ステップ 1: AWS Security Incident Response を有効にする
オンボーディングプロセスには、AWS 組織あたり約 10~15 分かかります。チュートリアルについては、サービスドキュメントの「入門ビデオ」を参照してください。
AWS Security Incident Response を有効にするには
-
管理アカウントを使用して、AWS マネジメントコンソールにサインインします。
-
AWS Security Incident Response コンソールを開き、[サインアップ] を選択します。
-
セキュリティツーリングアカウントを委任管理者として指定します。
-
ガイダンスについては、「AWS 規範ガイダンス」の「セキュリティリファレンスアーキテクチャ」と「委任管理者」を参照してください。
-
-
委任管理者アカウントにサインインします。
-
メンバーシップの詳細を入力し、適切なアカウントを関連付けます。
-
[アカウントスコープ] で、AWS Security Incident Response を有効にする対象として、AWS 組織全体または特定の OU を選択します。対象範囲は OU レベルで選択できますが、個々のアカウントレベルでは選択できません。
-
[プロアクティブレスポンス] では、設定が有効になっていることを確認します。プロアクティブレスポンスはデフォルトでオンになっており、サービスにリンクされたロールを作成して、AWS SIRT が GuardDuty の検出結果を取り込み、脅威が検出されたときにプロアクティブ調査ケースを開くことができるようにします。詳細については、「プロアクティブレスポンス」を参照してください。
重要
サービスにリンクされたロールは、管理アカウントに自動的にデプロイされません。完全にカバーするように手動で設定する必要があります。手順については、「プロアクティブレスポンスとアラートのトリアージワークフローを設定する」を参照してください。
-
(オプション) アクティブなインシデント中にユーザーに代わって封じ込めアクションを実行することを SIRT AWS に事前承認することを選択します。サポートされている封じ込めアクションには、侵害された S3 バケット、EC2 インスタンス、IAM プリンシパルのランブックが含まれます。このステップをスキップすると、SIRT は調査中に手動ガイダンスを提供します。詳細については、「封じ込めアクション」を参照してください。
-
サービスのアクセス許可とオンボーディング設定を確認し、[サインアップ] を選択します。
