As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Automatize a resposta a incidentes e forense
*Lucas Kauffman e Tomek Jakubowski, Amazon Web Services*
## Resumo
Esse padrão implanta um conjunto de processos que usam AWS Lambda funções para fornecer o seguinte:
+ Uma forma de iniciar o processo de resposta a incidentes com o mínimo de conhecimento
+ Processos repetíveis e automatizados que seguem as diretrizes do *Guia de Resposta a Incidentes de Segurança da AWS *
+ Separação de contas para operar as etapas de automação, armazenar artefatos e criar ambientes forenses
A estrutura de resposta automatizada a incidentes e forense segue um processo forense digital padrão que consiste nas seguintes fases:
1. Contenção
1. Aquisição
1. Examinação
1. Análise
Você pode realizar investigações em dados estáticos (por exemplo, memória adquirida ou imagens de disco) e em dados dinâmicos ativos, mas em sistemas separados.
Para obter mais detalhes, consulte a seção [Informações adicionais](#automate-incident-response-and-forensics-additional).
## Pré-requisitos e limitações
**Pré-requisitos **
+ Dois Contas da AWS:
+ Conta de segurança, que pode ser uma conta existente, mas é de preferência nova
+ Conta forense, de preferência nova
+ AWS Organizations configurar
+ Nas contas dos membros da Organizações:
+ A função Amazon Elastic Compute Cloud (Amazon EC2) deve ter acesso Get and List ao Amazon Simple Storage Service (Amazon S3) e estar acessível por. AWS Systems Manager Recomendamos usar a função `AmazonSSMManagedInstanceCore` AWS gerenciada. Lembre-se de que este perfil será automaticamente anexado à instância do Amazon EC2 quando a resposta a incidentes for iniciada. Depois que a resposta for concluída, o AWS Identity and Access Management (IAM) removerá todos os direitos da instância.
+ Endpoints de nuvem privada virtual (VPC) na conta do AWS membro e nas VPCs de resposta e análise de incidentes. Esses endpoints são: S3 Gateway, EC2 Messages, SSM e SSM Messages.
+ AWS Command Line Interface (AWS CLI) instalado nas instâncias do Amazon EC2. Se as instâncias do Amazon EC2 não estiverem AWS CLI instaladas, será necessário acesso à Internet para que o snapshot do disco e a aquisição de memória funcionem. Nesse caso, os scripts entrarão em contato com a Internet para baixar os arquivos de AWS CLI instalação e os instalarão nas instâncias.
**Limitações**
+ Essa estrutura não pretende gerar artefatos que possam ser considerados evidências eletrônicas, submissíveis em juízo.
+ Atualmente, esse padrão é compatível somente a instâncias baseadas em Linux executadas na arquitetura x86.
## Arquitetura
**Arquitetura de destino**
Além da conta do membro, o ambiente de destino consiste em duas contas principais: uma conta de segurança e uma conta forense. Duas contas são usadas pelos seguintes motivos:
+ Para separá-las de quaisquer outras contas de clientes para reduzir o raio de explosão em caso de falha na análise forense
+ Para ajudar a garantir o isolamento e a proteção da integridade dos artefatos que estão sendo analisados
+ Para manter a investigação confidencial
+ Para evitar situações em que os agentes da ameaça possam ter usado todos os recursos imediatamente disponíveis para você, Conta da AWS atingindo as cotas de serviço e impedindo que você instanciasse uma instância do Amazon EC2 para realizar investigações.
Além disso, ter contas de segurança e forense separadas permite a criação de perfis separados: uma Respondente para adquirir evidências e um Investigador para analisá-las. Cada perfil teria acesso a própria conta separada.
O diagrama a seguir mostra somente a interação entre as contas. Os detalhes de cada conta são mostrados nos diagramas subsequentes e um diagrama completo é anexado.
O diagrama a seguir mostra a conta do membro.
1. Um evento é enviado para o tópico do Slack do Amazon Simple Notification Service (Amazon SNS).
O diagrama a seguir mostra a conta de segurança.
2. O tópico do Amazon SNS na conta de segurança aciona eventos de análise forense.
O diagrama a seguir mostra a conta Forensics.
A conta de segurança é onde os dois AWS Step Functions fluxos de trabalho principais são criados para aquisição de memória e imagem de disco. Depois que os fluxos de trabalho estão em execução, eles acessam a conta de membro que tem as instâncias do Amazon EC2 envolvidas em um incidente e iniciam um conjunto de funções do Lambda responsáveis por obter um despejo de memória ou de disco. Esses artefatos são então armazenados na conta forense.
A conta de análise forense armazenará os artefatos coletados pelo fluxo de trabalho do Step Functions no bucket de análise de artefatos do Amazon S3. Além disso, a conta de análise forense contará com um pipeline do Amazon EC2 Image Builder que desenvolve uma imagem de máquina da Amazon (AMI) de uma instância de análise forense. Atualmente, a imagem é baseada na estação de trabalho SANS SIFT.
O processo de compilação usa a VPC de manutenção, que tem conectividade com a Internet. A imagem pode ser usada posteriormente para iniciar a instância do Amazon EC2 destinada à análise dos artefatos coletados na VPC de análise.
A Analysis VPC não tem conectividade à internet. Por padrão, o padrão cria três sub-redes de análise privadas. Você pode criar até 200 sub-redes, que é a cota para o número de sub-redes em uma VPC, mas os VPC endpoints precisam ter essas sub-redes adicionadas para automatizar a execução de comandos nelas. AWS Systems Manager Session Manager
Do ponto de vista das melhores práticas, recomendamos usar AWS CloudTrail e AWS Config fazer o seguinte:
+ Rastrear as alterações feitas em sua conta forense
+ Monitorar o acesso e a integridade dos artefatos que são armazenados e analisados
**Fluxo de trabalho**
O diagrama a seguir mostra as principais etapas de um fluxo de trabalho que inclui o processo e a árvore de decisão desde o momento em que uma instância é comprometida até ser analisada e contida.
1. A tag `SecurityIncidentStatus` foi definida com o valor Analyze? Em caso positivo, faça o seguinte:
1. Anexe os perfis IAM corretos para AWS Systems Manager o Amazon S3.
1. Envie uma mensagem do Amazon SNS para a fila do Amazon SNS no Slack.
1. Envie uma mensagem do Amazon SNS para a fila ` SecurityIncident`.
1. Invoque a máquina de estado de aquisição de memória e disco.
1. A memória e o disco foram adquiridos? Se não foram, há um erro.
1. Adicione a etiqueta `Contain` à instância do Amazon EC2.
1. Anexe o perfil do IAM e o grupo de segurança para isolar totalmente a instância.
**Automação e escala**
A intenção desse padrão é fornecer uma solução escalável para realizar a resposta a incidentes e a análise forense em várias contas em uma única organização. AWS Organizations
## Ferramentas
**Serviços da AWS**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)ajuda você a configurar AWS recursos, provisioná-los de forma rápida e consistente e gerenciá-los em todo o ciclo de vida em todas Contas da AWS as regiões.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) é uma ferramenta de código aberto para interagir por Serviços da AWS meio de comandos em seu shell de linha de comando.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) ajuda você a gerenciar com segurança o acesso aos seus AWS recursos controlando quem está autenticado e autorizado a usá-los.
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/index.html) ajuda você a criar e controlar chaves criptográficas para proteger seus dados.
+ O [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) é um serviço de computação que ajuda a executar código sem exigir provisionamento ou gerenciamento de servidores. Ele executa o código somente quando necessário e dimensiona automaticamente, assim, você paga apenas pelo tempo de computação usado.
+ O [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) é um serviço de armazenamento de objetos baseado na nuvem que ajuda você a armazenar, proteger e recuperar qualquer quantidade de dados.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)fornece uma visão abrangente do seu estado de segurança em AWS. Também ajuda você a verificar seu AWS ambiente de acordo com os padrões e as melhores práticas do setor de segurança.
+ O [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) ajuda você a coordenar e gerenciar a troca de mensagens entre publicadores e clientes, incluindo servidores web e endereços de e-mail.
+ [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)é um serviço de orquestração sem servidor que ajuda você a combinar AWS Lambda funções e outras Serviços da AWS para criar aplicativos essenciais para os negócios.
+ O [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) ajuda você a gerenciar suas aplicações e infraestrutura em execução na Nuvem AWS. Ele simplifica o gerenciamento de aplicativos e recursos, reduz o tempo para detectar e resolver problemas operacionais e ajuda você a gerenciar seus AWS recursos com segurança em grande escala.
**Código**
Para obter o código e as diretrizes específicas de implementação e uso, consulte o repositório do GitHub [Automated Incident Response and Forensics Framework](https://github.com/awslabs/aws-automated-incident-response-and-forensics).
## Épicos
### Implante os CloudFormation modelos
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Implante CloudFormation modelos. | Os CloudFormation modelos são marcados de 1 a 7 com a primeira palavra do nome do script indicando em qual conta o modelo precisa ser implantado. Observe que a ordem de lançamento dos CloudFormation modelos é importante.[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/automate-incident-response-and-forensics.html)
Para iniciar a estrutura de resposta a incidentes para uma instância específica do Amazon EC2, crie uma etiqueta com a chave `SecurityIncidentStatus` e o valor `Analyze`. Isso inicializará a função do Lambda do membro, que iniciará automaticamente o isolamento e a memória, bem como a aquisição de disco. | Administrador da AWS |
| Opere a estrutura. | A função do Lambda também remarcará o ativo no final (ou em caso de falha) com `Contain`. Isso inicia a contenção, que isola totalmente a instância sem um grupo de INBOUND/OUTBOUND segurança e com uma função do IAM que proíbe todo o acesso.
Siga as etapas no [GitHub repositório.](https://github.com/awslabs/aws-automated-incident-response-and-forensics#operating-the-incident-response-framework) | Administrador da AWS |
### Implemente ações CSPM personalizadas do Security Hub
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Implante as ações personalizadas do CSPM do Security Hub usando um CloudFormation modelo. | Para criar uma ação personalizada para que você possa usar a lista suspensa do CSPM do Security Hub, implante o modelo. `Modules/SecurityHub Custom Actions/SecurityHubCustomActions.yaml` CloudFormation Em seguida, modifique o perfil `IRAutomation` em cada uma das contas dos membros para permitir que a função do Lambda que executa a ação assuma o perfil `IRAutomation`. Para obter mais informações, consulte o [GitHub repositório.](https://github.com/awslabs/aws-automated-incident-response-and-forensics#securityhub-actions) | Administrador da AWS |
## Recursos relacionados
+ [AWS Guia de resposta a incidentes de segurança](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
## Mais informações
Ao usar esse ambiente, uma equipe do Centro de operações de segurança (Security Operations Center, SOC) pode melhorar o processo de resposta a incidentes de segurança ao:
+ Ter a capacidade de realizar forenses em um ambiente segregado para evitar o comprometimento acidental dos recursos de produção
+ Ter um processo padronizado, repetível e automatizado para fazer contenção e análise.
+ Dar a qualquer proprietário ou administrador da conta a capacidade de iniciar o processo de resposta a incidentes com o mínimo de conhecimento de como usar tags
+ Ter um ambiente padronizado e limpo para realizar análises de incidentes e forenses sem o ruído de um ambiente maior
+ Ter a capacidade de criar vários ambientes de análise em paralelo
+ Foco nos recursos do SOC na resposta a incidentes em vez de na manutenção e documentação de um ambiente forense em nuvem
+ Substituição de um processo manual para um automatizado para obter escalabilidade
+ Usando CloudFormation modelos para obter consistência e evitar tarefas repetíveis
Além disso, você evita usar uma infraestrutura persistente e paga pelos recursos quando precisa deles.
## Anexos
Para acessar o conteúdo adicional associado a este documento, descompacte o seguinte arquivo: [ attachment.zip](samples/p-attach/7fc94597-d82d-4f6d-9c8b-5e0060010c53/attachments/attachment.zip)