Langkah 1: Aktifkan Respons Insiden Keamanan AWS

Untuk mengaktifkan Respons Insiden Keamanan AWS

1. Masuk ke Konsol AWS Manajemen menggunakan akun manajemen Anda.

2. Buka Respons Insiden Keamanan AWS konsol dan pilih Daftar.

   

3. Tentukan akun alat keamanan sebagai administrator yang didelegasikan.

   • Untuk panduan, lihat Arsitektur Referensi Keamanan dalam Panduan AWS Preskriptif dan Administrator yang didelegasikan.

   

4. Masuk ke akun administrator yang didelegasikan.

5. Masukkan detail keanggotaan Anda dan kaitkan akun yang relevan.

6. Untuk cakupan Akun, pilih untuk mengaktifkan Respons Insiden Keamanan AWS untuk seluruh AWS organisasi Anda atau untuk yang spesifik OUs. Anda dapat memilih cakupan di tingkat OU, tetapi tidak pada tingkat akun individu.

7. Untuk Respons Proaktif, konfirmasikan bahwa pengaturan diaktifkan. Respons proaktif aktif secara default dan menciptakan peran terkait layanan yang memungkinkan AWS SIRT untuk menelan GuardDuty temuan dan membuka kasus investigasi proaktif ketika ancaman terdeteksi. Untuk informasi selengkapnya, lihat Respons proaktif.

   penting

   Peran terkait layanan tidak diterapkan secara otomatis ke akun manajemen. Anda harus mengkonfigurasinya secara manual untuk cakupan lengkap. Untuk petunjuk, lihat Siapkan respons proaktif dan alur kerja triaging peringatan.

8. (Opsional) Pilih untuk melakukan pra-otorisasi AWS SIRT untuk melakukan tindakan penahanan atas nama Anda selama insiden aktif. Tindakan penahanan yang didukung termasuk runbook untuk bucket S3 yang dikompromikan, instans EC2, dan prinsip IAM. Jika Anda melewati langkah ini, SIRT akan memberikan panduan manual selama penyelidikan. Untuk informasi selengkapnya, lihat Tindakan penahanan.

9. Tinjau izin layanan dan konfigurasi orientasi, lalu pilih Daftar.