View a markdown version of this page

Etapa 1: habilitar AWS Security Incident Response - AWS Security Incident ResponseGuia do usuário do

Etapa 1: habilitar AWS Security Incident Response

O processo de integração leva aproximadamente de 10 a 15 minutos por organização da AWS. Para ver uma demonstração, assista ao Vídeo de introdução na documentação do serviço.

nota

As instruções nesta seção descrevem como habilitar a Resposta a Incidentes de Segurança e configurar sua equipe usando o console do AWS Security Incident Response (Etapa 1 e 2). Você também pode executar essas etapas usando a API/CLI. Para obter instruções sobre como usar a API/CLI, consulte Habilite a Resposta a Incidentes de Segurança e configure sua equipe de resposta a incidentes usando a API/CLI.

Habilitar o AWS Security Incident Response usando o console do AWS Security Incident Response

  1. Faça login no Console de Gerenciamento da AWS usando sua conta gerencial.

  2. Abra o console do AWS Security Incident Response e clique em Cadastrar.

    Página de inscrição do AWS Security Incident Response com o botão Inscrever-se.

  3. Configurar sua conta de associação central. Para obter orientação, consulte Arquitetura de referência de segurança nas Recomendações da AWS e Considerações e recomendações sobre como uma conta delegada de administrador da Resposta a Incidentes de Segurança opera.

    Configure a página central da conta de associação para selecionar uma conta de administrador delegado.

  4. Faça login na conta do administrador delegado.

  5. Insira os detalhes da associação e associe as contas relevantes.

  6. Em Escopo da conta, escolha habilitar o AWS Security Incident Response para toda a sua organização da AWS ou para UOs específicas. Você pode selecionar a cobertura no nível da UO, mas não no nível da conta individual.

  7. A Resposta proativa é ativada por padrão e cria um perfil vinculado ao serviço que permite à Security Incident Response Engineering para ingerir descobertas do GuardDuty e abrir casos de investigação proativa quando ameaças são detectadas. Para obter mais informações, consulte Resposta proativa.

    O AWS Security Incident Response cria automaticamente o perfil vinculado ao serviço AWSServiceRoleForSecurityIncidentResponse_Triage em sua conta gerencial do AWS Organizations e em todas as contas que estão no escopo.

  8. (Opcional) Escolha pré-autorizar a Security Incident Response Engineering para realizar ações de contenção em seu nome durante incidentes ativos. As ações de contenção compatíveis incluem runbooks para buckets comprometidos do S3, instâncias do EC2 e entidades principais do IAM. Se você pular essa etapa, a Security Incident Response Engineering fornecerá orientação manual durante as investigações. Para obter mais informações, consulte Ações de contenção.

  9. Revise as permissões do serviço e a configuração de integração e escolha Cadastrar.

    Revise a tela de permissões do serviço que mostra as permissões que o AWS Security Incident Response exige para monitorar descobertas.
    Tela de confirmação de inscrição para habilitar monitoramento proativo de resposta.