# Introdução
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/NSyUlhDc_d0?si=PguieeTI3HrUbTDs)
**Topics**
+ [
# Guia de integração
](onboarding-guide.md)
+ [
# Matriz RACI
](raci-matrix.md)
+ [
# Seleção de uma conta de associação
](select-a-membership-account.md)
+ [
# Configuração dos detalhes da associação
](setup-membership-details.md)
+ [
# Associação de contas com o AWS Organizations
](associate-accounts-with-aws-organizations.md)
+ [
# Configuração de fluxos de trabalho de resposta proativa e de triagem de alertas
](setup-monitoring-and-investigation-workflows.md)
# Guia de integração
O guia de onboarding explica os pré-requisitos e as ações de onboarding e contenção do AWS Security Incident Response.
**Importante**
Pré-requisitos
O único pré-requisito da implantação é habilitar o [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).
Embora não seja obrigatório, recomendamos habilitar o [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) e o [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html) em todas as contas e Regiões da AWS ativas para maximizar os benefícios do Security Incident Response.
Revise o GuardDuty e o Security Incident Response.
Consulte o [Guia de práticas recomendadas do GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html).
O AWS Security Hub CSPM ingere descobertas de fornecedores terceirizados de detecção e resposta de endpoints (EDR), como o CrowdStrike, o FortinetCNapp (Lacework) e o Trend Micro, entre outros. Se essas descobertas forem ingeridas no Security Hub CSPM, elas serão submetidas à triagem automática pelo Security Incident Response para a criação proativa de casos. Para configurar um EDR de terceiros com o Security Hub CSPM, consulte [Detectar e analisar](https://docs.aws.amazon.com//security-ir/latest/userguide/detect-and-analyze.html).
Para configurar o EDR de terceiros com o Security Hub CSPM:
1. Navegue até a página de Integrações do Security Hub CSPM para validar a existência da integração de terceiros.
1. No console, navegue até a página de serviço do Security Hub CSPM.
1. Escolha **Integrações** (usando o Wiz.io como exemplo):
![\[Página de integrações do Security Hub CSPM mostrando as integrações com terceiros disponíveis.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Security_Hub_CSPM.png)
1. Procure o fornecedor que você gostaria de integrar
![\[Interface de pesquisa para descobrir e selecionar integrações com fornecedores terceirizados.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Integrations.png)
**nota**
Quando solicitado, forneça suas informações de conta ou assinatura. Depois de fornecer essas informações, a Resposta a Incidentes de Segurança ingere descobertas de terceiros. Para consultar os preços da ingestão de descobertas de terceiros, acesse a página **Integrações** no Security Hub CSPM.
# Implantar e configurar Resposta a Incidentes de Segurança
1. Escolha **Inscrever-se**
![\[Página de inscrição do AWS Security Incident Response com o botão Inscrever-se.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/AWS_Security_incident_Response.png)
1. Selecione uma conta de **ferramentas de segurança** como Administrador Delegado a partir da Conta Gerencial.
+ [Arquitetura de Referência de Segurança](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/introduction.html)
+ [Documentação do administrador delegado](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)
![\[Configure a página central da conta de associação para selecionar uma conta de administrador delegado.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Set_Up_Central_Membership_Account.png)
1. Faça login na conta de administrador delegado
1. Insira os detalhes da associação e as contas associadas
![\[Insira os detalhes da associação e das contas associadas.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Define_Membership_Details.png)
# Autorizar ações da Resposta a Incidentes de Segurança
Esta página descreve como autorizar o Security Incident Response a realizar ações automatizadas de monitoramento e contenção no ambiente da AWS. Você pode habilitar dois atributos de autorização distintos: monitoramento de resposta proativo e preferências de ações de contenção. Esses atributos são independentes e podem ser habilitados separadamente de acordo com suas necessidades de segurança.
# Habilitar resposta proativa
A resposta proativa permite que a Resposta a Incidentes de Segurança monitore e investigue alertas gerados pelas integrações do Amazon GuardDuty e do AWS Security Hub CSPM em toda a organização. Quando habilitado, o Security Incident Response faz a triagem dos alertas de baixa prioridade com automatização de serviço para que sua equipe se concentre nas questões mais críticas.
Para permitir uma resposta proativa durante o onboarding:
1. No console do Security Incident Response, navegue até o fluxo de trabalho de onboarding.
1. Revise as permissões do serviço que autorizam a Resposta a Incidentes de Segurança a monitorar descobertas em todas as contas incluídas e regiões compatíveis das Regiões da AWS ativas na organização.
1. Escolha **Inscrever-se** para habilitar o atributo.
![\[Revise a tela de permissões do serviço que mostra as permissões que o Security Incident Response exige para monitorar descobertas.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Review_Service_Permissions.png)
![\[Tela de confirmação de inscrição para habilitar monitoramento proativo de resposta.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Review_and_Sign_Up.png)
Este atributo cria automaticamente um perfil vinculado ao serviço em todas as contas de membros incluídas no AWS Organizations. Porém, é necessário criar manualmente o perfil vinculado ao serviço na conta gerencial ao usar os conjuntos de pilhas do AWS CloudFormation.
**Próximas etapas:** para saber mais sobre como a Resposta a Incidentes de Segurança funciona com o Amazon GuardDuty e o AWS Security Hub CSPM, consulte *Detecção e análise* no *Guia do usuário de AWS Security Incident Response*.
# Definir preferências de ações de contenção
As ações de contenção permitem que o AWS Security Incident Response execute medidas de resposta rápida a um incidente de segurança ativo. Essas ações ajudam a mitigar rapidamente o impacto dos incidentes de segurança no ambiente.
**Importante**
A Resposta a Incidentes de Segurança não habilita, por padrão, as funcionalidades de contenção. Você deve autorizar explicitamente as ações de contenção em preferências de contenção.
Para autorizar os engenheiros do AWS Security Incident Response a realizar ações de contenção para você, além de implantar um [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html) que crie os perfis do IAM necessários, defina as preferências de contenção no nível da organização ou da conta. As preferências em nível da conta têm precedência sobre as preferências em nível da organização.
**Pré-requisitos:** você precisa ter permissões para criar casos no AWS Support.
**Opções de contenção:**
+ **Aprovação necessária** (padrão): não fazer contenção proativa de nenhum recurso sem autorização explícita, caso a caso.
+ **Conter confirmado**: fazer a contenção proativa de um recurso cujo comprometimento foi confirmado.
+ **Conter suspeito:** fazer a contenção proativa de um recurso com grande probabilidade de estar comprometido, com base em análise realizada pela equipe de engenharia de AWS Security Incident Response.
Para definir as preferências de contenção:
1. [Crie um caso no AWS Support](https://docs.aws.amazon.com/security-ir/latest/userguide/create-support-case.html) solicitando a configuração das preferências de ações de contenção na Resposta a Incidentes de Segurança.
1. No caso de suporte, especifique:
+ Seu ID do AWS Organizations ou IDs de contas específicas em que as ações de contenção devem ser autorizadas
+ Sua opção de contenção preferida (Aprovação requerida, Conter confirmados ou Conter suspeitos).
+ Os tipos de ações de contenção que você deseja autorizar (como isolamento de instâncias do EC2, rodízio de credenciais ou modificações de grupo de segurança)
1. O AWS Support trabalha com você para configurar suas preferências de contenção. Você deve implantar o StackSet do AWS CloudFormation necessário para criar os perfis do IAM relevantes. O AWS Support pode fornecer assistência, se necessário.
Quando configurado, o AWS Security Incident Response executa as ações de contenção autorizadas durante incidentes de segurança ativos para ajudar a proteger seu ambiente.
**Próximas etapas:** depois que as preferências de contenção forem configuradas, será possível monitorar as ações de contenção realizadas durante os incidentes no console do Security Incident Response.
# Pós-implantação da Resposta a Incidentes de Segurança
O AWS integra-se à estrutura de resposta a incidentes existente em vez de substituí-la.
1. Analise nossos recursos de integração operacional para aprimorar suas práticas atuais.
1. Assista à nossa demonstração de suporte de associação em nível de OU, à utilização do EventBridge e à integração com o Jira-ITSM para operações de segurança mais eficientes.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/lVSi5XyMlws)
# Atualizar a Equipe de Resposta a Incidentes
1. Verifique se você está inscrito e concluiu as etapas de integração descritas neste *Guia de integração*.
1. Selecione Equipe de Resposta a Incidentes no painel de navegação à esquerda.
1. Selecione os colegas de equipe que você quer adicionar à sua equipe.
![\[Os serviços da AWS enviam eventos para o barramento de eventos padrão do EventBridge. Se um evento corresponder ao padrão de evento de uma regra, o EventBridge enviará o evento aos destinos especificados para essa regra.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Teamates.png)
**nota**
A equipe pode incluir liderança organizacional, assessoria jurídica, parceiros de MDR, engenheiros de nuvem e outros. É possível inserir até 10 membros adicionais. Inclua somente nome, cargo e endereço de e-mail de cada membro.
# Caso com suporte da AWS
A AWS Security Incident Response fornece um portal de gerenciamento de casos baseado em assinatura, no qual sua organização interage diretamente com nossos engenheiros de Resposta a Incidentes de Segurança. Auxiliamos em investigações de segurança e incidentes ativos com um SLO de 15 minutos, sem limite de casos reativos. Consulte nossa documentação sobre como criar um caso com suporte da AWS.
**Expandir a equipe de investigação**
Por meio do Portal de Gerenciamento de Casos, você concede visibilidade do caso a partes externas adicionando Watchers e políticas do IAM. Use essas opções para parceiros, equipes jurídicas ou especialistas no assunto.
**Para adicionar Watchers a um caso:**
1. Abra qualquer caso no portal Casos de Resposta a Incidentes de Segurança.
![\[Os serviços da AWS enviam eventos para o barramento de eventos padrão do EventBridge. Se um evento corresponder ao padrão de evento de uma regra, o EventBridge enviará o evento aos destinos especificados para essa regra.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Cases.png)
1. Escolha a aba Permissões.
![\[Os serviços da AWS enviam eventos para o barramento de eventos padrão do EventBridge. Se um evento corresponder ao padrão de evento de uma regra, o EventBridge enviará o evento aos destinos especificados para essa regra.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Overview.png)
1. Selecione Adicionar.
![\[Os serviços da AWS enviam eventos para o barramento de eventos padrão do EventBridge. Se um evento corresponder ao padrão de evento de uma regra, o EventBridge enviará o evento aos destinos especificados para essa regra.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Watchers.png)
**nota**
Cada caso inclui uma política do IAM pré-preenchida que concede acesso somente a esse caso específico, mantendo o privilégio mínimo. Copie e cole essa política diretamente nos perfis ou nos usuários do IAM para parceiros de MDR terceirizados ou equipes de investigação específicas para permitir sua contribuição.
# Descobertas e regras de supressão do GuardDuty
O AWS Security Incident Response ingere, faz a triagem e responde proativamente a todas as descobertas do Amazon GuardDuty e às descobertas do AWS Security Hub CSPM provenientes do CrowdStrike, do FortinetCNAPP (Lacework) e do Trend Micro. Nossa tecnologia de triagem automática elimina os requisitos internos de análise. O serviço cria regras de supressão e arquivamento automático no GuardDuty e no Security Hub para descobertas benignas. Visualize ou modifique essas regras em “Descobertas” no console do Amazon GuardDuty.
Para revisar as regras de supressão habilitadas do GuardDuty, conclua as seguintes etapas:
1. Abra o console do Amazon GuardDuty.
1. Escolha **Descobertas**.
1. No painel de navegação, escolha **Regras de supressão**. A página **Regras de supressão** exibe uma lista de todas as regras de supressão da sua conta.
1. Para revisar ou alterar as configurações de uma regra, escolha a regra e depois escolha **Atualizar regra de supressão** no menu **Ações**.
**nota**
As organizações que usam a tecnologia SIEM reduziram significativamente os volumes de descoberta do GuardDuty ao longo do tempo, melhorando o serviço de Resposta a Incidentes de Segurança e a eficiência do SIEM.
# Amazon EventBridge
O Amazon EventBridge permite uma arquitetura orientada por eventos para a Resposta a Incidentes de Segurança, permitindo que a atividade do caso acione serviços downstream (SNS, Lambda, SQS, Step-Functions) ou ferramentas externas (Jira, ServiceNow, Teams, Slack, PagerDuty).
**Para configurar regras do EventBridge:**
1. Acesse o Amazon EventBridge
1. Selecione **Regras** no menu suspenso **Barramentos**
![\[Os serviços da AWS enviam eventos para o barramento de eventos padrão do EventBridge. Se um evento corresponder ao padrão de evento de uma regra, o EventBridge enviará o evento aos destinos especificados para essa regra.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Amazon_EventBridge_rules.png)
1. Selecione **Create Rule**.
1. Insira os detalhes da regra.
1. Escolha **Próximo**.
![\[Os serviços da AWS enviam eventos para o barramento de eventos padrão do EventBridge. Se um evento corresponder ao padrão de evento de uma regra, o EventBridge enviará o evento aos destinos especificados para essa regra.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Define_Rule.png)
1. Role até **serviço da AWS** e selecione **AWS Security Incident Response** no menu suspenso.
![\[Os serviços da AWS enviam eventos para o barramento de eventos padrão do EventBridge. Se um evento corresponder ao padrão de evento de uma regra, o EventBridge enviará o evento aos destinos especificados para essa regra.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Event_Pattern_Security.png)
1. No menu suspenso **Tipo de evento**, selecione o evento ou a chamada de API para o qual você deseja criar um padrão.
1. É possível editar o padrão manualmente para incluir mais de um evento.
1. Escolha **Próximo**.
![\[Os serviços da AWS enviam eventos para o barramento de eventos padrão do EventBridge. Se um evento corresponder ao padrão de evento de uma regra, o EventBridge enviará o evento aos destinos especificados para essa regra.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Event_Pattern.png)
**nota**
Selecione um ou mais destinos (Amazon Simple Notification Service, AWS Lambda, documento SSM, Step-Function) para seus eventos. Configure destinos entre contas, se necessário.
Você pode verificar os padrões de integração do parceiro em Fontes de Eventos do Parceiro no menu Integração do EventBridge. Os parceiros disponíveis incluem Atlassian (Jira), DataDog, New Relic, PagerDuty, Symantec e Zendesk, entre muitos outros.
![\[Os serviços da AWS enviam eventos para o barramento de eventos padrão do EventBridge. Se um evento corresponder ao padrão de evento de uma regra, o EventBridge enviará o evento aos destinos especificados para essa regra.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Amazon_EventBridge_Partners.png)
# Integrações e fluxo de trabalho de ferramentas externas
**AWS Soluções da para integrar o JIRA ou a ServiceNow à Resposta a Incidentes de Segurança**
Implante nossas soluções totalmente desenvolvidas para integração bidirecional com o Jira e o ServiceNow. Essas integrações permitem a comunicação bidirecional entre os casos da AWS Security Incident Response e sua plataforma de ITSM, com as atualizações de casos refletidas automaticamente nas tarefas correspondentes do Jira.
**Vantagens da integração**
A integração da AWS Security Incident Response à plataforma de ITSM existente simplifica as operações de segurança centralizando os fluxos de trabalho de rastreamento e resposta a incidentes. Essas soluções prontas eliminam a necessidade de desenvolvimento personalizado, permitindo que as equipes de segurança mantenham a visibilidade dos sistemas de gerenciamento de incidentes nativos da AWS e corporativos. Ao usar o Amazon EventBridge para automação orientada por eventos, as atualizações fluem perfeitamente entre as plataformas em tempo real, garantindo que os incidentes de segurança sejam rastreados sistematicamente, qualquer que seja sua origem. Essa abordagem unificada reduz a alternância de contextos para os analistas de segurança, melhora os tempos de resposta e fornece trilhas de auditoria abrangentes em todo o ciclo de vida das respostas a incidentes.
Para configurar regras do EventBridge:
1. Acesse o Amazon EventBridge.
1. Selecione **Regras** no menu suspenso **Barramentos**
# Fluxo de trabalho de ferramentas externas
A Resposta a Incidentes de Segurança se integra a ferramentas e parceiros externos de várias maneiras:
+ *Integração do SIEM:* os engenheiros de Resposta a Incidentes de Segurança ajudam a analisar e investigar essas descobertas em paralelo com a sua equipe quando você envia casos com o suporte da AWS. Identificamos correlações em ambientes híbridos e multinuvem, ajudando a avaliar os movimentos dos agentes de ameaças entre os fornecedores.
+ *Aprimora suas operações de segurança existentes:* substituímos os fluxos de trabalho tradicionais de resposta do GuardDuty por um modelo de resposta paralelo mais eficiente. Atualmente, muitas organizações utilizam a tecnologia SIEM para fluxos de trabalho de detecção por meio do gerenciamento de casos. Esse serviço fornece uma alternativa simplificada especificamente para as descobertas do GuardDuty (e do Security Hub selecionado). A solução utiliza uma sofisticada tecnologia de triagem automática com supervisão humana para criar casos proativos no portal, alertando simultaneamente sua equipe de resposta e envolvendo nossos engenheiros de Security Incident Response em esforços coordenados de remediação.
+ *Equipes de investigação terceirizadas:* nossos engenheiros do Security Incident Response colaboram diretamente com seus parceiros e provedores de MDR.
# Apêndice A: pontos de contato
Fornecer seus metadados antecipadamente a nossos engenheiros do Security Incident Response pode ajudar a acelerar o tempo de criação do perfil, o que aumentará a confiança em nossa tecnologia de triagem já de saída. Isso ajuda a reduzir os falsos positivos iniciais identificados quando começarmos a ingerir suas descobertas sobre ameaças e a criar seu mundo que reconhecemos como bom.
**Informações de contato do pessoal de IR e SOC**
| Entrada | Pessoal IR \$1 SOC: cargo, nome, e-mail | Primário, secundário, contatos de escalonamento | Intervalos CIDR internos conhecidos | Intervalos CIDR externos conhecidos | Provedores de serviços em nuvem adicionais | Regiões de trabalho da AWS | IPs do servidor DNS (se for diferente do Amazon Route 53 Resolver) | VPN \$1 Soluções e IPS de acesso remoto | Nomes dos aplicativos críticos \$1 Números de conta | Portas incomuns comumente usadas | ERD \$1 AV \$1 Ferramentas de gerenciamento de vulnerabilidades usadas | IDP \$1 Locais |
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- |
| 1 | Comandante SOC, John Smith, jsmith@examplo.com | Primary | 10.0.0.0/16 | 5.5.60.0/20 (Azure) | Azure | us-east-1, us-east-2 | N/D | Direct Connect, VIF pública 116.32.8.7 | Servidor Web Nginx (exemplo crítico) \$1 1234567890 | 8080 | CrowdStrike Falcon | Entra, Azure |
| | | | | | | | | | | | | |
| | | | | | | | | | | | | |
| | | | | | | | | | | | | |
Para enviar informações de metadados para seu ambiente, crie um [caso do AWS Support](https://repost.aws/knowledge-center/get-aws-technical-support).
**Para enviar metadados**
1. Preencha a tabela de metadados com as informações do seu ambiente.
1. Crie um caso do AWS Support com os seguintes detalhes:
+ **Tipo de caso:** Técnico
+ **Serviço:** Security Incident Response Service
+ **Categoria:** Outros
1. Anexe ao caso a tabela de metadados preenchida.
# Matriz RACI
A matriz RACI a seguir define perfis e responsabilidades ao longo de todo o processo de implementação do Security Incident Response. RACI são as iniciais das palavras Responsável (R), Responsabilizável (A), Consultado (C) e Informado (I) em inglês.
| Atividade | Cliente | Equipe da conta da AWS | Equipe de SIR |
| --- | --- | --- | --- |
| Pré-onboarding |
| Identificar as principais partes interessadas | R | | eu |
| Validar as fontes de descobertas | R | C | eu |
| [integração de EDR de terceiros] CSPM do Security Hub | R | C | eu |
| Validação/verificação de integridade do GuardDuty | C | R | eu |
| Determinar o escopo da conta | R | | |
| Estabelecer protocolos de escalação | R | eu | C |
| Habilitar o AWS Organizations | R | C | |
| Associação de contas com o AWS Organizations | R | eu | |
| Selecionar uma conta de administrador delegado/ferramental de segurança | R | eu | |
| Onboarding |
| Configuração dos detalhes da associação | R | eu | |
| Passo a passo (configurar fluxos de trabalho proativos de resposta e triagem de alertas; implantar o perfil vinculado ao serviço na conta gerencial; autorizar ações de contenção) | R | C | eu |
| Configuração de implantação pós-implantação |
| Revisar os recursos de integração operacional | R | C | eu |
| Enviar casos reativos do Security Incident Response | R | | |
| Configurar integrações do Amazon EventBridge | R | C | C |
| Conectar ferramental de terceiros (Jira, ServiceNow, PagerDuty, Teams etc.) | R | eu | C |
| Aprofundamento e demonstração do serviço | A | R | C |
**Definições da matriz RACI:**
+ **Responsável (R)**: a parte que realiza o trabalho para concluir a tarefa
+ **Responsabilizável (A)**: a parte que em última instância responde pela conclusão correta da tarefa
+ **Consultado (C)**: a parte cujas opiniões são solicitadas e com quem existe comunicação bidirecional
+ **Informado (I)**: a parte que se mantém atualizada sobre o progresso e com quem existe comunicação unidirecional
# Seleção de uma conta de associação
Uma conta de associação consiste na conta da AWS usada para configurar detalhes da conta, adicionar e remover informações para sua equipe de resposta a incidentes, além de ser destinada à criação e ao gerenciamento de todos os eventos de segurança, tanto ativos quanto históricos. É recomendável que a conta de associação da AWS Security Incident Response esteja alinhada com a mesma conta habilitada para serviços como o Amazon GuardDuty e o AWS Security Hub CSPM.
Você tem duas opções para selecionar sua conta de associação da AWS Security Incident Response usando o AWS Organizations. É possível criar a associação na conta gerencial do Organizations ou em uma conta de administrador delegado do Organizations.
**Uso da conta de administrador delegado:** as tarefas administrativas e o gerenciamento de casos da AWS Security Incident Response estão localizados na conta de administrador delegado. É recomendável usar o mesmo administrador delegado configurado para outros serviços de segurança e de conformidade da AWS. Forneça o ID da conta de administrador delegado, que contém 12 dígitos, e, em seguida, faça login nessa conta para continuar.
**Importante**
Quando você usa uma conta de administrador delegado como parte do processo de configuração, a AWS Security Incident Response não pode criar automaticamente o perfil vinculado ao serviço de triagem necessária em sua conta gerencial do AWS Organizations.
Você pode usar o IAM para criar esse perfil na conta gerencial do AWS Organizations.
Faça login na sua conta gerencial do AWS Organizations.
Acesse a janela do [AWS CloudShell](https://console.aws.amazon.com/cloudshell/home) ou acesse a conta por meio da CLI usando seu método preferido.
Use o comando da CLI: . `aws iam create-service-linked-role --aws-service-name "triage.security-ir.amazonaws.com" --no-cli-pager`
(Opcional) Para verificar se o comando funcionou, realize a execução do comando: `aws iam get-role --role-name AWSServiceRoleForSecurityIncidentResponse_Triage`.
**Uso da conta atualmente conectada:** selecionar esta conta significa que a conta atual será designada como a conta principal de associação para sua associação à AWS Security Incident Response. Os indivíduos da sua organização precisarão acessar o serviço por meio desta conta para criar, acessar e gerenciar casos ativos e resolvidos.
Certifique-se de ter permissões suficientes para administrar a AWS Security Incident Response.
Consulte [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) para obter etapas específicas sobre como adicionar permissões.
Consulte [AWS Security Incident Response managed policies](https://docs.aws.amazon.com/security-ir/latest/userguide/aws-managed-policies.html).
Para verificar as permissões do IAM, você pode seguir estas etapas:
+ *Verificação da política do IAM:* analise a política do IAM associada ao seu usuário, grupo ou perfil para garantir que ela conceda as permissões necessárias. É possível fazer isso ao acessar [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/), selecionar a opção `Users`, escolher o usuário específico e, em seguida, na página de resumo, acessar a guia `Permissions`, em que você pode visualizar uma lista de todas as políticas anexadas. Você pode expandir cada linha da política para visualizar os detalhes.
+ *Teste das permissões:* tente executar a ação necessária para verificar se as permissões estão corretas. Por exemplo, se você precisa acessar um caso, tente usar o comando `ListCases`. Se você não tiver as permissões necessárias, receberá uma mensagem de erro.
+ *Uso da AWS CLI ou de um SDK:* você pode usar a AWS Command Line Interface ou um AWS SDK na linguagem de programação de sua preferência para testar as permissões. Por exemplo, com a AWS Command Line Interface, você pode executar o comando `aws sts get-caller-identity` para verificar as permissões do usuário atual.
+ *Verificação dos logs do AWS CloudTrail:* [analise os logs do CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) para verificar se as ações que você está tentando executar estão sendo registradas em log. Essa verificação pode auxiliar na identificação de problemas relacionados a permissões.
+ *Uso do simulador de políticas do IAM:* [o simulador de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html) é uma ferramenta que permite o teste de políticas do IAM e visualizar o efeito que elas têm sobre suas permissões.
**nota**
As etapas específicas podem variar dependendo do serviço da AWS e das ações que você está tentando executar.
# Configuração dos detalhes da associação
+ Selecione uma Região da AWS que será usada para armazenar tanto sua associação quanto os casos associados a ela.
**Atenção**
Após o registro inicial da associação, não será possível alterar a Região da AWS padrão.
+ Selecione se você deseja fornecer cobertura total de associados em todo o AWS Organizations ou em parte do AWS Organizations por meio de unidades organizacionais (UOs).
+ Opcionalmente, você pode selecionar um nome para esta associação.
+ É necessário fornecer um contato principal e um contato secundário como parte do fluxo de criação da associação. Esses contatos são incluídos automaticamente como integrantes da sua equipe de resposta a incidentes. Deve haver, no mínimo, dois contatos para uma única associação, o que também garante a inclusão mínima de dois integrantes na equipe de resposta a incidentes.
+ Defina etiquetas opcionais para sua associação. As etiquetas ajudam no monitoramento os custos da AWS e facilitam a pesquisa de recursos.
# Associação de contas com o AWS Organizations
Se você optou por associar todo seu AWS Organizations durante a configuração, sua associação dará direito à cobertura de todas as contas de membros na organização. As contas associadas serão atualizadas automaticamente à medida que as contas forem adicionadas ou removidas da sua organização.
Se você optou por associar parte do seu AWS Organizations durante a configuração e tiver restringido sua associação a unidades organizacionais (UOs) específicas, sua associação dará direito à cobertura de todas as contas nas UOs selecionadas. Isso inclui contas em sub-UOs das UOs selecionadas. As contas associadas são atualizadas automaticamente à medida que as contas forem adicionadas ou removidas dessas UOs.
Para obter mais informações sobre as práticas recomendadas envolvendo unidades organizacionais, consulte [Organizar seu ambiente da AWS usando várias contas](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html).
# Configuração de fluxos de trabalho de resposta proativa e de triagem de alertas
A AWS Security Incident Response monitora e investiga alertas gerados nas integrações com o Amazon GuardDuty e o CSPM do Security Hub. Para usar esse recurso, o [Amazon GuardDuty deve estar habilitado](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html). A AWS Security Incident Response realiza uma triagem automatizada de alertas de baixa prioridade, permitindo que sua equipe se concentre nas questões mais importantes. Para obter mais informações sobre como a AWS Security Incident Response funciona com o Amazon GuardDuty e com o AWS Security Hub CSPM, consulte a seção [Detecção e análise](https://docs.aws.amazon.com/security-ir/latest/userguide/detect-and-analyze.html) do guia do usuário.
Se você enfrente algum problema durante o processo de integração, [crie um caso no AWS Support](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case) para obter assistência adicional. Certifique-se de incluir detalhes, como o ID da Conta da AWS e quaisquer erros observados durante o processo de configuração.
**nota**
Se tiver dúvidas sobre as regras de supressão do Amazon GuardDuty, configurações de triagem de alertas ou fluxos de trabalho de resposta proativa, crie um caso com o suporte da AWS com o tipo de caso **Investigações e consultas** para consultar a equipe de Resposta a Incidentes de Segurança da AWS. Para obter mais informações, consulte [Criação de um caso com suporte por parte da AWS](create-an-aws-supported-case.md).
Este atributo permite que a AWS Security Incident Response monitore e investigue descobertas em todas as contas incluídas e em todas as regiões compatíveis da AWS ativas na sua organização. Para viabilizar essa funcionalidade, a AWS Security Incident Response cria automaticamente um perfil vinculado ao serviço em todas as contas de membros cobertas do AWS Organizations. No entanto, na conta gerencial, a criação desse perfil vinculado ao serviço deve ser feita manualmente para habilitar o monitoramento.
*O serviço não pode criar o perfil vinculado ao serviço na conta gerencial. É necessário criar esse perfil manualmente na conta gerencial ao [trabalhar com os conjuntos de pilhas do AWS CloudFormation](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html).*
# Entender arquivamento automático com resposta proativa
Quando você habilita resposta proativa e triagem de alertas, a AWS Security Incident Response automaticamente monitora e faz a triagem das descobertas do Amazon GuardDuty e do CSPM do Security Hub. Como parte desse fluxo de trabalho de triagem automática, as descobertas são arquivadas automaticamente segundo os seguintes critérios:
**Comportamento de arquivamento automático:**
+ **Descobertas benignas:** quando o processo de triagem automática determina que uma descoberta é benigna (não é uma verdadeira ameaça à segurança), a AWS Security Incident Response automaticamente arquiva a descoberta no Amazon GuardDuty e cria regras de supressão para evitar que descobertas semelhantes gerem alertas no futuro.
+ **Regras de supressão:** o serviço cria regras de supressão e arquivamento automático no Amazon GuardDuty e no CSPM do Security Hub para descobertas que correspondam aos padrões reconhecidos do ambiente, como endereços IP esperados, entidades do IAM e comportamentos operacionais normais.
+ **Volume de alertas reduzido:** as organizações que usam a tecnologia SIEM observarão volumes de descoberta do Amazon GuardDuty significativamente reduzidos ao longo do tempo, à medida que o serviço aprender o ambiente e arquivar automaticamente descobertas benignas. Isso melhora a eficiência do serviço AWS Security Incident Response e do SIEM.
**Visualizar descobertas arquivadas:**
É possível revisar automaticamente as descobertas arquivadas e as regras de supressão criadas pelo AWS Security Incident Response:
1. Navegue até o console do Amazon GuardDuty
1. Escolha **Descobertas**
1. Selecione **Arquivada** no filtro de descobertas
1. Revise as regras de supressão selecionando a seta para baixo ao lado de cada regra
**Considerações importantes:**
+ As descobertas arquivadas são retidas no Amazon GuardDuty por 90 dias e podem ser visualizadas a qualquer momento durante esse período
+ Você pode modificar ou excluir regras de supressão a qualquer momento no console do Amazon GuardDuty
+ O processo de triagem automática se adapta continuamente ao ambiente, melhorando a precisão ao longo do tempo e reduzindo os falsos positivos
**Contenção:** no caso de um evento de incidente de segurança, a AWS Security Incident Response pode executar ações de contenção para mitigar rapidamente o impacto, como isolar hosts comprometidos ou alterar credenciais. A Resposta a Incidentes de Segurança não habilita, por padrão, as funcionalidades de contenção. Para executar essas ações de contenção, é necessário primeiro conceder as permissões necessárias ao serviço. Essa concessão pode ser realizada por meio da implantação de um [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html), que estabelece os perfis necessários.