Analise exemplos de casos de uso na fase de maturidade - AWS Orientação prescritiva
Amadurecer: exemplo de detecção de ameaçasAmadurecer: exemplo do IAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Analise exemplos de casos de uso na fase de maturidade

Confira a seguir exemplos da etapa de maturidade. Esses exemplos se aprofundam nos modelos, nas ferramentas e nos processos para diferentes objetivos de negócios, em um nível prático.

Amadurecer: exemplo de detecção de ameaças

Resultado de negócios para controles de detecção: aumente a visibilidade e a velocidade de detecção de incidentes na nuvem para reduzir os riscos e possibilitar o uso e o desenvolvimento acelerados dos recursos da nuvem.

Ferramenta: o Assisted Log Enabler for AWS (GitHub) é uma ferramenta de código aberto que ajuda você a ativar o registro em log no meio de um incidente de segurança. Ele pode aumentar rapidamente sua visibilidade sobre um incidente.

Exemplo de caso de uso: considere o caso de uso de conta única descrito no diagrama a seguir. Há eventos que exigem uma investigação mais aprofundada. Você não tem certeza se o registro em log está habilitado. Nesse caso, o melhor curso de ação é realizar um dry run com o Assisted Log Enabler para ver quais serviços estão ativados ou desativados. Assisted Log Enablerverifica AWS CloudTrail trilhas, registros de consultas de DNS, registros de fluxo de VPC e outros registros. Se eles não estiverem habilitados, Assisted Log Enabler habilite-os. Assisted Log Enablerpode verificar e ativar o registro em todos Regiões da AWS.

Você também pode controlar a utilização do Assisted Log Enabler, aumentando ou diminuindo sua capacidade. Depois de concluir a simulação, fechar o evento e resolver o problema, você percebe que não precisa mais desse nível de registro em log. Você pode limpar rapidamente a implantação para interromper o registro em log. Esse recurso permite que você use o Assisted Log Enabler como uma ferramenta de triagem.

Use o Assisted Log Enabler para ver quais serviços têm o registro em log habilitado ou desabilitado

Confira abaixo os principais recursos do Assisted Log Enabler for AWS:

  • É possível executá-lo em um ambiente de conta única ou de várias contas.

  • Você pode usá-lo para estabelecer uma linha de base para fazer login em seu ambiente.

  • Você pode usar o recurso de simulação para verificar o estado atual e determinar quais serviços têm o registro em log habilitado.

  • É possível selecionar para quais serviços você deseja habilitar o registro em log.

  • Você pode controlar a utilização do Assisted Log Enabler, aumentando ou diminuindo sua capacidade, para seu caso de uso.

Amadurecer: exemplo do IAM

Resultado de negócios do IAM: automatize a visibilidade e avalie as práticas recomendadas para reduzir continuamente os riscos, permitir conexões externas seguras e provisionar rapidamente novos usuários e ambientes

Ferramenta: o AWS Identity and Access Management Access Analyzer (analisador de acesso do IAM) ajuda a identificar recursos que são compartilhados com uma entidade externa, valida as políticas do IAM em relação à gramática e às práticas recomendadas e gera políticas do IAM com base no histórico de atividades de acesso. É altamente recomendável que você habilite o analisador de acesso do IAM nos níveis da conta e da organização.

Benefícios do serviço: o analisador de acesso do IAM fornece um vasto conjunto de descobertas relevantes. Ele ajuda a identificar os recursos da sua organização e as contas que são compartilhados com entidades externas. Ele pode detectar recursos como um bucket público do S3, um AWS KMS key compartilhado com outra conta ou uma função compartilhada com uma conta externa, oferecendo excelente visibilidade na identificação de recursos que não estão sob o controle da sua organização. Ele não apenas valida as políticas do IAM, mas também pode gerá-las para você.