# Detecção como parte da engenharia de controles de segurança
<a name="detection-as-security-control-engineering"></a>

 Os mecanismos de detecção constituem uma parte essencial do desenvolvimento de controles de segurança. À medida que controles *diretivos* e *preventivos* são definidos, controles *detectivos* e *responsivos* correspondentes devem ser elaborados. Para exemplificar, uma organização estabelece um controle diretivo relacionado ao usuário-raiz de uma conta da AWS, o qual deve ser usado somente para atividades específicas e muito bem definidas. Esse controle é associado a um controle preventivo, implementado por meio de uma política de controle de serviços (SCP, na sigla em inglês) da organização da AWS. Se ocorrer uma atividade do usuário-raiz que ultrapassa a linha de base esperada, um controle detectivo, implementado com uma regra do EventBridge e um tópico do SNS, alertará o Security Operations Center (SOC). O controle responsivo envolve o SOC ao selecionar o plano de ação mais apropriado, realizar a análise e trabalhar até que o incidente seja resolvido. 

 Os controles de segurança são melhor definidos por meio da modelagem de ameaças das workloads executadas na AWS. A criticidade dos controles detectivos será determinada pela análise de impacto nos negócios (BIA, na sigla em inglês) para a workload específica. Os alertas gerados pelos controles detectivos não são tratados à medida que chegam, mas sim com base em sua criticidade inicial, a qual pode ser ajustada durante a análise. A criticidade inicial estabelecida serve como um auxílio para a priorização, no entanto, apenas o contexto em que o alerta ocorreu determinará sua real criticidade. Para exemplificar, uma organização usa o Amazon GuardDuty como um componente do controle detectivo aplicado para as instâncias do EC2 que fazem parte de uma workload. A descoberta `Impact:EC2/SuspiciousDomainRequest.Reputation` é gerada, informando que a instância do Amazon EC2 listada dentro da sua workload está consultando um nome de domínio suspeito de ser malicioso. Esse alerta é configurado por padrão com severidade baixa e, à medida que a fase de análise avança, foi constatado que várias centenas de instâncias do EC2 do tipo `p4d.24xlarge` foram implantadas por um agente não autorizado, aumentando significativamente o custo operacional da organização. Nesse momento, a equipe de resposta a incidentes decide ajustar a criticidade desse alerta para *alta*, aumentando o senso de urgência e agilizando as ações subsequentes. Vale destacar que a severidade da descoberta do GuardDuty não pode ser alterada.