Operações - Guia do usuário do AWS Security Incident Response

Operações

As operações são a base da resposta a incidentes. É aqui que ocorrem as ações de resposta e atenuação de incidentes de segurança. As operações incluem as seguintes cinco fases: detecção, análise, contenção, erradicação e recuperação. As descrições dessas fases e das metas podem ser encontradas na Tabela 3.

Tabela 3: fases operacionais

Fase Objetivo
Detecção Identifique um possível evento de segurança.
Análise Determinar se um evento de segurança constitui um incidente e avaliar o escopo do incidente.
Contenção Minimize e limite o escopo do evento de segurança.
Erradicação Remova recursos ou artefatos não autorizados relacionados ao evento de segurança. Implemente atenuações para as causas do incidente de segurança.
Recuperação Restaurar os sistemas para um estado seguro conhecido e monitorar esses sistemas para verificar se não há retorno da ameaça.

As fases devem servir como orientação quando você responde e atua em incidentes de segurança, a fim de responder de forma eficaz e robusta. As ações reais realizadas variam de acordo com o incidente. Um incidente envolvendo ransomware, por exemplo, terá um conjunto de etapas de resposta a serem seguidas diferente do que o de um incidente que envolva um bucket público do Amazon S3. Além disso, essas fases não acontecem necessariamente de modo sequencial. Após a contenção e a erradicação, talvez seja necessário retornar à análise para entender se suas ações foram eficazes.