IDs yang berada dalam lingkup kasus.
1. Tambahkan detail kasus opsional:
1. Pilih layanan utama yang terkena dampak dari daftar drop-down.
1. Pilih wilayah utama yang terkena dampak dari daftar drop-down.
1. Tambahkan satu atau banyak alamat IP aktor ancaman yang Anda identifikasi sebagai bagian dari kasus ini.
1. Tambahkan responden insiden tambahan opsional ke kasus yang akan menerima pemberitahuan. Untuk menambahkan individu, lakukan hal berikut:
1. Tambahkan alamat email.
1. Tambahkan nama depan dan belakang opsional.
1. Pilih **Tambahkan baru** untuk menambahkan individu lain.
1. Untuk menghapus individu, pilih opsi **Hapus** untuk individu.
1. Pilih **Tambahkan** untuk menambahkan semua individu yang terdaftar ke kasing.
1. Anda dapat memilih beberapa individu dan memilih **Hapus** untuk menghapusnya dari daftar.
1. Tambahkan tag opsional ke kasing.
1. Untuk menambahkan tanda, lakukan hal berikut:
1. Pilih **Tambahkan tag baru**.
1. Untuk **Kunci**, masukkan nama tag.
1. Untuk **Nilai**, masukkan nilai tag.
1. Untuk menghapus tag, pilih opsi **Hapus** untuk tag itu.
Setelah kasus yang AWS didukung dibuat, teknisi Respons Insiden AWS Keamanan dan tim respons insiden Anda segera diberitahu.
**Untuk membuat kasus yang AWS didukung dengan investigasi AI**
1. Buka Respons Insiden Keamanan AWS konsol di [console.aws.amazon.com/](https://console.aws.amazon.com/).
1. Pilih **Kasus** dari panel navigasi.
1. Pilih **Buat kasus**.
1. Untuk **tipe Kasus**, pilih **AWS-supported case**.
1. Berikan rincian kasus termasuk judul, tanggal mulai insiden, dan ID AWS akun yang terpengaruh.
1. Di bagian **Jelaskan peristiwa keamanan**, berikan deskripsi menyeluruh tentang insiden tersebut.
1. Memberikan informasi tambahan tentang AWS layanan, wilayah, dan detail relevan lainnya yang terpengaruh.
1. Pilih **Buat kasus**.
Setelah pembuatan kasus, baik insinyur Security Incident Response dan agen AI mulai bekerja secara bersamaan.
**Untuk menanggapi pertanyaan klarifikasi AI (opsional)**
1. Arahkan ke tab **Investigasi** dalam kasus Anda.
1. Tinjau setiap pertanyaan klarifikasi yang disajikan oleh agen AI.
1. Tanggapi pertanyaan atau pilih **Lewati** jika Anda memilih untuk tidak menjawab.
1. Pilih **Kirim** untuk melanjutkan. Semua bidang bersifat opsional.
**Pengungkapan AI yang bertanggung jawab**
Ringkasan investigasi dihasilkan menggunakan kemampuan AWS Generative AI. Anda bertanggung jawab untuk mengevaluasi rekomendasi yang dihasilkan AI dalam konteks spesifik Anda, menerapkan mekanisme pengawasan yang tepat, memverifikasi temuan secara independen, dan menjaga pengawasan manusia terhadap semua keputusan keamanan.
# Buat kasus yang dikelola sendiri
Anda dapat membuat untuk yang dikelola sendiri Respons Insiden Keamanan AWS melalui Konsol, API, atau AWS Command Line Interface. Jenis kasus ini *TIDAK* melibatkan insinyur Respons Insiden AWS Keamanan. Contoh berikut mencakup penggunaan konsol.
1. Masuk Respons Insiden Keamanan AWS melalui Konsol Manajemen AWS at [https://console.aws.amazon.com/security-ir/](https://console.aws.amazon.com/).
1. Pilih **Buat Kasus.**
1. Pilih **Selesaikan kasus dengan tim respons insiden saya sendiri.**
1. Tetapkan perkiraan tanggal mulai ke tanggal indikator awal insiden Anda. Misalnya, ketika Anda mengalami perilaku abnormal untuk pertama kalinya atau ketika Anda menerima peringatan keamanan terkait pertama.
1. Tentukan judul untuk kasus ini. Disarankan untuk memasukkan data ke dalam judul kasus seperti yang disarankan saat memilih opsi **Hasilkan Judul**.
1. Masukkan Akun AWS IDs yang merupakan bagian dari kasus ini. Untuk menambahkan ID akun, lakukan hal berikut:
1. Masukkan ID akun 12 digit dan pilih **Tambah akun**.
1. Untuk menghapus akun, pilih **Hapus** di samping akun yang ingin Anda hapus dari kasing.
1. Berikan deskripsi rinci tentang kasus ini.
1. Pertimbangkan aspek-aspek berikut yang dapat membantu responden insiden dengan penyelesaian kasus:
1. Apa yang terjadi?
1. Siapa yang menemukan dan melaporkan kejadian itu?
1. Siapa yang terpengaruh oleh kasus ini?
1. Apa dampak yang diketahui?
1. Apa urgensi untuk kasus ini?
1. Tambahkan detail kasus opsional:
1. Pilih layanan utama yang terkena dampak dari daftar drop-down.
1. Pilih wilayah utama yang terkena dampak dari daftar drop-down.
1. Tambahkan satu atau banyak alamat IP aktor ancaman yang Anda identifikasi sebagai bagian dari kasus ini.
1. Tambahkan responden insiden tambahan opsional ke kasus yang akan menerima pemberitahuan. Untuk menambahkan individu, lakukan hal berikut:
1. Tambahkan alamat email.
1. Tambahkan nama depan dan belakang opsional.
1. Pilih **Tambahkan baru** untuk menambahkan individu lain.
1. Untuk menghapus individu, pilih opsi **Hapus** untuk individu.
1. Pilih **Tambahkan** untuk menambahkan semua individu yang terdaftar ke kasing. Anda dapat memilih beberapa individu dan memilih **Hapus** untuk menghapusnya dari daftar.
1. Tambahkan tag opsional ke kasing. Untuk menambahkan tanda, lakukan hal berikut:
1. Pilih **Tambahkan tag baru**.
1. Untuk **Kunci**, masukkan nama tag.
1. Untuk **Nilai**, masukkan nilai tag.
1. Untuk menghapus tag, pilih opsi **Hapus** untuk tag itu.
Tim respons insiden akan diberitahu melalui email setelah kasus dibuat.
# Bekerja dengan teknisi Respons Insiden AWS Keamanan
Setelah Anda membuka kasus insiden keamanan, insinyur AWS Security Incident Response mulai mengerjakan insiden Anda. Bagian ini menjelaskan apa yang diharapkan selama penyelidikan dan bagaimana berkolaborasi secara efektif dengan tim kami.
# Apa yang diharapkan dari insinyur Respons Insiden AWS Keamanan
Ketika Anda membuka kasus yang AWS didukung, insinyur Respons Insiden Keamanan ditugaskan untuk insiden Anda. Responden Anda yang ditugaskan akan:
+ Tinjau informasi awal yang Anda berikan dalam kasus ini
+ Menganalisis log AWS layanan yang relevan dan temuan keamanan
+ Identifikasi ruang lingkup dan dampak insiden keamanan
+ Kembangkan rencana investigasi dan respons yang disesuaikan dengan situasi Anda
**Garis waktu respons**: Tujuan tingkat layanan (SLO) untuk pengakuan kasus baru oleh para Respons Insiden Keamanan AWS insinyur adalah dalam waktu 15 menit. Garis waktu penilaian awal dapat bervariasi berdasarkan tingkat keparahan dan kompleksitas kasus. Jika Respons Insiden Keamanan AWS insinyur tidak menerima tanggapan atau informasi penting dari Anda dalam waktu 5 hari kerja, kasing ditutup.
# Alur kerja investigasi
AWS Insinyur Security Incident Response mengikuti proses respons insiden terstruktur yang selaras dengan kerangka kerja NIST 800-61r2. Selama penyelidikan Anda, Anda dapat mengharapkan tahapan berikut:
1. **Triase awal** - Insinyur Respons Insiden Keamanan meninjau detail kasus Anda dan mengkonfirmasi ruang lingkup insiden
1. **Investigasi** - Insinyur Security Incident Response menganalisis log, mengidentifikasi indikator kompromi, dan menentukan akar penyebab
1. **Penahanan** - Insinyur Respons Insiden Keamanan merekomendasikan tindakan untuk membatasi dampak insiden
1. **Pemberantasan dan pemulihan** - Insinyur Respons Insiden Keamanan membantu Anda menghilangkan ancaman dan memulihkan operasi normal
1. **Tinjauan pasca-insiden** - Insinyur Security Incident Response memberikan temuan dan rekomendasi untuk mencegah insiden di masa depan
Selama fase ini, teknisi Respons Insiden Keamanan Anda memberi Anda informasi melalui pembaruan kasus dan dapat meminta informasi atau tindakan tambahan dari Anda.
# Insinyur Respons Insiden Keamanan Informasi dapat meminta
Untuk menyelidiki insiden Anda secara efektif, teknisi AWS Security Incident Response dapat meminta Anda untuk memberikan:
+ **Detail garis waktu** - Ketika Anda pertama kali mendeteksi insiden dan peristiwa relevan yang mengarah ke sana
+ **Sumber daya yang terpengaruh** - AWS Akun IDs, layanan, wilayah, dan sumber daya tertentu ARNs yang terlibat
+ **Informasi akses** - Detail tentang siapa yang memiliki akses ke sumber daya yang terpengaruh dan perubahan akses terbaru
+ **Konteks bisnis** - Bagaimana sumber daya yang terpengaruh digunakan dan potensi dampak bisnis
+ **Log dan bukti** - Log tambahan, tangkapan layar, atau artefak yang dapat membantu penyelidikan
+ **Otorisasi** - Persetujuan untuk melakukan tindakan penahanan atau remediasi tertentu atas nama Anda
Insinyur Respons Insiden Keamanan Anda akan menjelaskan mengapa setiap informasi diperlukan dan bagaimana hal itu membantu penyelidikan.
# Praktik terbaik komunikasi
Komunikasi yang efektif mempercepat resolusi insiden. Ikuti praktik berikut saat bekerja dengan teknisi Respons Insiden AWS Keamanan:
+ **Segera tanggapi** permintaan informasi dari teknisi Respons Insiden Keamanan Anda
+ **Berikan informasi lengkap** bahkan jika Anda tidak yakin tentang relevansinya
+ **Ajukan pertanyaan** jika Anda tidak memahami rekomendasi atau perlu klarifikasi
+ **Perbarui kasus** dengan perkembangan atau perubahan baru pada insiden tersebut
+ **Tentukan kontak utama** dari tim Anda untuk berkoordinasi dengan teknisi Security Incident Response
**penting**
Jika Respons Insiden Keamanan AWS teknisi tidak menerima tanggapan atas permintaan informasi penting dalam waktu 5 hari kerja, kami bekerja menuju penutupan kasus. Anda dapat membuka kembali kasus jika informasi baru tersedia.
# Peran Anda selama investigasi
Sementara Respons Insiden Keamanan AWS insinyur memimpin penyelidikan, partisipasi Anda sangat penting. Anda bertanggung jawab atas tindakan berikut:
+ Memberikan tanggapan tepat waktu terhadap permintaan informasi
+ Menerapkan tindakan penahanan dan remediasi yang direkomendasikan di lingkungan Anda AWS
+ Mengotorisasi teknisi Respons Insiden Keamanan untuk mengambil tindakan atas nama Anda (jika Anda mengaktifkan respons proaktif)
+ Berkoordinasi dengan tim internal Anda (keamanan, hukum, kepatuhan) sesuai kebutuhan
+ Membuat keputusan bisnis tentang prioritas respons insiden dan trade-off
Respons Insiden Keamanan AWS insinyur memberikan keahlian dan rekomendasi, tetapi Anda mempertahankan kendali atas AWS sumber daya Anda dan membuat keputusan akhir tentang tindakan respons.
# Penutupan kasus
Respons Insiden Keamanan AWS insinyur menutup kasus Anda ketika:
+ Insiden tersebut telah diatasi dan diperbaiki
+ Semua temuan investigasi telah dibagikan dengan Anda
+ Tidak diperlukan bantuan insinyur Respons Insiden Keamanan lebih lanjut
+ Anda meminta penutupan kasus
Sebelum menutup kasus, teknisi Security Incident Response Anda memberikan ringkasan temuan, tindakan yang diambil, dan rekomendasi untuk meningkatkan postur keamanan Anda.
Jika Anda memerlukan bantuan tambahan setelah penutupan kasus, Anda dapat membuka kasus atau kontak baru AWS Dukungan.
# Menanggapi kasus yang AWS dihasilkan
Respons Insiden Keamanan AWS dapat membuat notifikasi atau kasus keluar ketika Anda perlu menindaklanjuti atau mengetahui sesuatu yang berpotensi memengaruhi akun atau sumber daya Anda. Ini hanya terjadi jika Anda mengaktifkan respons proaktif dan alur kerja triaging peringatan sebagai bagian dari langganan Anda.
Pemberitahuan ini muncul sebagai kasus Respons Insiden Keamanan dengan awalan “[Kasus proaktif]” di Respons Insiden Keamanan AWS konsol. Untuk melihat dan mengelola kasus ini, selesaikan langkah-langkah berikut:
+ Buka konsol Security Incident Response di https://console.aws.amazon.com/security-ir/
+ Pilih **Kasus**.
+ Anda melihat semua kasus, termasuk yang memiliki awalan “[Kasus proaktif]”.
Anda dapat memperbarui, menyelesaikan, dan membuka kembali kasus ini sesuai kebutuhan. Anda dapat berkomunikasi langsung dengan Respons Insiden Keamanan AWS tim melalui kasus-kasus ini, memastikan penanganan yang efisien dari potensi masalah keamanan.