

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 包含
<a name="contain"></a>

當 AWS 安全事件應變 識別您環境中的作用中威脅時，遏制是立即的優先順序：停止威脅行為者造成進一步損害，同時保留證據以供調查。服務會透過可復原的自動化動作執行遏制，以隔離遭入侵的資源，而不會銷毀資源。若要啟用這些功能，您必須先設定必要的許可和偏好設定。請參閱 [部署遏制和 EC2 Triage 角色](working-with-stacksets.md)。

## 控制決策
<a name="containment-decision-making"></a>

遏制的一個重要部分是決定是否關閉系統、將資源與網路隔離、撤銷存取或結束工作階段。 AWS 安全事件應變 提供遏制策略、通知您潛在影響，並引導您在考慮並同意涉及的風險之後實作解決方案。

當您有預先決定的策略和程序時，這些決策會變得更容易。服務會使用您的遏制偏好設定 （在加入期間設定）、威脅性質和即時分析的組合來判斷適當的回應。

## 支援的遏制動作
<a name="supported-containment-actions"></a>

AWS 安全事件應變 會代表您執行遏制動作，以減少威脅行為者造成損害的時間。所有支援的遏制動作都是可逆的。解決事件後，服務可以將資源還原至其遏制前狀態。遏制動作對應至三種資源類型：

**Amazon EC2 遏制** (`AWSSupport-ContainEC2Instance`) 會執行 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的可逆網路遏制。執行個體會保持執行狀態且完好無損，但自動化會將其與新的網路活動隔離，並透過將執行個體的安全群組取代為限制性遏制安全群組，防止其與 Amazon VPC 內部或外部的資源通訊。現有的追蹤連線不會因為變更安全群組而關閉。只有未來的流量會遭到封鎖。

**IAM 遏制** (`AWSSupport-ContainIAMPrincipal`) 會執行 AWS Identity and Access Management (IAM) 使用者或角色的可逆遏制。委託人會保留在 IAM 中，但自動化會透過連接拒絕所有政策，將其與帳戶中的資源進行通訊。這可有效地撤銷委託人採取動作的能力，同時保留它以進行鑑識審查。

**Amazon S3 遏制** (`AWSSupport-ContainS3Resource`) 會執行 Amazon Simple Storage Service (Amazon S3) 儲存貯體的可逆遏制。物件會保留在儲存貯體中，但自動化會修改其存取政策以拒絕所有外部存取，以隔離儲存貯體或物件。

## 制定您的遏制策略
<a name="developing-containment-strategies"></a>

針對符合您風險偏好的每個主要事件類型，考慮控制策略。記錄明確的條件，以協助在事件期間做出決策。要考慮的條件包括下列項目：
+ 資源的潛在損壞
+ 保留證據和法規要求
+ 服務無法使用 （例如，網路連線或提供給外部各方的服務）
+ 實作策略所需的時間和資源
+ 策略的有效性 （部分遏制與完全遏制）
+ 解決方案的持久性 （可逆與不可逆）
+ 解決方案的持續時間 （緊急解決方法、暫時解決方法或永久解決方案）

套用可降低風險的安全控制，並允許時間來定義和實作更有效的遏制策略。

## 階段式遏制方法
<a name="staged-containment-approach"></a>

AWS 安全事件應變 使用分階段方法來實現有效率且有效的遏制，並根據資源類型涉及短期和長期策略。短期遏制著重於立即停止作用中的威脅 （隔離網路、撤銷憑證），而長期遏制可解決根本原因，以防止在立即危險通過之後再次發生。

## 遏制與事件生命週期的關係
<a name="containment-incident-lifecycle"></a>

在事件生命週期中，偵測/分析和根除之間的限制。在自動分類識別已確認或可疑的威脅並建立案例後，服務會根據您的偏好設定和事件的嚴重性，判斷是否需要採取遏制動作。包含資源之後， AWS 安全事件應變 工程師會繼續調查、與您分享問題清單，並引導您完成根除和復原。事件完全解決後，抑制動作會反轉，並恢復正常操作。