本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
步驟 1:啟用 AWS 安全事件應變
加入程序每個 AWS 組織大約需要 10 到 15 分鐘。如需逐步解說,請參閱服務文件中的入門影片。
啟用 AWS 安全事件應變
-
使用您的 AWS 管理帳戶登入 管理主控台。
-
開啟 AWS 安全事件應變 主控台,然後選擇註冊。
-
將安全工具帳戶指定為委派管理員。
-
登入委派管理員帳戶。
-
輸入您的成員資格詳細資訊並關聯相關帳戶。
-
針對帳戶範圍,選擇 AWS 安全事件應變 為整個 AWS 組織或特定 OUs 啟用 。您可以在 OU 層級選取涵蓋範圍,但無法在個別帳戶層級選取涵蓋範圍。
-
針對主動回應,確認已啟用設定。主動回應預設為開啟,並建立服務連結角色,允許 AWS SIRT 在偵測到威脅時擷取 GuardDuty 調查結果和開啟主動調查案例。如需詳細資訊,請參閱主動回應。
重要
服務連結角色不會自動部署到管理帳戶。您必須手動設定才能完整涵蓋範圍。如需說明,請參閱設定主動回應和提醒分類工作流程。
-
(選用) 選擇預先授權 AWS SIRT,以在作用中事件期間代表您執行遏制動作。支援的遏制動作包括遭入侵的 S3 儲存貯體、EC2 執行個體和 IAM 主體的 Runbook。如果您略過此步驟,SIRT 將在調查期間提供手動指引。如需詳細資訊,請參閱包含動作。
-
檢閱服務許可和加入組態,然後選擇註冊。
