步骤 1:启用 AWS 安全事件响应
每个 AWS 组织的入门流程大约需要 10 到 15 分钟。有关演练,请参阅服务文档中的入门视频。
启用 AWS 安全事件响应
-
使用管理账户登录到 AWS 管理控制台。
-
打开 AWS 安全事件响应 控制台,然后选择注册。
-
指定安全工具账户作为委派管理员。
-
登录委托管理员账户。
-
输入会员资格详细信息并关联相关账户。
-
对于账户范围,选择为整个 AWS 组织还是特定 OU 启用 AWS 安全事件响应。您可以在 OU 级别选择覆盖,但不能在个人账户级别选择覆盖。
-
对于主动响应,确认该设置已启用。默认情况下,主动响应处于开启状态并创建了一个服务相关角色,允许 AWS SIRT 摄取 GuardTuty 调查发现,并在检测到威胁时创建主动调查案例。有关更多信息,请参阅主动响应。
重要
服务相关角色不会自动部署到管理账户。您必须手动配置它才能实现全面覆盖。有关说明,请参阅设置主动响应和警报分级工作流程。
-
(可选)选择预授权 AWS SIRT,以在活动事件期间代表您执行遏制操作。支持的遏制操作包括遭盗用的 S3 存储桶、EC2 实例和 IAM 主体的运行手册。如果跳过此步骤,SIRT 将在调查期间提供手动指导。有关更多信息,请参阅遏制操作。
-
查看服务权限和入门配置,然后选择注册。
