Criação de um caso com suporte por parte da AWS - AWS Security Incident ResponseGuia do usuário do

Criação de um caso com suporte por parte da AWS

É possível criar um caso com o suporte da AWS para o AWS Security Incident Response no Console, na API ou na AWS Command Line Interface. Os casos com suporte da AWS permitem que você receba suporte dos engenheiros do Security Incident Response.

Importante

Casos de demonstração/simulação são encerrados depois de 90 dias.

nota

Os engenheiros do AWS Security Incident Response responderão ao seu caso em até 15 minutos. O tempo de resposta refere-se à primeira resposta dos engenheiros do AWS Security Incident Response. Empregaremos todos os esforços razoáveis para responder à sua solicitação inicial dentro desse período. O tempo de resposta mencionado não se aplica às respostas posteriores.

nota

Você pode criar casos com o suporte da AWS não apenas para incidentes e investigações de segurança ativos, mas também para consultas sobre os recursos do AWS Security Incident Response. Isso inclui perguntas sobre as regras de supressão, as configurações de triagem de alertas, os fluxos de trabalho de resposta proativa do GuardDuty e orientações gerais sobre postura de segurança. Selecione o tipo de caso Investigações e consultas para essas finalidades.

O exemplo apresentado a seguir abrange o uso do console.

  1. Faça login no AWS Security Incident Response usando o Console de gerenciamento da AWS.

  2. Escolha Criar caso.

  3. Escolha Resolver caso com a AWS.

  4. Selecione o tipo de solicitação:

    1. Incidente de segurança ativo: esse tipo é para suporte e serviços de resposta a incidentes urgentes.

    2. Investigações e consultas: use esse tipo para incidentes de segurança percebidos nos quais os engenheiros do AWS Security Incident Response podem prestar suporte em análise de logs e confirmação secundária da investigação de resposta a incidente. Você pode também usar esse tipo para consultas sobre as descobertas, as regras de supressão, as configurações de triagem de alertas, os fluxos de trabalho de resposta proativa do Amazon GuardDuty e sobre a postura geral de segurança relacionada aos recursos do AWS Security Incident Response.

  5. Defina a data estimada de início como a data do seu primeiro indicativo do incidente. Por exemplo, quando você percebeu um comportamento anormal pela primeira vez ou quando recebeu o primeiro alerta de segurança relacionado.

  6. Informe um título para o caso.

  7. Forneça uma descrição detalhada do caso.  Considere os seguintes aspectos, que podem ajudar os responsáveis pela resposta a incidentes na resolução do caso:

    1. O que aconteceu?

    2. Quem descobriu e reportou o incidente?

    3. Quem são as pessoas que estão afetadas pelo caso?

    4. Qual é o impacto conhecido?

    5. Qual é a urgência deste caso?

    6. Adicione um ou mais IDs de Conta da AWS que estejam envolvidos no escopo do caso.

  8. Adicione detalhes opcionais ao caso:

    1. Selecione os principais serviços impactados usando a lista suspensa.

    2. Selecione as principais regiões impactadas usando a lista suspensa.

    3. Adicione um ou mais endereços IP de agentes de ameaça que você identificou como parte deste caso. 

  9. Adicione, opcionalmente, responsáveis pela resposta a incidentes adicionais ao caso para receberem notificações. Para adicionar um indivíduo, execute as seguintes etapas:

    1. Adicione um endereço de e-mail.

    2. Adicione, opcionalmente, um nome e o sobrenome.

    3. Escolha Adicionar novo para adicionar outro indivíduo.

    4. Para remover um indivíduo, escolha a opção Remover correspondente.

    5. Escolha Adicionar para incluir todos os indivíduos listados no caso.

      1. Você pode selecionar diversos indivíduos e escolher Remover para excluí-los da lista.

  10. Adicione etiquetas opcionais ao caso.

    1. Para adicionar uma tag, faça o seguinte:

    2. Selecione Adicionar nova tag.

    3. Em Chave, insira o nome da tag.

    4. Em Valor, insira o valor da tag.

    5. Para remover uma tag, clique na opção Remover da tag.

Após a criação de um caso com o suporte da AWS, os engenheiros do AWS Security Incident Response e sua equipe de resposta a incidentes são notificadas imediatamente.

Para criar um caso suportado pela AWS com a investigação de IA

  1. Abra o console do AWS Security Incident Response em console.aws.amazon.com/.

  2. Escolha Casos no painel de navegação.

  3. Escolha Criar caso.

  4. Em Tipo de caso, selecione caso suportado pela AWS.

  5. Forneça detalhes do caso, incluindo título, data de início do incidente e ID da conta AWS afetada.

  6. Na seção Descreva o evento de segurança, forneça uma descrição completa do incidente.

  7. Forneça informações adicionais sobre os serviços da AWS afetados, regiões e outros detalhes relevantes.

  8. Escolha Criar caso.

Após a criação de um caso, os engenheiros do Security Incident Response e o agente de IA começam a trabalhar simultaneamente.

Para responder às perguntas de esclarecimento da IA (opcional)

  1. Navegue até a guia Investigação em seu caso.

  2. Analise as perguntas de esclarecimento apresentadas pelo agente de IA.

  3. Responda às perguntas ou escolha Ignorar se preferir não responder.

  4. Escolha Enviar para continuar. Todos os campos são opcionais.

Aviso de IA responsável

Os resumos das investigações são gerados usando recursos de IA generativa da AWS. Você é responsável por avaliar as recomendações geradas pela IA em seu contexto específico, implementar mecanismos de supervisão apropriados, verificar as descobertas de forma independente e manter a supervisão humana de todas as decisões de segurança.