Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Casi
AWS Security Incident Response consente di creare due tipi di casi: casi AWS supportati o casi autogestiti.
# Crea un caso AWS supportato
Puoi creare un caso AWS supportato AWS Security Incident Response tramite la Console, l'API o il AWS Command Line Interface. AWS i casi supportati consentono di ricevere supporto dai tecnici di Security Incident Response.
**Importante**
I casi di dimostrazione/simulazione verranno chiusi dopo un periodo di 90 giorni.
**Nota**
AWS I tecnici di Security Incident Response risponderanno al tuo caso entro 15 minuti. Il tempo di risposta si riferisce alla prima risposta dei tecnici del AWS Security Incident Response. Faremo ogni ragionevole sforzo per rispondere alla richiesta iniziale entro questo lasso di tempo. Questo tempo di risposta non si applica alle risposte successive.
**Nota**
È possibile creare casi AWS supportati non solo per incidenti e indagini di sicurezza attivi, ma anche per domande sulle funzionalità di AWS Security Incident Response. Ciò include domande sulle regole di GuardDuty soppressione, sulle configurazioni di valutazione degli avvisi, sui flussi di lavoro di risposta proattiva e indicazioni generali sul livello di sicurezza. Seleziona il tipo di caso **Investigations and** Inquiries per questi scopi.
# Quando contattare AWS Security Incident Response
Puoi contattare AWS Security Incident Response per vari scopi a seconda delle tue esigenze. La tabella seguente descrive i diversi scenari e il metodo di contatto appropriato per ciascuno di essi.
| Scenario | Quando usare | Tempo di risposta | Tipo di caso |
| --- | --- | --- | --- |
| **Incidente di sicurezza attiva** | Stai riscontrando un incidente di sicurezza urgente che richiede assistenza e servizi di risposta immediata | 15 minuti (prima risposta) | [Incidente di sicurezza attiva](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Indagine** | Hai percepito un incidente di sicurezza e hai bisogno di assistenza per l'analisi dei log e la conferma secondaria dell'indagine sulla risposta all'incidente | 15 minuti (prima risposta) | [Indagini e richieste](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Richieste e linee guida** | Hai domande sui GuardDuty risultati di Amazon, sulle regole di soppressione, sulle configurazioni di triaging degli avvisi, sui flussi di lavoro di risposta proattiva o sulla posizione di sicurezza generale relativa alle funzionalità AWS Security Incident Response | 15 minuti (prima risposta) | [Indagini e richieste](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Problemi di onboarding** | Stai riscontrando problemi tecnici durante il processo di onboarding per Security Incident Response AWS | Varia in base al piano di supporto | [Supporto AWS caso](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case) |
Per tutti i casi AWS supportati (Active Security Incident and Investigations and Inquiries), i tecnici di AWS Security Incident Response risponderanno entro 15 minuti alla prima risposta. Questo tempo di risposta si applica solo al contatto iniziale e non si applica alle risposte successive.
L'esempio seguente riguarda l'uso della console.
1. Accedi AWS Security Incident Response tramite Console di gestione AWS.
1. Scegli **Crea caso**
1. Scegli **Risolvi caso con AWS**
1. Seleziona il tipo di richiesta
1. **Active Security Incident**: questo tipo è destinato al supporto e ai servizi di risposta agli incidenti urgenti.
1. **Indagini e richieste**: utilizzate questo tipo per gli incidenti di sicurezza percepiti, in cui AWS i tecnici del Security Incident Response possono fornire assistenza nell'analisi dei log e nella conferma secondaria delle indagini sulla risposta agli incidenti. È inoltre possibile utilizzare questo tipo per domande su GuardDuty risultati, regole di soppressione, configurazioni di classificazione degli avvisi, flussi di lavoro di risposta proattiva e domande generali sulla posizione di sicurezza relative alle funzionalità di Security Incident Response. AWS
1. Imposta la data di inizio stimata sulla data del primo indicatore dell'incidente. Ad esempio, quando hai riscontrato un comportamento anomalo per la prima volta o quando hai ricevuto il primo avviso di sicurezza correlato.
1. Definisci un titolo per il caso
1. Fornisci una descrizione dettagliata del caso. Considerate i seguenti aspetti che possono aiutare i soccorritori a risolvere il caso:
1. Che cos'è successo?
1. Chi ha scoperto e segnalato l'incidente?
1. Chi è interessato dal caso?
1. Qual è l'impatto noto?
1. Qual è l'urgenza di questo caso?
1. Aggiungine uno o più Account AWS IDs che rientrano nell'ambito del caso.
1. Aggiungi dettagli opzionali del caso:
1. Seleziona i servizi principali interessati dall'elenco a discesa.
1. Seleziona le principali regioni interessate dall'elenco a discesa.
1. Aggiungi uno o più indirizzi IP degli autori delle minacce che hai identificato nell'ambito di questo caso.
1. Aggiungi opzionali addetti alla risposta agli incidenti aggiuntivi al caso che riceveranno le notifiche. Per aggiungere una persona, procedi come segue:
1. Aggiungi un indirizzo email.
1. Aggiungi un nome e cognome opzionali.
1. Scegli **Aggiungi nuovo** per aggiungere un'altra persona.
1. Per rimuovere una persona, scegli l'opzione **Rimuovi** relativa a una persona.
1. Scegli **Aggiungi** per aggiungere tutte le persone elencate al caso.
1. Puoi selezionare più persone e scegliere **Rimuovi** per eliminarle dall'elenco.
1. Aggiungi tag opzionali alla custodia.
1. Per aggiungere un tag, procedere come segue:
1. Scegli **Aggiungi nuovo tag**.
1. Per **Chiave**, inserisci il nome del tag.
1. In **Valore**, immetti il valore del tag.
1. Per rimuovere un tag, seleziona l'opzione **Rimuovi** per quel tag.
Dopo la creazione di un caso AWS supportato, i tecnici di AWS Security Incident Response e il team di risposta agli incidenti vengono immediatamente informati.
**Per creare un caso AWS supportato da un'indagine basata sull'intelligenza artificiale**
1. Apri la AWS Security Incident Response console all'indirizzo [console.aws.amazon.com/](https://console.aws.amazon.com/).
1. **Scegli Casi dal pannello di navigazione.**
1. Scegli **Crea caso**.
1. Per **Tipo di custodia**, seleziona **AWS-case supportate**.
1. Fornisci i dettagli del caso, tra cui titolo, data di inizio dell'incidente e ID AWS dell'account interessato.
1. Nella sezione **Descrivi l'evento di sicurezza**, fornisci una descrizione completa dell'incidente.
1. Fornisci informazioni aggiuntive sui AWS servizi interessati, sulle regioni e su altri dettagli pertinenti.
1. Scegli **Crea caso**.
Dopo la creazione del caso, sia gli ingegneri di Security Incident Response che l'agente AI iniziano a lavorare contemporaneamente.
**Per rispondere a domande di chiarimento sull'IA (opzionale)**
1. Vai alla scheda **Indagine** relativa al tuo caso.
1. Esamina tutte le domande di chiarimento presentate dall'agente AI.
1. Rispondi alle domande o scegli **Salta** se preferisci non rispondere.
1. Scegli **Invia** per continuare. Tutti i campi sono facoltativi.
**Divulgazione responsabile dell'IA**
I riepiloghi delle indagini vengono generati utilizzando funzionalità di intelligenza AWS artificiale generativa. Sei responsabile della valutazione delle raccomandazioni generate dall'intelligenza artificiale nel tuo contesto specifico, dell'implementazione di meccanismi di supervisione appropriati, della verifica dei risultati in modo indipendente e del mantenimento della supervisione umana di tutte le decisioni di sicurezza.
# Crea un caso autogestito
Puoi creare un modulo autogestito AWS Security Incident Response tramite la console, l'API o. AWS Command Line Interface Questo tipo di caso *NON* coinvolge i tecnici del AWS Security Incident Response. L'esempio seguente riguarda l'uso della console.
1. Accedi AWS Security Incident Response tramite l' Console di gestione AWS indirizzo [https://console.aws.amazon.com/security-ir/](https://console.aws.amazon.com/).
1. Scegliere **Create Case (Crea caso)**.
1. Scegli **Risolvi il caso con il mio team di risposta agli incidenti.**
1. Imposta la data di inizio stimata sulla data del primo indicatore dell'incidente. Ad esempio, quando hai riscontrato un comportamento anomalo per la prima volta o quando hai ricevuto il primo avviso di sicurezza correlato.
1. Definite un titolo per il caso. Si consiglia di includere i dati nel titolo del caso, come suggerito quando si seleziona l'opzione **Genera titolo**.
1. Inserisci Account AWS IDs che fanno parte del caso. Per aggiungere un ID account, procedi come segue:
1. Inserisci l'ID dell'account a 12 cifre e scegli **Aggiungi** account.
1. Per rimuovere un account, scegli **Rimuovi** accanto all'account che desideri rimuovere dalla custodia.
1. Fornisci una descrizione dettagliata del caso.
1. Considerate i seguenti aspetti che possono aiutare i soccorritori a risolvere il caso:
1. Che cos'è successo?
1. Chi ha scoperto e segnalato l'incidente?
1. Chi è interessato dal caso?
1. Qual è l'impatto noto?
1. Qual è l'urgenza di questo caso?
1. Aggiungi dettagli opzionali sul caso:
1. Seleziona i servizi principali interessati dall'elenco a discesa.
1. Seleziona le principali regioni interessate dall'elenco a discesa.
1. Aggiungi uno o più indirizzi IP degli autori delle minacce che hai identificato nell'ambito di questo caso.
1. Aggiungi opzionali addetti alla risposta agli incidenti aggiuntivi al caso che riceveranno le notifiche. Per aggiungere una persona, procedi come segue:
1. Aggiungi un indirizzo email.
1. Aggiungi un nome e cognome opzionali.
1. Scegli **Aggiungi nuovo** per aggiungere un'altra persona.
1. Per rimuovere una persona, scegli l'opzione **Rimuovi** relativa a una persona.
1. Scegli **Aggiungi** per aggiungere tutte le persone elencate al caso. Puoi selezionare più persone e scegliere **Rimuovi** per eliminarle dall'elenco.
1. Aggiungi tag opzionali alla custodia. Per aggiungere un tag, procedere come segue:
1. Scegli **Aggiungi nuovo tag**.
1. Per **Chiave**, inserisci il nome del tag.
1. In **Valore**, immetti il valore del tag.
1. Per rimuovere un tag, seleziona l'opzione **Rimuovi** per quel tag.
Il team di risposta agli incidenti riceverà una notifica via e-mail dopo la creazione del caso.
# Collaborazione con i tecnici AWS di Security Incident Respon
Dopo aver aperto un caso di incidente di sicurezza, i tecnici del AWS Security Incident Response iniziano a lavorare sull'incidente. Questa sezione spiega cosa aspettarsi durante l'indagine e come collaborare efficacemente con il nostro team.
# Cosa aspettarsi dai tecnici del AWS Security Incident Response
Quando apri un caso AWS supportato, all'incidente viene assegnato un tecnico del Security Incident Response. Il soccorritore assegnato si occuperà di:
+ Rivedi le informazioni iniziali che hai fornito nel caso
+ Analizza i registri AWS di servizio e i risultati di sicurezza pertinenti
+ Identifica la portata e l'impatto dell'incidente di sicurezza
+ Sviluppa un piano di indagine e risposta personalizzato in base alla tua situazione
**Tempi di risposta**: l'obiettivo del livello di servizio (SLO) per il riconoscimento di nuovi casi da parte degli AWS Security Incident Response ingegneri è entro 15 minuti. La tempistica della valutazione iniziale potrebbe variare in base alla gravità e alla complessità dei casi. Se i AWS Security Incident Response tecnici non ricevono una risposta o informazioni critiche da te entro 5 giorni lavorativi, il caso è chiuso.
# Workflow di indagine
AWS Gli ingegneri di Security Incident Response seguono un processo strutturato di risposta agli incidenti allineato al framework NIST 800-61r2. Durante la tua indagine, puoi aspettarti le seguenti fasi:
1. **Valutazione iniziale:** i tecnici del Security Incident Response esaminano i dettagli del caso e confermano la portata dell'incidente
1. **Indagine**: i tecnici del Security Incident Response analizzano i log, identificano gli indicatori di compromissione e determinano la causa principale
1. **Contenimento**: gli ingegneri del Security Incident Response consigliano azioni per limitare l'impatto dell'incidente
1. **Eradicazione e ripristino**: gli ingegneri di Security Incident Response aiutano a rimuovere le minacce e ripristinare le normali operazioni
1. **Revisione post-incidente**: gli ingegneri di Security Incident Response forniscono risultati e raccomandazioni per prevenire incidenti futuri
Durante queste fasi, il tecnico del Security Incident Response ti tiene informato tramite gli aggiornamenti dei casi e può richiedere ulteriori informazioni o azioni da parte tua.
# I tecnici di Information Security Incident Response possono richiedere
Per indagare efficacemente sull'incidente, i tecnici del AWS Security Incident Response potrebbero chiedervi di fornire:
+ **Dettagli sulla cronologia**: la data in cui hai rilevato per la prima volta l'incidente e tutti gli eventi rilevanti che lo hanno preceduto
+ **Risorse interessate**: AWS account IDs, servizi, regioni e risorse ARNs specifici coinvolti
+ **Informazioni di accesso**: dettagli su chi ha accesso alle risorse interessate ed eventuali modifiche recenti all'accesso
+ **Contesto aziendale**: come vengono utilizzate le risorse interessate e potenziale impatto aziendale
+ **Registri e prove**: registri, schermate o artefatti aggiuntivi che possono aiutare le indagini
+ **Autorizzazione**: approvazione per eseguire specifiche azioni di contenimento o riparazione per conto dell'utente
Il tecnico addetto alla Security Incident Response spiegherà perché ogni informazione è necessaria e in che modo aiuta l'indagine.
# Le migliori pratiche di comunicazione
Una comunicazione efficace accelera la risoluzione degli incidenti. Segui queste pratiche quando lavori con i tecnici del AWS Security Incident Response:
+ **Rispondi tempestivamente alle** richieste di informazioni del tuo tecnico di Security Incident Response
+ **Fornisci informazioni complete** anche se non sei sicuro della loro rilevanza
+ **Fai domande** se non comprendi una raccomandazione o hai bisogno di chiarimenti
+ **Aggiorna il caso** con eventuali nuovi sviluppi o modifiche all'incidente
+ **Designate un contatto principale** del vostro team che si coordini con i tecnici del Security Incident Response
**Importante**
Se i AWS Security Incident Response tecnici non ricevono una risposta alle richieste di informazioni critiche entro 5 giorni lavorativi, ci adopereremo per chiudere il caso. Puoi riaprire un caso se diventano disponibili nuove informazioni.
# Il tuo ruolo durante le indagini
Sebbene AWS Security Incident Response gli ingegneri guidino le indagini, la tua partecipazione è essenziale. Sei responsabile delle seguenti azioni:
+ Fornire risposte tempestive alle richieste di informazioni
+ Implementazione delle azioni di contenimento e riparazione consigliate nell'ambiente in uso AWS
+ Autorizzazione dei tecnici di Security Incident Response a intraprendere azioni per conto dell'utente (se è stata abilitata la risposta proattiva)
+ Coordinamento con i team interni (sicurezza, legale, conformità) secondo necessità
+ Prendere decisioni aziendali sulle priorità e sui compromessi di risposta agli incidenti
AWS Security Incident Response gli ingegneri forniscono competenze e consigli, ma voi mantenete il controllo sulle AWS risorse e prendete decisioni definitive sulle azioni di risposta.
# Chiusura della custodia
AWS Security Incident Response i tecnici chiudono la custodia quando:
+ L'incidente è stato contenuto e risolto
+ Tutti i risultati delle indagini sono stati condivisi con te
+ Non è richiesta alcuna ulteriore assistenza tecnica da parte dei tecnici del Security Incident Response
+ Richiedete la chiusura del caso
Prima di chiudere un caso, il tecnico del Security Incident Response fornisce un riepilogo dei risultati, delle azioni intraprese e delle raccomandazioni per migliorare il livello di sicurezza.
Se hai bisogno di ulteriore assistenza dopo la chiusura del caso, puoi aprire un nuovo caso o un nuovo contatto Supporto AWS.
# Rispondere a un caso AWS generato
AWS Security Incident Response potrebbe creare una notifica o un caso in uscita quando devi agire o essere a conoscenza di qualcosa che potrebbe avere un impatto sul tuo account o sulle tue risorse. Ciò si verifica solo se hai abilitato i flussi di lavoro di risposta proattiva e triaging degli avvisi come parte dell'abbonamento.
Queste notifiche vengono visualizzate come casi di Security Incident Response con il prefisso «[Proactive case]» nella console. AWS Security Incident Response Per visualizzare e gestire questi casi, completa i seguenti passaggi:
+ Aprire la console Security Incident Response all'indirizzo https://console.aws.amazon.com/security-ir/
+ Scegli **Casi**.
+ Vengono visualizzati tutti i casi, inclusi quelli con il prefisso «[Caso proattivo]».
Puoi aggiornare, risolvere e riaprire questi casi secondo necessità. È possibile comunicare direttamente con il AWS Security Incident Response team in questi casi, garantendo una gestione efficiente dei potenziali problemi di sicurezza.