本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 包含
<a name="contain"></a>

AWS 安全事件回應會與您合作來包含事件。您可以設定服務在帳戶中採取主動遏制動作，以回應安全調查結果。您也可以使用支援遏制動作中所述的 [SSM 文件](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-runbook-reference.html)，自行執行遏制，或與第三方關係合作執行。 [https://docs.aws.amazon.com/security-ir/latest/userguide/supported-containment-actions.html](https://docs.aws.amazon.com/security-ir/latest/userguide/supported-containment-actions.html)

**重要**  
 AWS 根據預設，安全事件回應不會啟用遏制功能。  
 啟用主動遏制功能需要兩個步驟：  
使用 IAM 角色將**必要的許可授予**服務。您可以透過使用 AWS CloudFormation 堆疊集來建立所需的角色，為每個帳戶或整個組織個別建立這些角色。
定義每個帳戶或整個組織的**遏制偏好設定**，以授權主動遏制動作。帳戶層級偏好設定會取代組織層級偏好設定。這可以透過建立 AWS 支援案例來完成 （技術：安全事件回應服務/其他）。可用的遏制偏好設定包括：  
**需要核准 （預設）：**未經case-by-case授權，請勿主動遏制任何資源。
**包含已確認：**對已確認遭到入侵的資源執行主動遏制。
**包含可疑：**根據 AWS 安全事件回應工程執行的分析，對具有高度可能遭到入侵的資源執行主動遏制。