Fase 1: Abilitare AWS Security Incident Response

Per abilitare AWS Security Incident Response

1. Accedi alla console di AWS gestione utilizzando il tuo account di gestione.

2. Apri la AWS Security Incident Response console e scegli Registrati.

   

3. Designare un account dedicato agli strumenti di sicurezza come amministratore delegato.

   • Per ulteriori informazioni, consulta Security Reference Architecture in AWS Prescriptive Guidance and Delegated administrator.

   

4. Accedi all'account amministratore delegato.

5. Inserisci i dettagli della tua iscrizione e associa gli account pertinenti.

6. Per l'ambito dell'account, scegli di abilitarlo AWS Security Incident Response per l'intera AWS organizzazione o per uno specifico OUs. Puoi selezionare la copertura a livello di unità organizzativa, ma non a livello di account individuale.

7. Per Proactive Response, conferma che l'impostazione sia abilitata. La risposta proattiva è attiva per impostazione predefinita e crea un ruolo collegato al servizio che consente a AWS SIRT di acquisire i GuardDuty risultati e aprire casi di indagine proattivi quando vengono rilevate minacce. Per ulteriori informazioni, consulta Risposta proattiva.

   Importante

   Il ruolo collegato al servizio non viene distribuito automaticamente nell'account di gestione. È necessario configurarlo manualmente per una copertura completa. Per istruzioni, consulta Imposta flussi di lavoro di risposta proattiva e valutazione degli avvisi.

8. (Facoltativo) Scegliete di pre-autorizzare AWS SIRT a eseguire azioni di contenimento per vostro conto durante gli incidenti attivi. Le azioni di contenimento supportate includono runbook per bucket S3 compromessi, istanze EC2 e principali IAM. Se salti questo passaggio, SIRT fornirà una guida manuale durante le indagini. Per ulteriori informazioni, consulta Azioni di contenimento.

9. Controlla le autorizzazioni del servizio e la configurazione di onboarding, quindi scegli Registrati.