Agente de IA investigativo
Visão geral
O agente de investigação por IA trabalha junto com os clientes e os engenheiros do AWS Security Incident Response para agilizar as investigações de segurança. Quando um cliente cria um caso com o suporte da AWS, o agente automaticamente ativa em paralelo o envolvimento do engenheiro do Security Incident Response, o que reduz o tempo de resolução de dias para horas.
Durante escalações do cliente, os casos do Security Incident Response podem ser criados por você ou proativamente pelo AWS Security Incident Response. Quando um novo caso com o suporte da AWS é criado, o agente de investigação é acionado automaticamente. Você pode gerenciar todos os casos no console, na API ou nas integrações do Amazon EventBridge.
Benefícios principais
Investigação paralela: o agente trabalha ao mesmo tempo que os respondentes, fornecendo tanto automação por IA quanto expertise humana.
Coleta automatizada de evidências — elimina a análise manual de logs por meio de consultas automáticas à AWS CloudTrail, IAM, Amazon EC2 e Cost Explorer.
Interface de linguagem natural — você pode descrever as questões de segurança em linguagem simples, sem precisar de experiência em formatos de log AWS.
Resposta mais rápida — resumos da investigação ficam disponíveis em minutos na guia Investigação.
Auditabilidade total — todas as ações do atendente são registradas na AWS CloudTrail sob o perfil
AWSServiceRoleForSupport.
Importante
Esse atributo está disponível somente para os casos suportados pela AWS. Os casos autogerenciados não incluem possibilidades de investigação com IA.
Como funciona
O agente de investigação por IA segue um fluxo de trabalho estruturado ao analisar casos de segurança com o suporte da AWS:
Fluxo de trabalho de investigação
Criação de casos: o cliente cria um caso com o suporte da AWS no console do Security Incident Response descrevendo o problema de segurança.
Ativação paralela
Os engenheiros do Security Incident Response se envolvem no caso.
Simultaneamente, o agente de IA inicia seu fluxo de trabalho de investigação.
Perguntas contextuais (opcional) — o atendente pode fazer perguntas de esclarecimento para obter detalhes específicos:
IDs da conta AWS afetada
Entidades principais IAM envolvidas (usuários, perfis, chaves de acesso)
Identificadores de recursos específicos (buckets S3, instâncias EC2, ARNs)
Período de tempo de atividade suspeita
Coleta de evidências — o atendente consulta automaticamente as fontes de dados da AWS:
AWS CloudTrail – chamadas de API e atividades associadas ao incidente
IAM — permissões de usuário e perfil, mudanças de políticas e criação de novas identidades
APIs de instância do Amazon EC2 — Informações sobre recursos computacionais, se eles estiverem envolvidos
Explorador de custos — métricas de custo e uso para consumo incomum de recursos
Análise e correlação — o atendente correlaciona evidências entre serviços, identifica padrões e cria um cronograma dos eventos.
Geração de resumo — em questão de minutos, o atendente apresenta um resumo abrangente da investigação na guia Investigação.
nota
Todos os campos são opcionais. Se nenhuma resposta for fornecida em 10 minutos, a investigação será iniciada automaticamente. Em alguns casos, se já houver informações suficientes disponíveis, o atendente poderá ignorar totalmente as perguntas opcionais.
Como acessar os resultados da investigação
Para ver a análise de IA:
Navegue para seu caso no console de Resposta a Incidentes de Segurança
Selecione a guia Investigação.
Revise o resumo da investigação com suas descobertas, o cronograma e o contexto.
O resumo do agente de investigação por IA é publicado automaticamente como um comentário na seção Comunicação do caso, o que facilita a revisão em conjunto com outras atualizações do caso.
Acesso a dados e permissões
O atendente investigativo de IA usa o perfil vinculado ao serviço AWSServiceRoleForSupport para acessar recursos da AWS. Esse recurso fornece permissões somente leitura necessárias para a coleta de evidências.
Todas as ações realizadas pelo atendente são registradas no AWS CloudTrail, permitindo que os clientes auditem exatamente quais dados foram acessados durante a investigação. Nos logs AWS CloudTrail, essas ações são atribuídas à AWSServiceRoleForSupport.
Pré-requisitos
Antes de usar as capacidades de investigação potencializadas por IA, certifique-se do seguinte:
Configuração necessária
AWS Security Incident Response habilitado: o serviço deve ser habilitado por meio da conta gerencial do AWS Organizations.
Tipo de caso com o suporte da AWS: a investigação por IA está disponível apenas para casos com suporte da AWS (não para casos autogerenciados).
AWSServiceRoleForSupport — esse perfil vinculado ao serviço é criado automaticamente e fornece as permissões necessárias para o atendente de investigação.
Permissões obrigatórias
Para criar casos com o suporte da AWS e ter acesso aos resultados das investigações, a entidade principal do IAM precisa das seguintes permissões:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "security-ir:CreateCase", "security-ir:GetCase", "security-ir:ListCases", "security-ir:UpdateCase" ], "Resource": "*" } ] }
Como usar o atendente investigativo
O atendente investigativo de IA é ativado automaticamente ao criar um caso suportado pela AWS.
Para monitorar o progresso da investigação de IA
Abra seu caso no console AWS Security Incident Response.
Escolha a guia Investigação.
Visualize o status da investigação (Em andamento ou Concluída).
Depois disso, revise o resumo abrangente da investigação com as descobertas, o cronograma e as recomendações.
Aviso de IA responsável
Os resumos das investigações são gerados usando recursos de IA generativa da AWS. Você é responsável por avaliar as recomendações geradas pela IA em seu contexto específico, implementar mecanismos de supervisão apropriados, verificar as descobertas de forma independente e manter a supervisão humana de todas as decisões de segurança.
Uso de dados do cliente
O agente de investigação por IA não usa dados de clientes para treinamento de modelo nem compartilha dados de clientes com terceiros.
