As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Recomendações de segurança para responder a incidentes

Quando ocorre um evento de segurança em sua organização, seus usuários devem estar preparados para reagir ao problema. Todos os usuários devem ter uma compreensão básica dos processos de resposta de segurança da sua organização. Planejamento, treinamento e experiência são essenciais para um programa bem-sucedido de resposta a incidentes. De preferência, você prepara sua organização antes que ocorra um possível evento de segurança. O AWS Well-Architected Framework identifica três fundamentos necessários para um programa bem-sucedido de resposta a incidentes na nuvem: preparação, operações e atividade pós-incidente. Para obter mais informações, consulte Aspectos da resposta a AWS incidentes no AWS Well-Architected Framework.

Com exceção dos controles de segurança que notificam você sobre eventos ou respondem automaticamente a eles, há controles limitados que você pode estabelecer para a resposta a incidentes. Uma postura forte de resposta a incidentes é estabelecida principalmente por meio dos planos, processos, runbooks, playbooks e programas de treinamento que você usa em sua organização. Você pode usar os controles e as recomendações desta seção para implementar as práticas recomendadas para seu programa de resposta a incidentes. Para obter mais informações sobre as melhores práticas para resposta a incidentes e orientação de implementação, consulte Resposta a incidentes no AWS Well-Architected Framework.

Definir um plano de resposta a incidentes

Estabeleça um plano de resposta a incidentes (IRP) bem definido. O plano de resposta a incidentes é projetado para ser a base de seu programa de resposta a incidentes. Esse plano deve ser personalizado para atender às necessidades de cada organização.

Para saber mais, consulte os seguintes recursos:

Criar e manter runbooks e playbooks de resposta a incidentes

Uma parte fundamental da preparação de processos de resposta a incidentes é desenvolver playbooks. Os playbooks de resposta a incidentes fornecem uma série de etapas recomendadas a serem seguidas quando um evento de segurança ocorrer. Ter uma estrutura e etapas claras simplifica a resposta e reduz a probabilidade de erro humano.

Para saber mais, consulte os seguintes recursos:

Implementar a automação de segurança orientada por eventos

Automação de resposta de segurança é uma ação predefinida e programada projetada para responder ou remediar automaticamente um evento de segurança. Essas automações servem como controles de segurança para detecção ou resposta que ajudam você a implementar as práticas recomendadas de segurança da AWS . Exemplos de ações de resposta automatizada incluem a modificação de um grupo de segurança da VPC, a aplicação de patches em uma instância do Amazon EC2 ou a alternância de credenciais.

Muitos Serviços da AWS oferecem suporte a respostas automatizadas. Por exemplo, você pode configurar um CloudWatch alarme da Amazon para métricas específicas, e o alarme pode iniciar uma ação quando o alarme muda de estado. Através da Amazon EventBridge, você também pode configurar respostas e remediações automáticas para descobertas no Amazon AWS Security Hub CSPM Inspector.

Para obter mais informações, consulte os recursos abaixo:

Documente como as equipes operacionais devem interagir com Suporte

Para você Conta da AWS, você pode definir um contato principal e três contatos alternativos. Recomendamos que você forneça um contato de segurança para cada um Conta da AWS ou para sua organização.

AWS Support oferece uma variedade de planos que fornecem acesso a ferramentas e conhecimentos que podem apoiar o sucesso e a integridade operacional das AWS soluções. Além disso, considere se sua organização se beneficiaria com o uso de um Suporte plano AWS Managed Services em vez de usá-lo. AWS Managed Services (AMS) ajuda você a operar com mais eficiência e segurança fornecendo gerenciamento contínuo de sua AWS infraestrutura, incluindo monitoramento, gerenciamento de incidentes, orientação de segurança, suporte a patches e backup para AWS cargas de trabalho. O modelo de suporte do AMS pode ser mais adequado para organizações que têm recursos limitados em suas equipes de operações em nuvem. Recomendamos que você compare esses modelos e planos para escolher o mais adequado ao caso de uso e ao nível de maturidade da nuvem da sua organização.

Para saber mais, consulte os seguintes recursos:

Configurar alertas para eventos de segurança

Detectar uma anormalidade é tão importante quanto as medidas implementadas para controlá-la. Um alerta corresponde ao componente principal da fase de detecção. Ele gera uma notificação para iniciar o processo de resposta a incidentes com base na Conta da AWS atividade de interesse. Certifique-se de que os alertas incluam informações relevantes para a equipe tomar medidas.

Para saber mais, consulte os seguintes recursos: