Definir preferências de ações de contenção - AWS Security Incident ResponseGuia do usuário do

Definir preferências de ações de contenção

As ações de contenção permitem que o Security Incident Response realize ações rápidas em resposta a um incidente de segurança ativo, como isolar hosts comprometidos ou alterar credenciais. Essas ações ajudam a mitigar rapidamente o impacto dos incidentes de segurança no ambiente.

Importante

A Resposta a Incidentes de Segurança não habilita, por padrão, as funcionalidades de contenção. Você deve autorizar explicitamente as ações de contenção em preferências de contenção.

Para autorizar os engenheiros do Security Incident Response a realizar ações de contenção para você, defina suas preferências de contenção em nível de organização ou conta. As preferências em nível da conta têm precedência sobre as preferências em nível da organização.

Pré-requisitos: você precisa ter permissões para criar casos no AWS Support.

Opções de contenção:

  • Nenhuma ação de contenção (padrão): os engenheiros do Security Incident Response não realizam nenhuma ação de contenção para você.

  • Contenção com aprovação: os engenheiros do Security Incident Response solicitam sua aprovação antes de executar ações de contenção.

  • Contenção automática: os engenheiros do Security Incident Response podem executar ações de contenção imediatamente sem aprovação prévia durante incidentes ativos.

Para definir as preferências de contenção:

  1. Crie um caso no AWS Support solicitando a configuração das preferências de ações de contenção no Security Incident Response.

  2. No caso de suporte, especifique:

    • O ID da organização ou IDs de contas específicas da AWS em que as ações de contenção devem ser autorizadas

    • Sua opção de contenção preferencial (nenhuma contenção, contenção com aprovação ou contenção automática)

    • Os tipos de ações de contenção que você deseja autorizar (como isolamento de instâncias do EC2, rodízio de credenciais ou modificações de grupo de segurança)

  3. O AWS Support ajudará você a configurar suas preferências de contenção. Você precisará implantar o StackSet do AWS CloudFormation necessário para criar os perfis do IAM obrigatórios. O AWS Support prestar assistência, se necessário.

Depois de configurado, o Security Incident Response pode executar as ações de contenção autorizadas durante os incidentes de segurança ativos para ajudar a proteger seu ambiente.

Próximas etapas: depois que as preferências de contenção forem configuradas, será possível monitorar as ações de contenção realizadas durante os incidentes no console do Security Incident Response.