# Apêndice A: definições das funcionalidades da nuvem
A AWS disponibiliza mais de 200 serviços em nuvem e milhares de recursos. Diversos desses serviços fornecem funcionalidades nativas de detecção, prevenção e resposta, e outros podem ser empregados na arquitetura de soluções de segurança personalizadas. Esta seção inclui um subconjunto de serviços que têm maior relevância para atividades de resposta a incidentes em ambientes de nuvem.
**Topics**
+ [Registro em log e eventos](logging-and-events.md)
+ [Visibilidade e geração de alertas](visibility-and-alerting.md)
+ [Automação](automation-1.md)
+ [Armazenamento seguro](secure-storage.md)
+ [Funcionalidades de segurança futuras e personalizadas](custom.md)
# Registro em log e eventos
[https://aws.amazon.com/cloudtrail/](https://aws.amazon.com/cloudtrail/): serviço da AWS CloudTrail que possibilita a governança, a conformidade, a auditoria operacional e a auditoria de riscos em contas da AWS. Com o CloudTrail, é possível registrar em log, monitorar continuamente e reter a atividade da conta relacionada a ações executadas nos serviços da AWS. O CloudTrail fornece um histórico de eventos da atividade da sua conta da AWS, incluindo ações realizadas por meio do Console de gerenciamento da AWS, dos AWS SDKs, das ferramentas de linha de comando e de outros serviços da AWS. Esse histórico de eventos facilita a análise de segurança, o rastreamento de alterações em recursos e a solução de problemas. O CloudTrail registra dois tipos diferentes de ações da API da AWS:
+ Os **eventos de gerenciamento do CloudTrail** (também conhecidos como operações do ambiente de gerenciamento) mostram as operações de gerenciamento realizadas em recursos da sua conta da AWS. Isso inclui ações como a criação de um bucket do Amazon S3 e a configuração de registros de log.
+ Os **eventos de dados do CloudTrail** (também conhecidos como operações do plano de dados) mostram as operações realizadas sobre ou dentro de um recurso na sua conta da AWS. Essas operações geralmente são atividades de alto volume. Isso inclui ações como a atividade de API em nível de objeto no Amazon S3 (por exemplo, as operações de API `GetObject`, `DeleteObject` e `PutObject`) e a atividade de invocação de função do Lambda.
[https://aws.amazon.com/config/](https://aws.amazon.com/config/): serviço da AWS Config que possibilita aos clientes realizar avaliações, auditorias e monitoramento das configurações dos recursos em sua conta da AWS. O AWS Config monitora e registra continuamente as configurações dos seus recursos da AWS, permitindo automatizar a avaliação das configurações registradas em relação às configurações desejadas. Com o AWS Config, os clientes podem analisar alterações nas configurações e nas relações entre os recursos da AWS, de forma manual ou automática, acessar um histórico detalhado das configurações dos recursos e determinar a conformidade geral em relação às configurações especificadas nas diretrizes do cliente. Isso possibilita a simplificação da auditoria de conformidade, da análise de segurança, do gerenciamento de alterações e da solução de problemas operacionais.
[https://aws.amazon.com/eventbridge/](https://aws.amazon.com/eventbridge/): o Amazon EventBridge fornece uma transmissão quase em tempo real dos eventos do sistema que descrevem as alterações nos recursos da AWS ou quando chamadas de API são registradas pelo AWS CloudTrail. Com regras simples que você pode configurar rapidamente, é possível corresponder eventos e roteá-los para um ou mais streams ou funções de destino. O EventBridge se torna ciente das alterações operacionais no momento em que elas ocorrem. O EventBridge é capaz de responder a essas alterações operacionais e executar ações corretivas quando necessário, por meio do envio de mensagens para interagir com o ambiente, ativação de funções, execução de modificações e captura de informações de estado. Alguns serviços de segurança, como o Amazon GuardDuty, geram suas saídas na forma de eventos do EventBridge. Diversos serviços de segurança também disponibilizam a opção de encaminhar suas saídas para o Amazon S3.
**Logs de acesso do Amazon S3**: se houver informações sensíveis armazenadas em um bucket do Amazon S3, os clientes podem habilitar os logs de acesso do Amazon S3 para acompanhar todas as operações de upload, download e alteração desses dados. Este log é distinto e adicional aos logs do CloudTrail, que registram alterações no próprio bucket, como modificações nas políticas de acesso e nas políticas de ciclo de vida. Vale destacar que os registros de logs de acesso são fornecidos na base do melhor esforço. A maioria das solicitações para um bucket configurado corretamente para registro em log tem como resultado um registro do log entregue. A integralidade e a pontualidade do registro em log do servidor não são garantidas.
[https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html): os clientes podem usar o Amazon CloudWatch Logs para monitorar, armazenar e acessar arquivos de log provenientes de sistemas operacionais, aplicações e outras fontes em execução em instâncias do Amazon EC2 com um agente do CloudWatch Logs instalado. O CloudWatch Logs pode servir como destino para logs do AWS CloudTrail, consultas ao DNS do Route 53, logs de fluxo da VPC, funções do Lambda e outros. Posteriormente, os clientes podem recuperar os dados de log associados diretamente do CloudWatch Logs.
[https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html): os logs de fluxo da VPC habilitam os clientes a capturar informações relativas ao tráfego IP direcionado para e proveniente das interfaces de rede nas VPCs. Após a habilitação dos logs de fluxo, eles podem ser transmitidos para o Amazon CloudWatch Logs e para o Amazon S3. Os logs de fluxo da VPC auxiliam os clientes em diversas tarefas, como solucionar o motivo pelo qual um tráfego específico não está alcançando uma instância, identificar regras excessivamente restritivas em um grupo de segurança e utilizá-lo como ferramenta de segurança para monitorar o tráfego destinado às instâncias do EC2. Use a versão mais recente dos logs de fluxo da VPC para obter os campos mais completos e robustos.
[https://aws.amazon.com/waf/](https://aws.amazon.com/waf/): o AWS WAF fornece suporte ao registro em log completo de todas as solicitações web inspecionadas pelo serviço. Os clientes podem armazenar esses registros em log no Amazon S3 para atender a requisitos de conformidade e de auditoria, além de auxiliar na depuração e nas análises forenses. Esses logs ajudam os clientes a determinar a causa-raiz das regras acionadas e das solicitações web bloqueadas. É possível integrar esses logs a ferramentas de SIEM e análise de logs de fornecedores externos.
[https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html): os logs de consulta do Route 53 Resolver permitem registrar todas as consultas ao DNS realizadas por recursos dentro da Amazon Virtual Private Cloud (Amazon VPC). Independentemente de ser uma instância do Amazon EC2, uma função do AWS Lambda ou um contêiner, se estiver dentro da sua Amazon VPC e emitir uma consulta ao DNS, esse recurso realizará o registro em log, permitindo que você analise e compreenda de forma mais detalhada a operação das suas aplicações.
**Outros logs da AWS**: a AWS lança continuamente novos recursos e funcionalidades para clientes, incluindo funcionalidades aprimoradas de registro em log e de monitoramento. Para obter mais informações sobre os recursos disponíveis para cada serviço da AWS, consulte nossa documentação pública.
# Visibilidade e geração de alertas
[https://aws.amazon.com/security-incident-response/](https://aws.amazon.com/security-incident-response/): o AWS Security Incident Response é um serviço abrangente que ajuda as organizações a lidar com eventos de segurança ao longo de todo o ciclo de vida, combinando recursos automatizados com suporte humano especializado. O serviço utiliza recursos automatizados de monitoramento e investigação para liberar recursos organizacionais, mantendo uma supervisão de segurança vigilante. Quando ocorrem eventos de segurança, ele facilita a comunicação e a coordenação aceleradas entre as partes interessadas para tempos de resposta rápidos. O serviço é compatível com vários casos de uso, incluindo preparação e simulação de eventos de segurança, resposta a incidentes ativos e relatórios e análises pós-incidente simplificados, garantindo que as organizações estejam bem equipadas para lidar com os desafios de segurança em todas as etapas.
[https://aws.amazon.com/security-hub/](https://aws.amazon.com/security-hub/): o AWS Security Hub CSPM fornece aos clientes uma visão abrangente dos alertas de segurança de alta prioridade e dos status de conformidade em diversas contas da AWS. O CSPM do Security Hub agrega, organiza e prioriza as descobertas dos serviços da AWS, como o Amazon GuardDuty, o Amazon Inspector, o Amazon Macie e as soluções da AWS Partner. As descobertas são apresentadas de forma visual em painéis integrados, contendo gráficos e tabelas que permitem ações diretas. É possível realizar monitoramento contínuo do seu ambiente por meio de verificações automáticas de conformidade fundamentadas nas práticas recomendadas da AWS e nos padrões do setor seguidos pela sua organização.
[https://aws.amazon.com/guardduty/](https://aws.amazon.com/guardduty/): o Amazon GuardDuty é um serviço gerenciado de detecção de ameaças que monitora continuamente comportamentos maliciosos ou não autorizados para auxiliar os clientes na proteção de contas e de workloads da AWS. O serviço monitora atividades como chamadas de API incomuns ou implantações potencialmente não autorizadas, que podem indicar comprometimento da conta ou de recursos, como instâncias do Amazon EC2 e buckets do Amazon S3, ou atividades de reconhecimento por agentes mal-intencionados.
O GuardDuty identifica supostos agentes mal-intencionados por meio de feeds integrados de inteligência de ameaças usando machine learning para detectar anomalias na atividade da conta e da workload. Quando uma ameaça potencial é detectada, o serviço envia um alerta de segurança detalhado para o console do GuardDuty e para o CloudWatch Events. Isso torna os alertas acionáveis e fáceis de integrar aos sistemas de gerenciamento de eventos e de fluxo de trabalho existentes.
Além disso, o GuardDuty disponibiliza dois complementos para o monitoramento de ameaças com serviços específicos: o Amazon GuardDuty para proteção do Amazon S3 e o Amazon GuardDuty para proteção do Amazon EKS. A proteção do Amazon S3 possibilita que o GuardDuty monitore operações de API em nível de objeto para identificar possíveis riscos de segurança para dados em buckets do Amazon S3. A proteção do Kubernetes, por sua vez, possibilita que o GuardDuty detecte atividades suspeitas e possíveis comprometimentos de clusters do Kubernetes no Amazon EKS.
[https://aws.amazon.com/macie/](https://aws.amazon.com/macie/): o Amazon Macie é um serviço de segurança com tecnologia de IA que auxilia na prevenção de perda de dados ao descobrir, classificar e proteger automaticamente dados sensíveis armazenados na AWS. O Macie usa machine learning (ML) para identificar dados sensíveis, como informações de identificação pessoal (PII) ou de propriedade intelectual, atribuir um valor de negócios, e fornecer visibilidade sobre o local em que esses dados estão armazenados e como são utilizados em sua organização. O Amazon Macie realiza monitoramento constante das atividades de acesso a dados para identificar anomalias, emitindo alertas quando detecta risco de acessos não autorizados ou vazamentos acidentais de dados.
[https://aws.amazon.com/config/](https://aws.amazon.com/config/): uma regra do AWS Config representa as configurações de sua preferência para um recurso e é avaliada com base nas alterações de configuração desses recursos, conforme registradas pelo AWS Config. É possível visualizar os resultados da avaliação de uma regra em relação à configuração de um recurso em um painel. Com as regras do AWS Config, você pode avaliar o status geral de conformidade e de riscos sob a perspectiva de configuração, acompanhar as tendências de conformidade ao longo do tempo e identificar qual alteração de configuração fez com que um recurso deixasse de estar em conformidade com uma regra.
[https://aws.amazon.com/premiumsupport/technology/trusted-advisor/](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/): o AWS Trusted Advisor é um recurso on-line que auxilia na redução de custos, no aumento de performance e na melhoria da segurança por meio da otimização do seu ambiente da AWS. O Trusted Advisor fornece orientações em tempo real para auxiliar você no provisionamento de recursos com base nas práticas recomendadas da AWS. O conjunto completo de verificações do Trusted Advisor, incluindo a integração com CloudWatch Events, está disponível para clientes dos planos de suporte Business e Enterprise.
[https://aws.amazon.com/cloudwatch/](https://aws.amazon.com/cloudwatch/): o Amazon CloudWatch é um serviço destinado ao monitoramento de recursos da Nuvem AWS, bem como das aplicações executadas na AWS. O CloudWatch pode ser usado para a coleta e o acompanhamento de métricas, monitoramento de arquivos de log, definição de alarmes e resposta automática a alterações nos recursos da AWS. O CloudWatch pode monitorar recursos da AWS, como instâncias do Amazon EC2, tabelas do Amazon DynamoDB e instâncias de banco de dados do Amazon RDS, bem como métricas personalizadas geradas por suas aplicações e serviços, além de quaisquer arquivos de log gerados por suas aplicações. É possível usar o Amazon CloudWatch para obter visibilidade em todo o sistema quanto à utilização de recursos, performance das aplicações e integridade operacional. Com essas informações, você pode tomar as medidas necessárias para garantir o funcionamento estável da aplicação.
[https://aws.amazon.com/inspector/](https://aws.amazon.com/inspector/): o Amazon Inspector é um serviço automatizado de avaliação de segurança que auxilia na melhoria da segurança e da conformidade de aplicações implantadas na AWS. O Amazon Inspector avalia os aplicativos automaticamente para detectar vulnerabilidades ou desvios das melhores práticas. Depois de executar uma avaliação, o Amazon Inspector fornece uma lista detalhada das descobertas de segurança, priorizadas de acordo com seu nível de severidade. Essas descobertas podem ser analisadas diretamente ou como parte de relatórios de avaliação detalhados, disponíveis por meio do console do Amazon Inspector ou por meio da API.
[https://aws.amazon.com/detective/](https://aws.amazon.com/detective/): o Amazon Detective é um serviço de segurança que coleta automaticamente dados de log dos seus recursos da AWS e usa machine learning, análise estatística e teoria dos grafos para desenvolver um conjunto de dados correlacionados, possibilitando a realização de investigações de segurança de forma mais rápida e eficiente. O Detective pode analisar trilhões de eventos provenientes de diversas fontes de dados, como dos logs de fluxo da VPC, do CloudTrail e do GuardDuty, e criar automaticamente uma visão unificada e interativa dos seus recursos, usuários e das interações entre eles ao longo do tempo. Com essa visão unificada, é possível visualizar todos os detalhes e o contexto em um único local para identificar as causas subjacentes das descobertas, aprofundar-se nas atividades históricas relevantes e determinar rapidamente a causa-raiz.
# Automação
[https://aws.amazon.com/lambda](https://aws.amazon.com/lambda) – AWS Lambda o é um serviço de computação com tecnologia sem servidor que executa seu código em resposta a eventos e gerencia automaticamente os recursos de computação subjacentes para você. Você pode usar o Lambda para ampliar as funcionalidades de outros serviços da AWS por meio de lógica personalizada, ou para criar seus próprios serviços backend que funcionem com a escala, a performance e a segurança proporcionadas pela AWS. O Lambda executa seu código em uma infraestrutura de computação de alta disponibilidade e realiza a administração dos recursos computacionais para você. Isso inclui a manutenção do servidor e do sistema operacional, o provisionamento de capacidade e a escalabilidade automática, a implantação de código e de atualizações de segurança, bem como o monitoramento e o registro em log do código. A única responsabilidade do usuário é fornecer o código.
[https://aws.amazon.com/step-functions/](https://aws.amazon.com/step-functions/) – AWS Step Functions o facilita a coordenação dos componentes de aplicações distribuídas e microsserviços por meio de fluxos de trabalho visuais. O Step Functions disponibiliza um console gráfico para que você organize e visualize os componentes da sua aplicação como uma sequência de etapas. Isso simplifica a criação e a execução de aplicações em várias etapas. O Step Functions inicia e monitora automaticamente cada etapa, além de realizar tentativas em caso de erros, garantindo que sua aplicação seja executada na ordem correta e conforme o esperado.
O Step Functions registra o estado de cada etapa, de modo que, quando algo dá errado, é possível diagnosticar e depurar problemas rapidamente. Você pode modificar e adicionar etapas sem a necessidade de escrever código, permitindo evoluir sua aplicação e inovar com maior rapidez. O AWS Step Functions faz parte do AWS Serverless e facilita a orquestração de funções do AWS Lambda para aplicações com tecnologia sem servidor. Além disso, o Step Functions pode ser usado para a orquestração de microsserviços utilizando recursos computacionais como o Amazon EC2 e o Amazon ECS.
[https://aws.amazon.com/systems-manager/](https://aws.amazon.com/systems-manager/): o AWS Systems Manager proporciona visibilidade e controle da sua infraestrutura na AWS. O Systems Manager disponibiliza uma interface do usuário unificada que permite a visualização de dados operacionais de diversos serviços da AWS, além de possibilitar a automação de tarefas operacionais em seus recursos da AWS. Com o Systems Manager, é possível agrupar recursos por aplicação, visualizar dados operacionais para monitoramento e solução de problemas, e executar ações sobre esses grupos de recursos. O Systems Manager pode manter suas instâncias no estado definido, realizar alterações sob demanda, como a atualização de aplicações ou a execução de scripts shell, além de executar outras tarefas de automação e aplicação de patches.
# Armazenamento seguro
[https://aws.amazon.com/s3/](https://aws.amazon.com/s3/): o Amazon S3 é um serviço de armazenamento de objetos projetado para armazenar e recuperar qualquer volume de dados de qualquer lugar. O serviço foi desenvolvido para fornecer durabilidade de 99,999999999% e armazena dados para milhões de aplicações usadas por empresas líderes de mercado em diversos setores. O Amazon S3 fornece segurança abrangente e foi concebido para auxiliar no atendimento a requisitos regulatórios. O serviço proporciona aos clientes flexibilidade nos métodos usados para gerenciar dados visando otimização de custos, controle de acesso e conformidade. O Amazon S3 disponibiliza a funcionalidade de consulta direta, que possibilita a execução de analytics avançadas diretamente em seus dados em repouso armazenados no Amazon S3. O Amazon S3 é um serviço de armazenamento em nuvem com suporte abrangente e ampla integração junto a uma das maiores comunidades de soluções de entidades externas, parceiros integradores de sistemas e outros serviços da AWS.
[https://aws.amazon.com/s3/storage-classes/glacier/](https://aws.amazon.com/s3/storage-classes/glacier/): o Amazon Glacier é um serviço de armazenamento em nuvem seguro, durável e de custo extremamente reduzido, voltado para arquivamento de dados e para o backup de longo prazo. O serviço foi projetado para fornecer 99,999999999% de durabilidade, além de proporcionar segurança abrangente e auxiliar no atendimento a requisitos regulatórios. O Amazon Glacier disponibiliza a funcionalidade de consulta direta, que possibilita a execução de analytics avançadas diretamente em seus dados em repouso armazenados. Para manter os custos baixos e atender diferentes necessidades de recuperação, o Amazon Glacier disponibiliza três opções de acesso aos arquivos, com tempos que variam de alguns minutos a várias horas.
# Funcionalidades de segurança futuras e personalizadas
Os serviços e recursos mencionados não representam uma lista exaustiva. A AWS está continuamente adicionando novas funcionalidades. Para obter mais informações, recomendamos que você consulte as páginas [Quais as novidades da AWS](https://aws.amazon.com/new/) e [Segurança na Nuvem AWS](https://aws.amazon.com/security/). Além dos serviços de segurança nativos oferecidos pela AWS, você pode se interessar em desenvolver suas próprias funcionalidades com base nos serviços da AWS.
Embora recomendemos habilitar um conjunto básico de serviços de segurança em suas contas, como AWS CloudTrail, Amazon GuardDuty e Amazon Macie, você pode desejar expandir essas funcionalidades para obter maior valor dos seus ativos de logs. Existem diversas ferramentas de parceiros disponíveis, como as listadas no nosso programa APN Security Competency. Além disso, você pode desejar desenvolver suas próprias consultas para pesquisar seus logs. Graças à ampla gama de serviços gerenciados disponíveis na AWS, essa tarefa tornou-se mais simples do que nunca. Existem diversos outros serviços da AWS que podem auxiliar em investigações, mas que estão fora do escopo deste documento, como Amazon Athena, Amazon OpenSearch Service, Amazon Quick, Amazon Machine Learning e Amazon EMR.