Detecção e análise

Relatar um evento

É possível criar um evento de segurança no portal do AWS Security Incident Response. Durante a ocorrência de um evento de segurança, é essencial agir sem demora. A AWS Security Incident Response usa técnicas automatizadas e manuais para conduzir investigações de eventos de segurança, analisar logs e procurar padrões anômalos. A sua colaboração e compreensão do seu ambiente acelera esse processo de análise.

Habilitar fontes de detecção compatíveis

nota

Os custos associados ao serviço de AWS Security Incident Response não incluem os custos e as taxas decorrentes do uso das fontes de detecção compatíveis ou de outros serviços da AWS. Consulte as páginas individuais de cada serviço ou recurso para obter mais detalhes sobre os preços.

Amazon GuardDuty

Para habilitar o GuardDuty em toda a sua organização, consulte a seção Setting up GuardDuty no Guia do usuário do Amazon GuardDuty.

É altamente recomendável que o GuardDuty seja habilitado em todas as Regiões da AWS com suporte. Com isso, o GuardDuty poderá realizar a geração de descobertas relacionadas a atividades incomuns ou não autorizadas mesmo em regiões que não estejam em uso ativo. Para obter mais informações, consulte Amazon GuardDuty Regions and endpoints.

A habilitação do GuardDuty fornece à AWS Security Incident Response acesso a dados críticos de detecção de ameaças, aprimorando sua capacidade de identificar e de responder a possíveis problemas de segurança em seu ambiente da AWS.

AWS Security Hub CSPM

O Security Hub CSPM pode ingerir descobertas de segurança provenientes de diversos serviços da AWS e de soluções de segurança de entidades externas compatíveis. Essas integrações podem auxiliar a AWS Security Incident Response no monitoramento e na investigação de descobertas originadas por outras ferramentas de detecção.

Para habilitar o Security Hub CSPM com a integração ao Organizations, consulte o Guia do usuário do AWS Security Hub CSPM.

Existem diversas formas de habilitar as integrações no Security Hub CSPM. Para integrações de produtos de terceiros, talvez seja necessário comprar a integração do AWS Marketplace e, depois, configurar a integração. As informações de integração fornecem links para realizar essas tarefas. Saiba mais informações sobre como habilitar integrações no AWS Security Hub CSPM.

A AWS Security Incident Response pode monitorar e investigar descobertas provenientes das seguintes ferramentas quando essas ferramentas estão integradas ao AWS Security Hub CSPM:

Ao habilitar essas integrações, é possível aprimorar significativamente o escopo e a eficácia das funcionalidades de monitoramento e de investigação da AWS Security Incident Response.

Detecção

Se “Resposta proativa” estiver habilitada, https://docs.aws.amazon.com/security-ir/latest/userguide/setup-monitoring-and-investigation-workflows.html o AWS Security Incident Response ingerirá as descobertas do Amazon GuardDuty e do AWS Security Hub CSPM segundo as regras do Amazon EventBridge implantadas em suas contas durante o onboarding.

O AWS Security Incident Response arquiva automaticamente as descobertas do Amazon GuardDuty que, durante a triagem automatizada, são consideradas benignas ou associadas às atividades esperadas. Você pode visualizar as descobertas arquivadas no console do Amazon GuardDuty selecionando Arquivada no filtro Status das descobertas. Para saber mais, consulte Visualizar as descobertas geradas no console do GuardDuty no Guia do usuário do Amazon GuardDuty.

O AWS Security Incident Response arquiva automaticamente as descobertas do Amazon GuardDuty que, durante a triagem automatizada, são consideradas benignas ou associadas às atividades esperadas. Apenas as descobertas que foram triadas e cujo resultado foi designado como “arquivar” são arquivadas. As descobertas sob investigação ativa permanecem visíveis no console do Amazon GuardDuty mesmo após o encerramento da investigação. Você pode visualizar as descobertas arquivadas no console do Amazon GuardDuty selecionando Arquivada no filtro de descobertas. Para saber mais sobre o trabalho com descobertas arquivadas, consulte Trabalhar com descobertas no Guia do usuário do Amazon GuardDuty.

Quando o AWS Security Hub CSPM ingere descobertas de segurança, o sistema atualiza cada descoberta com uma observação indicando que a triagem automatizada foi iniciada. O estado do fluxo de trabalho muda de NOVO para NOTIFICADO, o que remove a descoberta da visualização de descobertas padrão do AWS Security Hub CSPM. Se a triagem determinar que uma descoberta é benigna ou associada às atividades esperadas, o sistema adiciona uma observação à descoberta e atualiza o estado do fluxo de trabalho para SUPRIMIDO.

Análise: triagem automatizada

O AWS Security Incident Response faz a triagem automática das descobertas de segurança. O processo de triagem determina se a atividade detectada representa o comportamento esperado analisando dados de várias fontes, incluindo a carga útil da descoberta, os metadados do serviço da AWS, os dados de registro em log e o monitoramento da AWS (como logs de fluxo do AWS CloudTrail e da VPC), a inteligência de ameaças da AWS e o contexto que você é convidado a fornecer sobre o ambiente da AWS e o ambiente on-premises.

Se a triagem automatizada determinar que a atividade detectada era esperada, o sistema não realizará nenhuma ação investigativa adicional.

Análise: investigação do Incident Response Security

O AWS Security Incident Response Engineering é uma equipe global, sempre disponível, de profissionais de segurança com expertise na AWS e em resposta a incidentes de segurança. Se a triagem automatizada não conseguir determinar se a atividade era esperada, o AWS Security Incident Response Engineering é envolvido para realizar uma investigação de segurança. Se o evento tiver sido ingerido do Security Hub, será postada uma observação na descoberta correspondente informando que a investigação do AWS Security Incident Response Engineering está em andamento.

O AWS Security Incident Response Engineering conduz uma investigação de segurança na prática, analisando outros metadados do serviço e inteligência de ameaças, revisando insights de descobertas e investigações anteriores no ambiente e aplicando sua expertise em resposta a incidentes. Dependendo de suas preferências de contenção (consulte Conter), o AWS Security Incident Response Engineering pode envolver a equipe de resposta a incidentes de sua organização por meio de um caso do Resposta a Incidente de Segurança no console do AWS Security Incident Response para verificar se a atividade detectada era esperada e autorizada a responder a um caso gerado pela AWS.

Comunicar

O AWS Security Incident Response mantém você informado durante as investigações de segurança, interagindo com sua equipe de resposta a incidentes por meio de um caso do Security Incident Response. Vários membros do AWS Security Incident Response Engineering podem prestar suporte a uma mesma investigação. A comunicação pode incluir: confirmação ou notificação da criação de uma investigação de segurança; estabelecimento de uma ponte de chamada; análise de artefatos, como arquivos de log; solicitações de confirmação de atividades esperadas e compartilhamento dos resultados das investigações.

Quando o AWS Security Incident Response envolve proativamente sua equipe de resposta a incidentes, é criado um caso na sua Associação do AWS Security Incident Response, que centraliza a comunicação de todas as contas organizacionais em um lugar. Esses casos contêm o prefixo “[Caso proativo]” no título, o que os identifica como iniciados pelo AWS Security Incident Response. Quando se envolve proativamente e fornece respostas oportunas a essas comunicações, sua equipe de resposta a incidentes pode ajudar o AWS Security Incident Response a fazer o seguinte:

Garantir uma resposta rápida a incidentes de segurança reais.
Entender o ambiente e os comportamentos esperados.
Reduzir detecções de falsos positivos ao longo do tempo.

A eficácia do AWS Security Incident Response é maior com a sua colaboração, o que resulta no monitoramento mais eficiente e em um ambiente da AWS mais seguro.

Atualizar descobertas

O modo como o AWS Security Incident Response gerencia as descobertas é diferente, dependendo da origem das descobertas e dos resultados da triagem.

Ajuste do serviço

Quando as cotas de serviço da conta permitirem, o AWS Security Incident Response tenta implantar uma regra de supressão do Amazon GuardDuty ou uma regra de automação do AWS Security Hub CSPM. Essas regras suprimem descobertas futuras que correspondam ao tipo e à origem das atividades autorizadas conhecidas (por exemplo, endereço IP da origem, ASN, entidade principal da identidade ou recurso). As regras do AWS Security Hub CSPM são implantadas com prioridade máxima, o que permite substituir essas automações por regras autodefinidas, se necessário.

Dessa maneira, o AWS Security Incident Response ajusta as origens de detecção com base no comportamento esperado no ambiente da AWS. Sua equipe de resposta a incidentes é notificada sobre modificações nesses conjuntos de regras, e as alterações são revertidas mediante solicitação.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Preparar

Agente de IA investigativo