Proteção de dados no Accelerate - Guia do usuário do AMS Accelerate
Monitore com o Amazon MacieMonitor com GuardDutyMonitore com o Amazon Route 53 Resolver DNS FirewallCriptografia de dados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteção de dados no Accelerate

O AMS Accelerate utiliza ferramentas e processos nativos GuardDuty, Serviços da AWS como Amazon, Amazon Macie (opcionalmente) e outras ferramentas e processos proprietários internos, para monitorar continuamente suas contas gerenciadas. Depois que um alarme é acionado, o AMS Accelerate assume a responsabilidade pela triagem inicial e pela resposta ao alarme. Os processos de resposta do AMS são baseados nos padrões do NIST. O AMS Accelerate testa regularmente os processos de resposta usando a Simulação de Resposta a Incidentes de Segurança com você para alinhar seu fluxo de trabalho aos programas existentes de resposta de segurança do cliente.

Quando o AMS Accelerate detecta uma violação ou ameaça iminente de violação de suas políticas de AWS segurança, o Accelerate coleta informações, incluindo recursos afetados e quaisquer alterações relacionadas à configuração. O AMS Accelerate fornece follow-the-sun suporte 24 horas por dia, 7 dias por semana, 365 dias por ano, com operadores dedicados que analisam e investigam ativamente painéis de monitoramento, filas de incidentes e solicitações de serviço em todas as suas contas gerenciadas. O Accelerate investiga as descobertas com especialistas internos em segurança para analisar a atividade e notificá-lo por meio dos contatos de escalonamento de segurança listados em sua conta.

Com base nas descobertas, o Accelerate interage proativamente com você. Se você achar que a atividade não é autorizada ou suspeita, a AMS trabalha com você para investigar, corrigir ou conter o problema. Há certos tipos de descoberta gerados por GuardDuty que exigem que você confirme o impacto antes que o Accelerate execute qualquer ação. Por exemplo, o tipo de GuardDuty descoberta UnauthorizedAccess:IAMUser/ConsoleLoginindica que um de seus usuários fez login em um local incomum; o AMS notifica você e solicita que você revise a descoberta para confirmar se esse comportamento é legítimo.

Monitore com o Amazon Macie

O AMS Accelerate oferece suporte ao Amazon Macie, e é uma prática recomendada de usar, para detectar uma lista grande e abrangente de dados confidenciais, como informações pessoais de saúde (PHI), informações de identificação pessoal (PII) e dados financeiros.

Você pode configurar o Macie para ser executado periodicamente em qualquer bucket do Amazon S3. Isso automatiza a avaliação de objetos novos ou modificados em um bucket ao longo do tempo. À medida que as descobertas de segurança são geradas, o AMS notifica você e trabalha com você para corrigir as descobertas conforme necessário.

Para obter mais informações, consulte Análise das descobertas do Amazon Macie.

Monitor com GuardDuty

GuardDuty é um serviço contínuo de monitoramento de segurança que usa feeds de inteligência de ameaças, como listas de endereços IP e domínios maliciosos, e aprendizado de máquina para identificar atividades inesperadas, potencialmente não autorizadas e maliciosas em seu ambiente. AWS Isso pode incluir problemas como escalonamento de privilégios, uso de credenciais expostas ou comunicação com endereços IP ou domínios maliciosos. GuardDuty monitora o comportamento de Conta da AWS acesso em busca de sinais de comprometimento, como implantações de infraestrutura não autorizadas, instâncias implantadas em uma AWS região que você nunca usou. GuardDuty também detecta chamadas de API incomuns, como uma alteração na política de senha para reduzir a força da senha. Para obter mais informações, consulte o Guia do usuário do GuardDuty .

Para visualizar e analisar suas GuardDuty descobertas, conclua as seguintes etapas:

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  2. Escolha Descobertas e, em seguida, selecione uma descoberta específica para ver os detalhes. Os detalhes de cada descoberta diferem dependendo do tipo de descoberta, dos recursos envolvidos e da natureza da atividade.

Para obter mais informações sobre os campos de busca disponíveis, consulte os detalhes da GuardDuty descoberta.

Use regras de GuardDuty supressão para filtrar descobertas

Uma regra de supressão é um conjunto de critérios que consiste em um atributo de filtro emparelhado com um valor. Você pode usar regras de supressão para filtrar descobertas de baixo valor sobre as quais você não pretende agir, como descobertas falsas positivas ou atividades conhecidas. Filtrar suas descobertas ajuda a facilitar o reconhecimento das ameaças à segurança que podem ter o maior impacto em seu ambiente.

Para filtrar as descobertas, as regras de supressão arquivam automaticamente as novas descobertas que correspondam aos critérios especificados. As descobertas arquivadas não são enviadas para o AWS Security Hub, Amazon S3 ou Events. CloudTrail Portanto, os filtros de supressão reduzem os dados não acionáveis se você consumir GuardDuty descobertas por meio do Security Hub ou de um aplicativo de emissão de alertas e tickets SIEM de terceiros.

O AMS tem um conjunto definido de critérios para identificar regras de supressão para suas contas gerenciadas. Quando uma conta gerenciada atende a esses critérios, o AMS aplica os filtros e cria uma solicitação de serviço (SR) para você que detalha o filtro de supressão implantado.

Você pode se comunicar com o AMS por meio de um SR para modificar ou reverter os filtros de supressão.

Veja as descobertas arquivadas

GuardDuty continua gerando descobertas mesmo quando essas descobertas correspondem às suas regras de supressão. As descobertas suprimidas são marcadas como arquivadas. GuardDuty armazena a descoberta arquivada por 90 dias. Você pode visualizar as descobertas arquivadas no GuardDuty console durante esses 90 dias selecionando Arquivado na tabela de descobertas. Ou visualize as descobertas arquivadas por meio da GuardDuty API usando a ListFindingsAPI com um FindingCriteria de service.archived igual a true.

Casos de uso comuns para regras de supressão

Veja a seguir os tipos de descoberta em casos de uso comuns para aplicar regras de supressão:

  • Recon: EC2 /Portscan: use uma regra de supressão para arquivar automaticamente as descobertas ao usar um scanner de vulnerabilidade autorizado.

  • UnauthorizedAccess:EC2/SSHBruteForce: use uma regra de supressão para arquivar automaticamente as descobertas quando elas forem direcionadas a instâncias do Bastion.

  • Recon:EC2/PortProbeUnprotectedPort: Use uma regra de supressão para arquivar automaticamente as descobertas quando elas forem direcionadas a instâncias expostas intencionalmente.

Monitore com o Amazon Route 53 Resolver DNS Firewall

O Amazon Route 53 Resolver responde recursivamente às consultas de DNS de AWS recursos para registros públicos, nomes DNS específicos do Amazon VPC e zonas hospedadas privadas do Amazon Route 53, e está disponível por padrão em todos. VPCs Com o Firewall DNS do Route 53 Resolver, você pode filtrar e regular o tráfego DNS de saída para sua nuvem privada virtual (VPC). Para fazer isso, você cria coleções reutilizáveis de regras de filtragem em grupos de regras do Firewall DNS, associa os grupos de regras à sua VPC e monitora a atividade em logs e métricas do Firewall DNS. Com base na atividade, você pode ajustar o comportamento do Firewall DNS adequadamente. Para obter mais informações, consulte Usando o firewall DNS para filtrar o tráfego DNS de saída.

Para visualizar e gerenciar sua configuração do Route 53 Resolver DNS Firewall, use o procedimento a seguir:

  1. Faça login no AWS Management Console e abra o console da Amazon VPC em. https://console.aws.amazon.com/vpc/

  2. Em Firewall DNS, escolha Grupos de regras.

  3. Revise, edite ou exclua sua configuração existente ou crie um novo grupo de regras. Para obter mais informações, consulte Como o Route 53 Resolver DNS Firewall funciona.

Amazon Route 53 Resolver DNS Firewall: monitoramento e segurança

O Amazon Route 53 DNS Firewall usa os conceitos de associação de regras, ação de regras e prioridade de avaliação de regras. Uma lista de domínios é um conjunto reutilizável de especificações de domínios que você usa em uma regra do DNS Firewall, dentro de um grupo de regras. Quando você associa um grupo de regras a uma VPC, o DNS Firewall compara suas consultas de DNS com as listas de domínios usadas nas regras. Se o Firewall do DNS encontrar uma correspondência, ele processará a consulta de DNS de acordo com a ação da regra correspondente. Para obter mais informações sobre grupos e regras de regras, consulte Regras e grupos de regras do Firewall DNS.

As listas de domínios se enquadram em duas categorias principais:

  • Listas de domínios gerenciados, que AWS criam e mantêm para você.

  • Suas próprias listas de domínios, que você cria e mantém.

Os grupos de regras são avaliados com base em seu índice de prioridade de associação.

Por padrão, o AMS implanta uma configuração de linha de base que consiste na seguinte regra e grupo de regras:

  • Um grupo de regras chamadoDefaultSecurityMonitoringRule. O grupo de regras tem a maior prioridade de associação disponível no momento da criação para cada VPC existente em cada uma habilitada. Região da AWS

  • Uma regra nomeada DefaultSecurityMonitoringRule com prioridade 1 dentro do grupo de DefaultSecurityMonitoringRule regras, usando a lista de domínios AWSManagedDomainsAggregateThreatList gerenciados com a ação ALERT.

Se você tiver uma configuração existente, a configuração básica será implantada com menor prioridade do que a configuração existente. Sua configuração existente é a padrão. Você usa a configuração básica do AMS como uma solução abrangente se sua configuração existente não fornecer uma instrução de maior prioridade sobre como lidar com a resolução de consultas. Para alterar ou remover a configuração da linha de base, faça o seguinte:

  • Entre em contato com seu Cloud Service Delivery Manager (CSDM) ou Cloud Architect (CA).

  • Crie uma solicitação de serviço.

Criptografia de dados no AMS Accelerate

O AMS Accelerate usa vários Serviços da AWS para criptografia de dados.

O Amazon Simple Storage Service oferece várias opções de criptografia de objetos que protegem dados em trânsito e em repouso. A criptografia no lado do servidor criptografa o objeto antes de salvá-lo em discos em seus datacenters e os descriptografa ao fazer download dos objetos. Contanto que você autentique sua solicitação e tenha permissões de acesso, não há diferença na forma de acesso aos objetos criptografados ou não criptografados. Para obter mais informações, consulte Proteção de dados no Amazon S3.