# Tarefas do usuário
**Topics**
+ [Painel](dashboard.md)
+ [Gerenciamento da equipe de resposta a incidentes](managing-my-incident-response-team.md)
# Painel
No console de AWS Security Incident Response, o painel fornece uma visão geral da sua equipe de resposta a incidentes, do status da resposta proativa e da contagem contínua de casos nas últimas quatro semanas.
Selecione **Visualizar a equipe de resposta a incidentes** para acessar os detalhes de seus colegas da equipe de resposta a incidentes.
A seção *Meus casos* do painel apresenta o número de casos com suporte por parte da AWS que estão abertos e encerrados, bem como os casos gerenciados por conta própria atribuídos a você durante um período específico. Essa seção também apresenta o tempo médio, em horas, dedicado à resolução dos casos encerrados.
# Gerenciamento da equipe de resposta a incidentes
As equipes de resposta a incidentes incluem as partes interessadas responsáveis por participar do processo de resposta a incidentes. É possível configurar até dez partes interessadas como parte da associação.
Os exemplos de partes interessadas internas incluem membros da sua equipe de resposta a incidentes, analistas de segurança, responsáveis pelas aplicações e integrantes da equipe de liderança em segurança.
Os exemplos de partes interessadas externas incluem indivíduos de provedores de software independentes (ISV) e de provedores de serviços gerenciados (MSP) que você deseja integrar ao processo de resposta a incidentes.
**nota**
A configuração da equipe de resposta a incidentes não concede automaticamente aos integrantes da equipe acesso a recursos do serviço, como associação e casos. Você pode usar as políticas gerenciadas da AWS para a AWS Security Incident Response a fim de conceder permissões de leitura e de gravação aos recursos. [ Clique aqui para obter mais informações.](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)
Os integrantes da equipe de resposta a incidentes especificados em um nível de associação serão adicionados automaticamente para qualquer caso. É possível adicionar ou remover integrantes da equipe individualmente a qualquer momento após a criação de um caso.
A equipe de resposta a incidentes receberá por e-mail uma notificação sobre os eventos listados nas [preferências de comunicação](https://docs.aws.amazon.com/security-ir/latest/APIReference/API_IncidentResponder.html#securityir-Type-IncidentResponder-communicationPreferences).
# Preferências de comunicação
Configure suas preferências de comunicação para controlar como você recebe notificações e interage com o sistema de resposta a incidentes durante incidentes de segurança.
Você pode configurar as preferências de comunicação para indivíduos da sua equipe de resposta a incidentes na página do painel.
Siga estas etapas para gerenciar as configurações de comunicação dos membros da equipe:
1. Navegue até a página da equipe de resposta a incidentes em seu painel
1. Execute um destes procedimentos:
+ Para atualizar as preferências de um membro existente da equipe: selecione o colega cujas preferências de comunicação você deseja modificar e escolha **Editar**
+ Para adicionar um novo membro da equipe: escolha **Adicionar**
1. Na parte inferior da página, você verá as Comunicações
1. Marque as caixas de seleção das comunicações que você deseja receber
1. Desmarque as caixas de seleção das comunicações que você não deseja receber
![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/CommPref.png)
1. Salve as alterações
![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/CommPreferencesDashboard.png)
Por padrão, os membros da equipe de resposta a incidentes têm todas as comunicações habilitadas. É possível modificar essas configurações a qualquer momento seguindo as etapas acima.
Suas preferências de comunicação controlam como você interage com o sistema de resposta a incidentes e como as notificações são entregues a você durante incidentes de segurança.
**nota**
Essas preferências se aplicam a todas as comunicações futuras dentro do sistema de Resposta a Incidentes de Segurança. Você pode modificar essas configurações a qualquer momento repetindo as etapas acima.
# Associação de contas com o AWS Organizations
Ao habilitar o AWS Security Incident Response, você terá a opção de selecionar toda a sua organização ou unidades organizacionais (UOs) específicas. Se UOs específicas forem selecionadas, sua associação cobrirá apenas as contas que se enquadrarem nessas UOs selecionadas. Se toda a organização for selecionada, sua associação cobrirá todas as contas da organização.
Para obter mais detalhes, consulte [Gerenciamento de contas da AWS Security Incident Response com o AWS Organizations](https://docs.aws.amazon.com/security-ir/latest/userguide/security-ir-organizations.html).
# Gerenciar a cobertura da associação
É possível alterar a opção de cobertura da associação a qualquer momento, inclusive para trocar da cobertura de toda a organização para a cobertura de UOs específicas.
# Atualizar as associações de UOs
Para gerenciar a cobertura da associação:
1. Navegue até a página de configurações de associação da conta
1. Selecione **Adicionar UOs** para selecionar as UOs que você deseja incluir na associação
1. Selecionar as UOs que você deseja incluir na associação
1. Clique em **Atualizar associação** para salvar a inclusão da UO na associação
Depois de atualizar as associações, você pode retornar à mesma página e remover as UOs que não desejar manter na associação. Essa flexibilidade se aplica mesmo que você tenha selecionado inicialmente toda a organização. Mais tarde, será possível atualizar a associação para incluir somente UOs específicas sem necessidade de cancelar e reabilitar o serviço.
Para saber mais, consulte [Gerenciar a associação com unidades organizacionais (UOs)](https://docs.aws.amazon.com/security-ir/latest/userguide/managing-membership-with-ou.html).
# Considerações importantes
**Contas diretamente na raiz**: ao selecionar UOs específicas para a associação, as contas que estão diretamente na raiz da organização (que não fazem parte de nenhuma UO) não serão incluídas. Para incluir essas contas na cobertura da associação, primeiro adicione-as a uma UO e depois inclua essa UO na associação.
**nota**
Aprimoramos continuamente a associação de UOs para tornar o processo mais intuitivo e autoexplicativo para o usuário.
# Monitoramento e investigação
O AWS Security Incident Response analisa e faz a triagem dos alertas de segurança do Amazon GuardDuty e do AWS Security Hub CSPM, depois configura regras de supressão com base no ambiente para evitar alertas desnecessários. A equipe do AWS Security Incident Response Engineering (SIRE) investiga as descobertas, e rapidamente escala e orienta sua equipe para conter possíveis problemas. Se desejar, você pode conceder permissão à AWS Security Incident Response para implementar ações de contenção em seu nome.
A AWS Security Incident Response está em conformidade com o guia NIST 800-61r2 [https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final) para a resposta a eventos de segurança. Ao estar alinhada com esse padrão do setor, a AWS Security Incident Response fornece uma abordagem consistente para o gerenciamento de eventos de segurança e adota as práticas recomendadas para a proteção e para a resposta a eventos de segurança em seu ambiente da AWS.
Quando o AWS Security Incident Response identifica um alerta de segurança ou quando você solicita assistência de segurança, o AWS SIRE faz uma investigação. A equipe coleta eventos de logs e dados provenientes do serviço, como alertas do GuardDuty, realiza a triagem e a análise dos dados, executa atividades de remediação e de contenção, e fornece um relatório posterior ao incidente.
**Topics**
+ [Preparar](prepare.md)
+ [Detecção e análise](detect-and-analyze.md)
+ [Agente de IA investigativo](ai-investigative-agent.md)
+ [Contenção](contain.md)
+ [Erradicação](eradicate.md)
+ [Recuperar](recover.md)
+ [Relatório posterior ao incidente](post-incident-report.md)
# Preparar
A equipe de AWS Security Incident Response realiza investigações e trabalha em conjunto com você ao longo de todo o ciclo de vida de resposta a um evento de segurança. É recomendável realizar a configuração dessa equipe e a atribuição das permissões necessárias antes da ocorrência de um evento de segurança.
# Detecção e análise
**Relatar um evento**
É possível criar um evento de segurança no portal do AWS Security Incident Response. Durante a ocorrência de um evento de segurança, é essencial agir sem demora. A AWS Security Incident Response usa técnicas automatizadas e manuais para conduzir investigações de eventos de segurança, analisar logs e procurar padrões anômalos. A sua colaboração e compreensão do seu ambiente acelera esse processo de análise.
**Habilitar fontes de detecção compatíveis**
**nota**
Os custos associados ao serviço de AWS Security Incident Response não incluem os custos e as taxas decorrentes do uso das fontes de detecção compatíveis ou de outros serviços da AWS. Consulte as páginas individuais de cada serviço ou recurso para obter mais detalhes sobre os preços.
*Amazon GuardDuty*
Para habilitar o GuardDuty em toda a sua organização, consulte a seção `Setting up GuardDuty` no [Guia do usuário do Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html#guardduty_enable-gd).
É altamente recomendável que o GuardDuty seja habilitado em todas as Regiões da AWS com suporte. Com isso, o GuardDuty poderá realizar a geração de descobertas relacionadas a atividades incomuns ou não autorizadas mesmo em regiões que não estejam em uso ativo. Para obter mais informações, consulte [Amazon GuardDuty Regions and endpoints](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_regions.html).
A habilitação do GuardDuty fornece à AWS Security Incident Response acesso a dados críticos de detecção de ameaças, aprimorando sua capacidade de identificar e de responder a possíveis problemas de segurança em seu ambiente da AWS.
*AWS Security Hub CSPM*
O Security Hub CSPM pode ingerir descobertas de segurança provenientes de diversos serviços da AWS e de soluções de segurança de entidades externas compatíveis. Essas integrações podem auxiliar a AWS Security Incident Response no monitoramento e na investigação de descobertas originadas por outras ferramentas de detecção.
Para habilitar o Security Hub CSPM com a integração ao Organizations, consulte o [Guia do usuário do AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html#securityhub-orgs-setup-overviews).
Existem diversas formas de habilitar as integrações no Security Hub CSPM. Para integrações de produtos de terceiros, talvez seja necessário comprar a integração do AWS Marketplace e, depois, configurar a integração. As informações de integração fornecem links para realizar essas tarefas. Saiba mais informações sobre [como habilitar integrações no AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integration-enable.html).
A AWS Security Incident Response pode monitorar e investigar descobertas provenientes das seguintes ferramentas quando essas ferramentas estão integradas ao AWS Security Hub CSPM:
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-crowdstrike-falcon](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-crowdstrike-falcon)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-lacework](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-lacework)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-trend-micro](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-trend-micro)
Ao habilitar essas integrações, é possível aprimorar significativamente o escopo e a eficácia das funcionalidades de monitoramento e de investigação da AWS Security Incident Response.
**Detecção**
Se “Resposta proativa” estiver habilitada, [https://docs.aws.amazon.com/security-ir/latest/userguide/setup-monitoring-and-investigation-workflows.html](https://docs.aws.amazon.com/security-ir/latest/userguide/setup-monitoring-and-investigation-workflows.html) o AWS Security Incident Response ingerirá as descobertas do Amazon GuardDuty e do AWS Security Hub CSPM segundo as regras do Amazon EventBridge implantadas em suas contas durante o onboarding.
O AWS Security Incident Response arquiva automaticamente as descobertas do Amazon GuardDuty que, durante a triagem automatizada, são consideradas benignas ou associadas às atividades esperadas. Você pode visualizar as descobertas arquivadas no console do Amazon GuardDuty selecionando Arquivada no filtro Status das descobertas. Para saber mais, consulte [Visualizar as descobertas geradas no console do GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_working-with-findings.html) no *Guia do usuário do Amazon GuardDuty*.
O AWS Security Incident Response arquiva automaticamente as descobertas do Amazon GuardDuty que, durante a triagem automatizada, são consideradas benignas ou associadas às atividades esperadas. Apenas as descobertas que foram triadas e cujo resultado foi designado como “arquivar” são arquivadas. As descobertas sob investigação ativa permanecem visíveis no console do Amazon GuardDuty mesmo após o encerramento da investigação. Você pode visualizar as descobertas arquivadas no console do Amazon GuardDuty selecionando **Arquivada** no filtro de descobertas. Para saber mais sobre o trabalho com descobertas arquivadas, consulte [Trabalhar com descobertas](https://docs.aws.amazon.com/guardduty/latest/ug/findings_managing.html) no *Guia do usuário do Amazon GuardDuty*.
Quando o AWS Security Hub CSPM ingere descobertas de segurança, o sistema atualiza cada descoberta com uma observação indicando que a triagem automatizada foi iniciada. O estado do fluxo de trabalho muda de NOVO para NOTIFICADO, o que remove a descoberta da visualização de descobertas padrão do AWS Security Hub CSPM. Se a triagem determinar que uma descoberta é benigna ou associada às atividades esperadas, o sistema adiciona uma observação à descoberta e atualiza o estado do fluxo de trabalho para SUPRIMIDO.
**Análise: triagem automatizada**
O AWS Security Incident Response faz a triagem automática das descobertas de segurança. O processo de triagem determina se a atividade detectada representa o comportamento esperado analisando dados de várias fontes, incluindo a carga útil da descoberta, os metadados do serviço da AWS, os dados de registro em log e o monitoramento da AWS (como logs de fluxo do AWS CloudTrail e da VPC), a inteligência de ameaças da AWS e o contexto que você é convidado a fornecer sobre o ambiente da AWS e o ambiente on-premises.
Se a triagem automatizada determinar que a atividade detectada era esperada, o sistema não realizará nenhuma ação investigativa adicional.
**Análise: investigação do Incident Response Security**
O AWS Security Incident Response Engineering é uma equipe global, sempre disponível, de profissionais de segurança com expertise na AWS e em resposta a incidentes de segurança. Se a triagem automatizada não conseguir determinar se a atividade era esperada, o AWS Security Incident Response Engineering é envolvido para realizar uma investigação de segurança. Se o evento tiver sido ingerido do Security Hub, será postada uma observação na descoberta correspondente informando que a investigação do AWS Security Incident Response Engineering está em andamento.
O AWS Security Incident Response Engineering conduz uma investigação de segurança na prática, analisando outros metadados do serviço e inteligência de ameaças, revisando insights de descobertas e investigações anteriores no ambiente e aplicando sua expertise em resposta a incidentes. Dependendo de suas preferências de contenção (consulte Conter), o AWS Security Incident Response Engineering pode envolver a equipe de resposta a incidentes de sua organização por meio de um caso do Resposta a Incidente de Segurança no console do AWS Security Incident Response para verificar se a atividade detectada era esperada e autorizada a [responder a um caso gerado pela AWS](https://docs.aws.amazon.com/security-ir/latest/userguide/responding-to-an-aws-generated-case.html).
**Comunicar**
O AWS Security Incident Response mantém você informado durante as investigações de segurança, interagindo com sua equipe de resposta a incidentes por meio de um caso do Security Incident Response. Vários membros do AWS Security Incident Response Engineering podem prestar suporte a uma mesma investigação. A comunicação pode incluir: confirmação ou notificação da criação de uma investigação de segurança; estabelecimento de uma ponte de chamada; análise de artefatos, como arquivos de log; solicitações de confirmação de atividades esperadas e compartilhamento dos resultados das investigações.
Quando o AWS Security Incident Response envolve proativamente sua equipe de resposta a incidentes, é criado um caso na sua Associação do AWS Security Incident Response, que centraliza a comunicação de todas as contas organizacionais em um lugar. Esses casos contêm o prefixo “[Caso proativo]” no título, o que os identifica como iniciados pelo AWS Security Incident Response. Quando se envolve proativamente e fornece respostas oportunas a essas comunicações, sua equipe de resposta a incidentes pode ajudar o AWS Security Incident Response a fazer o seguinte:
+ Garantir uma resposta rápida a incidentes de segurança reais.
+ Entender o ambiente e os comportamentos esperados.
+ Reduzir detecções de falsos positivos ao longo do tempo.
A eficácia do AWS Security Incident Response é maior com a sua colaboração, o que resulta no monitoramento mais eficiente e em um ambiente da AWS mais seguro.
**Atualizar descobertas**
O modo como o AWS Security Incident Response gerencia as descobertas é diferente, dependendo da origem das descobertas e dos resultados da triagem.
**Ajuste do serviço**
[Quando as cotas de serviço da conta permitirem, o AWS Security Incident Response tenta implantar uma [regra de supressão do Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html) ou uma regra de automação do AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/automation-rules.html). Essas regras suprimem descobertas futuras que correspondam ao tipo e à origem das atividades autorizadas conhecidas (por exemplo, endereço IP da origem, ASN, entidade principal da identidade ou recurso). As regras do AWS Security Hub CSPM são implantadas com prioridade máxima, o que permite substituir essas automações por regras autodefinidas, se necessário.
Dessa maneira, o AWS Security Incident Response ajusta as origens de detecção com base no comportamento esperado no ambiente da AWS. Sua equipe de resposta a incidentes é notificada sobre modificações nesses conjuntos de regras, e as alterações são revertidas mediante solicitação.
# Agente de IA investigativo
## Visão geral
O agente de investigação por IA trabalha junto com os clientes e os engenheiros do AWS Security Incident Response para agilizar as investigações de segurança. Quando um cliente cria um caso com o suporte da AWS, o agente automaticamente ativa em paralelo o envolvimento do engenheiro do Security Incident Response, o que reduz o tempo de resolução de dias para horas.
Durante escalações do cliente, os casos do Security Incident Response podem ser criados por você ou proativamente pelo AWS Security Incident Response. Quando um novo caso com o suporte da AWS é criado, o agente de investigação é acionado automaticamente. Você pode gerenciar todos os casos no console, na API ou nas integrações do Amazon EventBridge.
**Benefícios principais**
+ **Investigação paralela**: o agente trabalha ao mesmo tempo que os respondentes, fornecendo tanto automação por IA quanto expertise humana.
+ **Coleta automatizada de evidências** — elimina a análise manual de logs por meio de consultas automáticas à AWS CloudTrail, IAM, Amazon EC2 e Cost Explorer.
+ **Interface de linguagem natural** — você pode descrever as questões de segurança em linguagem simples, sem precisar de experiência em formatos de log AWS.
+ **Resposta mais rápida** — resumos da investigação ficam disponíveis em minutos na guia Investigação.
+ **Auditabilidade total** — todas as ações do atendente são registradas na AWS CloudTrail sob o perfil `AWSServiceRoleForSupport`.
**Importante**
Esse atributo está disponível somente para os casos suportados pela AWS. Os casos autogerenciados não incluem possibilidades de investigação com IA.
## Como funciona
O agente de investigação por IA segue um fluxo de trabalho estruturado ao analisar casos de segurança com o suporte da AWS:
**Fluxo de trabalho de investigação**
1. **Criação de casos**: o cliente cria um caso com o suporte da AWS no console do Security Incident Response descrevendo o problema de segurança.
1. **Ativação paralela**
+ Os engenheiros do Security Incident Response se envolvem no caso.
+ Simultaneamente, o agente de IA inicia seu fluxo de trabalho de investigação.
1. **Perguntas contextuais (opcional)** — o atendente pode fazer perguntas de esclarecimento para obter detalhes específicos:
+ IDs da conta AWS afetada
+ Entidades principais IAM envolvidas (usuários, perfis, chaves de acesso)
+ Identificadores de recursos específicos (buckets S3, instâncias EC2, ARNs)
+ Período de tempo de atividade suspeita
1. **Coleta de evidências** — o atendente consulta automaticamente as fontes de dados da AWS:
+ *AWS CloudTrail* – chamadas de API e atividades associadas ao incidente
+ *IAM* — permissões de usuário e perfil, mudanças de políticas e criação de novas identidades
+ *APIs de instância do Amazon EC2* — Informações sobre recursos computacionais, se eles estiverem envolvidos
+ *Explorador de custos* — métricas de custo e uso para consumo incomum de recursos
1. **Análise e correlação** — o atendente correlaciona evidências entre serviços, identifica padrões e cria um cronograma dos eventos.
1. **Geração de resumo** — em questão de minutos, o atendente apresenta um resumo abrangente da investigação na guia Investigação.
**nota**
Todos os campos são opcionais. Se nenhuma resposta for fornecida em 10 minutos, a investigação será iniciada automaticamente. Em alguns casos, se já houver informações suficientes disponíveis, o atendente poderá ignorar totalmente as perguntas opcionais.
**Como acessar os resultados da investigação**
Para ver a análise de IA:
1. Navegue para seu caso no console de Resposta a Incidentes de Segurança
1. Selecione a guia **Investigação**.
1. Revise o resumo da investigação com suas descobertas, o cronograma e o contexto.
O resumo do agente de investigação por IA é publicado automaticamente como um comentário na seção **Comunicação** do caso, o que facilita a revisão em conjunto com outras atualizações do caso.
**Acesso a dados e permissões**
O atendente investigativo de IA usa o perfil vinculado ao serviço `AWSServiceRoleForSupport` para acessar recursos da AWS. Esse recurso fornece permissões somente leitura necessárias para a coleta de evidências.
Todas as ações realizadas pelo atendente são registradas no AWS CloudTrail, permitindo que os clientes auditem exatamente quais dados foram acessados durante a investigação. Nos logs AWS CloudTrail, essas ações são atribuídas à `AWSServiceRoleForSupport`.
## Pré-requisitos
Antes de usar as capacidades de investigação potencializadas por IA, certifique-se do seguinte:
**Configuração necessária**
+ **AWS Security Incident Response habilitado**: o serviço deve ser habilitado por meio da conta gerencial do AWS Organizations.
+ **Tipo de caso com o suporte da AWS**: a investigação por IA está disponível apenas para casos com suporte da AWS (não para casos autogerenciados).
+ **AWSServiceRoleForSupport** — esse perfil vinculado ao serviço é criado automaticamente e fornece as permissões necessárias para o atendente de investigação.
**Permissões obrigatórias**
Para criar casos com o suporte da AWS e ter acesso aos resultados das investigações, a entidade principal do IAM precisa das seguintes permissões:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"security-ir:CreateCase",
"security-ir:GetCase",
"security-ir:ListCases",
"security-ir:UpdateCase"
],
"Resource": "*"
}
]
}
```
## Como usar o atendente investigativo
O atendente investigativo de IA é ativado automaticamente ao criar um caso suportado pela AWS.
**Para monitorar o progresso da investigação de IA**
1. Abra seu caso no console AWS Security Incident Response.
1. Escolha a guia **Investigação**.
1. Visualize o status da investigação (*Em andamento* ou *Concluída*).
1. Depois disso, revise o resumo abrangente da investigação com as descobertas, o cronograma e as recomendações.
**Aviso de IA responsável**
Os resumos das investigações são gerados usando recursos de IA generativa da AWS. Você é responsável por avaliar as recomendações geradas pela IA em seu contexto específico, implementar mecanismos de supervisão apropriados, verificar as descobertas de forma independente e manter a supervisão humana de todas as decisões de segurança.
**Uso de dados do cliente**
O agente de investigação por IA não usa dados de clientes para treinamento de modelo nem compartilha dados de clientes com terceiros.
# Contenção
O AWS Security Incident Response é seu parceiro na contenção de eventos. Em resposta às descobertas de segurança, você pode configurar o serviço para realizar ações de contenção proativa em sua conta. Você também pode fazer a contenção por conta própria ou em parceria com entidades externas usando os [documentos do SSM](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-runbook-reference.html) descritos em [Ações de contenção compatíveis](https://docs.aws.amazon.com/security-ir/latest/userguide/supported-containment-actions.html).
**Importante**
O AWS Security Incident Response não habilita os recursos de contenção por padrão.
São necessárias duas etapas para habilitar recursos de contenção proativa:
**Conceda as permissões necessárias** ao serviço usando perfis do IAM. Você pode criar esses perfis individualmente em cada conta ou para toda a organização trabalhando com os stacksets do AWS CloudFormation, que criam os perfis necessários.
**Defina suas preferências de contenção** conta a conta ou em toda a organização para autorizar ações de contenção proativas. As preferências em nível da conta têm precedência sobre as preferências em nível da organização. Isso pode ser feito criando um caso do AWS Support (Técnico: Serviço Security Incident Response/Outro). As preferências de contenção disponíveis são:
**Aprovação necessária (padrão):** não faça contenção proativa de nenhum recurso sem autorização explícita, caso a caso.
**Conter confirmado:** faça a contenção proativa de um recurso cujo comprometimento foi confirmado.
**Conter suspeito:** faça a contenção proativa de um recurso com grande probabilidade de estar comprometido, com base em análise realizada pelo AWS Security Incident Response Engineering.
# Tomada de decisões de contenção
Uma parte essencial da contenção é a tomada de decisões, como, por exemplo, desligar um sistema, isolar um recurso da rede, suspender acessos ou encerrar sessões. Essas decisões ficam mais fáceis quando há estratégias e procedimentos predeterminados para conter o evento. O AWS Security Incident Response fornece a estratégia de contenção, informa sobre os possíveis impactos e orienta sobre a implementação da solução somente depois que você analisou e aceitou os riscos envolvidos.
# Ações de contenção compatíveis
A AWS Security Incident Response executa, em seu nome, ações de contenção compatíveis para acelerar a resposta e reduzir o tempo que um agente de ameaça pode dispor para causar danos em seu ambiente. Essa funcionalidade permite mitigar ameaças identificadas com maior rapidez, minimizando os impactos potenciais e fortalecendo sua postura geral de segurança. Existem diferentes opções de contenção, dependendo dos recursos sendo analisados. As ações de contenção compatíveis são descritas nas subseções abaixo.
# Contenção no EC2
A automação de contenção `AWSSupport-ContainEC2Instance` faz uma contenção de rede reversível de uma instância do EC2, mantendo a instância intacta e em execução, mas isolando-a de qualquer nova atividade de rede e impedindo-a de se comunicar com recursos internos e externos à VPC.
**Importante**
É importante notar que as conexões rastreadas existentes não serão encerradas em resultado da alteração dos grupos de segurança. Apenas o tráfego futuro será, de fato, bloqueado pelo novo grupo de segurança e por este documento do SSM. Mais informações estão disponíveis na seção [Contenção da origem](https://docs.aws.amazon.com/security-ir/latest/userguide/source-containment.html) no guia técnico do serviço.
# Contenção no IAM
A automação de contenção `AWSSupport-ContainIAMPrincipal` faz uma contenção de rede reversível de um perfil ou usuário do IAM, mantendo o usuário ou perfil no IAM, mas isolando-o de qualquer comunicação com recursos na sua conta.
# Contenção no S3
A automação de contenção `AWSSupport-ContainS3Resource` faz uma contenção de rede reversível de um bucket do S3, mantendo os objetos contidos no bucket e isolando o bucket ou o objeto do Amazon S3 por meio da modificação das suas políticas de acesso.
# Desenvolver estratégias de contenção
A AWS Security Incident Response incentiva a definição de estratégias de contenção específicas para cada tipo principal de evento, alinhadas ao seu nível de tolerância ao risco. Documente critérios claros para auxiliar no processo de tomada de decisão durante um evento. Os critérios a serem considerados incluem:
+ Potenciais danos aos recursos.
+ Preservação de evidências e requisitos regulatórios.
+ Indisponibilidade de serviços (por exemplo, conectividade de rede e serviços fornecidos para entidades externas).
+ Tempo e recursos necessários para implementar a estratégia.
+ Efetividade da estratégia (por exemplo, contenção parcial em comparação com a contenção total).
+ Caráter permanente da solução (por exemplo, reversível em comparação com irreversível).
+ Duração da solução (por exemplo, solução alternativa de emergência, solução alternativa temporária ou solução definitiva)
Aplique controles de segurança que possam reduzir o risco e dar tempo suficiente para a definição e implementação uma estratégia de contenção mais eficaz.
# Abordagem de contenção em etapas
A AWS Security Incident Response recomenda uma abordagem em etapas para alcançar uma contenção eficiente e eficaz, envolvendo estratégias de curto e longo prazo, com base no tipo de recurso.
# Estratégia de contenção
**A AWS Security Incident Response consegue identificar o escopo do evento de segurança?**
+ Em caso afirmativo, realize a identificação de todos os recursos afetados (usuários, sistemas e recursos).
+ Em caso negativo, realize a investigação simultaneamente à execução da próxima etapa nos recursos previamente identificados.
**O recurso pode ser isolado?**
+ Em caso afirmativo, prossiga com o isolamento dos recursos afetados.
+ Em caso negativo, colabore com os responsáveis pelos sistemas e gerentes para determinar as ações necessárias para a contenção do problema.
**Todos os recursos afetados estão isolados dos recursos que não foram afetados?**
+ Em caso afirmativo, prossiga para a próxima etapa.
+ Em caso negativo, continue realizando o isolamento dos recursos afetados para concluir a contenção a curto prazo e evitar que o incidente se agrave.
# Backup do sistema
**Foram criadas cópias de backup dos sistemas afetados para análises posteriores?**
**As cópias para análises forenses estão devidamente criptografadas e armazenadas em um local seguro?**
+ Em caso afirmativo, prossiga para a próxima etapa.
+ Em caso negativo, criptografe as imagens para análises forenses e, em seguida, armazene-as em um local seguro para evitar uso acidental, danos e adulterações.
# Enviar preferências de contenção
Para configurar preferências de contenção para sua conta ou organização, crie um [caso do AWS Support](https://repost.aws/knowledge-center/get-aws-technical-support).
No caso do suporte, especifique as seguintes informações:
+ Seu ID do AWS Organizations ou os IDs das contas específicas em que as ações de contenção devem ser autorizadas.
+ Sua opção de contenção preferida.
Quando configurado, o AWS Security Incident Response executa as ações de contenção autorizadas durante os incidentes de segurança ativos para ajudar a proteger seu ambiente.
**nota**
O AWS Security Incident Response executa ações de contenção apenas quando configurado com as preferências apropriadas e após a implantação do AWS CloudFormation StackSet requerido para conceder as permissões necessárias.
# Erradicação
Durante a fase de erradicação, é importante identificar e tratar todas as contas, recursos e instâncias afetados, por exemplo, ao realizar a exclusão de malware, a remoção de contas de usuários comprometidas e a mitigação das vulnerabilidades descobertas, a fim de assegurar uma remediação uniforme em todo o ambiente.
É considerada uma prática recomendada adotar uma abordagem em fases para erradicação e recuperação, além de priorizar as etapas de remediação. O propósito das fases iniciais consiste em aumentar a segurança geral rapidamente (em dias ou semanas), implementando mudanças significativas para evitar incidentes futuros. As fases posteriores, por sua vez, podem se concentrar em alterações de longo prazo (por exemplo, mudanças na infraestrutura) e em trabalhos contínuos para manter a empresa o mais segura possível. Cada caso é único, e os engenheiros do AWS Security Incident Response trabalharão junto com você para avaliar as ações necessárias.
Considere o seguinte:
+ É possível instalar novamente o sistema e reforçá-lo com patches ou outras medidas para prevenir ou reduzir o risco de ataques?
+ É possível substituir o sistema infectado por uma nova instância ou por um novo recurso, possibilitando uma linha de base íntegra enquanto realiza o encerramento do item comprometido?
+ Você realizou a remoção de todos os malwares e artefatos remanescentes do uso não autorizado, e os sistemas afetados foram reforçados contra novos ataques?
+ Existe a necessidade de realizar uma análise forense nos recursos impactados?
# Recuperar
A AWS Security Incident Response fornece orientações para ajudar na restauração dos sistemas à operação normal, confirmar que estão funcionando corretamente e remediar quaisquer vulnerabilidades, a fim de evitar eventos semelhantes no futuro. Ressalta-se que a AWS Security Incident Response não é responsável pela execução direta do processo de recuperação dos sistemas. As principais considerações incluem:
+ Os sistemas afetados foram atualizados com patches e reforçados para prevenir reincidência do ataque recente?
+ Qual é o prazo viável para restaurar os sistemas para o ambiente de produção?
+ Quais ferramentas serão usadas para testar, monitorar e verificar os sistemas restaurados?
# Relatório posterior ao incidente
A AWS Security Incident Response fornece um resumo do evento após a conclusão das atividades de segurança conduzidas em conjunto com sua equipe.
Ao final de cada mês, o serviço de AWS Security Incident Response enviará relatórios mensais para o ponto de contato principal de cada cliente por e-mail. Os relatórios serão fornecidos em um formato PDF, usando as métricas descritas abaixo. Os clientes receberão um relatório por AWS Organizations.
# Métricas relacionadas ao caso
+ Casos criados
+ Nome da dimensão: tipo
+ Valores da dimensão: com suporte por parte da AWS e com suporte próprio
+ Unidade: Contagem
+ Descrição: o número de casos criados.
+ Casos encerrados
+ Nome da dimensão: tipo
+ Valores da dimensão: com suporte por parte da AWS e gerenciado por conta própria
+ Unidade: Contagem
+ Descrição: uma contagem do número total de casos encerrados.
+ Casos em aberto
+ Nome da dimensão: tipo
+ Valores da dimensão: com suporte por parte da AWS e com suporte próprio
+ Unidade: Contagem
+ Descrição: o número de casos em aberto.
# Métricas relacionadas à triagem
+ Descobertas recebidas
+ Unidade: Contagem
+ Descrição: o número de descobertas enviadas para a triagem.
+ Descobertas arquivadas
+ Unidade: Contagem
+ Descrição: o número de descobertas arquivadas após o processamento, sem necessidade de investigação manual.
+ Descobertas com investigação manual
+ Unidade: Contagem
+ Descrição: o número de descobertas que passaram por investigação manual.
+ Investigações arquivadas
+ Unidade: Contagem
+ Descrição: o número de investigações manuais que resultaram em falsos positivos e foram enviadas para o arquivamento.
+ Investigações encaminhadas
+ Unidade: Contagem
+ Descrição: o número de investigações manuais que resultaram na identificação de um incidente de segurança.
# Casos
A AWS Security Incident Response permite a criação de dois tipos de casos: os casos com suporte por parte da AWS ou os casos gerenciados por conta própria.
# Criação de um caso com suporte por parte da AWS
É possível criar um caso com o suporte da AWS para o AWS Security Incident Response no Console, na API ou na AWS Command Line Interface. Os casos com suporte da AWS permitem que você receba suporte dos engenheiros do Security Incident Response.
**Importante**
Casos de demonstração/simulação são encerrados depois de 90 dias.
**nota**
Os engenheiros do AWS Security Incident Response responderão ao seu caso em até 15 minutos. O tempo de resposta refere-se à primeira resposta dos engenheiros do AWS Security Incident Response. Empregaremos todos os esforços razoáveis para responder à sua solicitação inicial dentro desse período. O tempo de resposta mencionado não se aplica às respostas posteriores.
**nota**
Você pode criar casos com o suporte da AWS não apenas para incidentes e investigações de segurança ativos, mas também para consultas sobre os recursos do AWS Security Incident Response. Isso inclui perguntas sobre as regras de supressão, as configurações de triagem de alertas, os fluxos de trabalho de resposta proativa do GuardDuty e orientações gerais sobre postura de segurança. Selecione o tipo de caso **Investigações e consultas** para essas finalidades.
# Quando entrar em contato com o AWS Security Incident Response
Você pode entrar em contato com o AWS Security Incident Response com diversas finalidades, dependendo de suas necessidades. A tabela a seguir descreve os diferentes cenários e o método de contato adequado para cada um deles.
| Cenário | Quando usar | Tempo de resposta | Tipo de caso |
| --- | --- | --- | --- |
| **Incidente de segurança ativo** | Você tem um incidente de segurança urgente que requer suporte e serviços de resposta a incidentes imediatamente | 15 minutos (primeira resposta) | [Incidente de segurança ativo](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Investigação** | Você percebeu um incidente de segurança e precisa de suporte em análise de log e confirmação secundária de investigação de resposta a incidente | 15 minutos (primeira resposta) | [Investigações e consultas](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Consultas e orientações** | Você tem dúvidas sobre as descobertas, as regras de supressão, as configurações de triagem de alertas, os fluxos de trabalho de resposta proativa do Amazon GuardDuty ou a postura geral de segurança relacionada a recursos do AWS Security Incident Response | 15 minutos (primeira resposta) | [Investigações e consultas](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Problemas de onboarding** | Você tem problemas técnicos durante o processo de onboarding do AWS Security Incident Response | Varia de acordo com o plano de suporte | [AWS Support Caso do](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case) |
Em todos os casos com o suporte da AWS (Incidente ativo de segurança, e Investigações e consultas), os engenheiros do AWS Security Incident Response darão a primeira resposta em até 15 minutos . Esse tempo de resposta se aplica apenas ao contato inicial, não às respostas subsequentes.
O exemplo apresentado a seguir abrange o uso do console.
1. Faça login no AWS Security Incident Response usando o Console de gerenciamento da AWS.
1. Escolha **Criar caso**.
1. Escolha **Resolver caso com a AWS**.
1. Selecione o tipo de solicitação:
1. **Incidente de segurança ativo**: esse tipo é para suporte e serviços de resposta a incidentes urgentes.
1. **Investigações e consultas**: use esse tipo para incidentes de segurança percebidos nos quais os engenheiros do AWS Security Incident Response podem prestar suporte em análise de logs e confirmação secundária da investigação de resposta a incidente. Você pode também usar esse tipo para consultas sobre as descobertas, as regras de supressão, as configurações de triagem de alertas, os fluxos de trabalho de resposta proativa do Amazon GuardDuty e sobre a postura geral de segurança relacionada aos recursos do AWS Security Incident Response.
1. Defina a data estimada de início como a data do seu primeiro indicativo do incidente. Por exemplo, quando você percebeu um comportamento anormal pela primeira vez ou quando recebeu o primeiro alerta de segurança relacionado.
1. Informe um título para o caso.
1. Forneça uma descrição detalhada do caso. Considere os seguintes aspectos, que podem ajudar os responsáveis pela resposta a incidentes na resolução do caso:
1. O que aconteceu?
1. Quem descobriu e reportou o incidente?
1. Quem são as pessoas que estão afetadas pelo caso?
1. Qual é o impacto conhecido?
1. Qual é a urgência deste caso?
1. Adicione um ou mais IDs de Conta da AWS que estejam envolvidos no escopo do caso.
1. Adicione detalhes opcionais ao caso:
1. Selecione os principais serviços impactados usando a lista suspensa.
1. Selecione as principais regiões impactadas usando a lista suspensa.
1. Adicione um ou mais endereços IP de agentes de ameaça que você identificou como parte deste caso.
1. Adicione, opcionalmente, responsáveis pela resposta a incidentes adicionais ao caso para receberem notificações. Para adicionar um indivíduo, execute as seguintes etapas:
1. Adicione um endereço de e-mail.
1. Adicione, opcionalmente, um nome e o sobrenome.
1. Escolha **Adicionar novo** para adicionar outro indivíduo.
1. Para remover um indivíduo, escolha a opção **Remover** correspondente.
1. Escolha **Adicionar** para incluir todos os indivíduos listados no caso.
1. Você pode selecionar diversos indivíduos e escolher **Remover** para excluí-los da lista.
1. Adicione etiquetas opcionais ao caso.
1. Para adicionar uma tag, faça o seguinte:
1. Selecione **Adicionar nova tag**.
1. Em **Chave**, insira o nome da tag.
1. Em **Valor**, insira o valor da tag.
1. Para remover uma tag, clique na opção **Remover** da tag.
Após a criação de um caso com o suporte da AWS, os engenheiros do AWS Security Incident Response e sua equipe de resposta a incidentes são notificadas imediatamente.
**Para criar um caso suportado pela AWS com a investigação de IA**
1. Abra o console do AWS Security Incident Response em [console.aws.amazon.com/](https://console.aws.amazon.com/).
1. Escolha **Casos** no painel de navegação.
1. Escolha **Criar caso**.
1. Em **Tipo de caso**, selecione **caso suportado pela AWS**.
1. Forneça detalhes do caso, incluindo título, data de início do incidente e ID da conta AWS afetada.
1. Na seção **Descreva o evento de segurança**, forneça uma descrição completa do incidente.
1. Forneça informações adicionais sobre os serviços da AWS afetados, regiões e outros detalhes relevantes.
1. Escolha **Criar caso**.
Após a criação de um caso, os engenheiros do Security Incident Response e o agente de IA começam a trabalhar simultaneamente.
**Para responder às perguntas de esclarecimento da IA (opcional)**
1. Navegue até a guia **Investigação** em seu caso.
1. Analise as perguntas de esclarecimento apresentadas pelo agente de IA.
1. Responda às perguntas ou escolha **Ignorar** se preferir não responder.
1. Escolha **Enviar** para continuar. Todos os campos são opcionais.
**Aviso de IA responsável**
Os resumos das investigações são gerados usando recursos de IA generativa da AWS. Você é responsável por avaliar as recomendações geradas pela IA em seu contexto específico, implementar mecanismos de supervisão apropriados, verificar as descobertas de forma independente e manter a supervisão humana de todas as decisões de segurança.
# Criação de um caso gerenciado por conta própria
Você pode criar um caso gerenciado por conta própria para a AWS Security Incident Response por meio do Console, da API ou da AWS Command Line Interface. Esse tipo de caso *NÃO* envolve engenheiros do AWS Security Incident Response. O exemplo apresentado a seguir abrange o uso do console.
1. Faça login no AWS Security Incident Response via Console de gerenciamento da AWS em [https://console.aws.amazon.com/security-ir/](https://console.aws.amazon.com/).
1. Escolha **Criar caso**.
1. Escolha **Resolver caso com minha própria equipe de resposta a incidentes**.
1. Defina a data estimada de início como a data do seu primeiro indicativo do incidente. Por exemplo, quando você percebeu um comportamento anormal pela primeira vez ou quando recebeu o primeiro alerta de segurança relacionado.
1. Informe um título para o caso. É recomendado incluir os dados no título do caso, conforme a sugestão fornecida ao selecionar a opção **Gerar título**.
1. Insira os IDs de Conta da AWS que fazem parte do caso. Para adicionar um ID de conta, execute as seguintes etapas:
1. Insira o ID da conta, que contém 12 dígitos, e escolha **Adicionar conta**.
1. Para remover uma conta, selecione **Remover** ao lado da conta que deseja remover do caso.
1. Forneça uma descrição detalhada do caso.
1. Considere os seguintes aspectos, que podem ajudar os responsáveis pela resposta a incidentes na resolução do caso:
1. O que aconteceu?
1. Quem descobriu e reportou o incidente?
1. Quem são as pessoas que estão afetadas pelo caso?
1. Qual é o impacto conhecido?
1. Qual é a urgência deste caso?
1. Adicione detalhes opcionais ao caso:
1. Selecione os principais serviços impactados usando a lista suspensa.
1. Selecione as principais regiões impactadas usando a lista suspensa.
1. Adicione um ou mais endereços IP de agentes de ameaça que você identificou como parte deste caso.
1. Adicione, opcionalmente, responsáveis pela resposta a incidentes adicionais ao caso para receberem notificações. Para adicionar um indivíduo, execute as seguintes etapas:
1. Adicione um endereço de e-mail.
1. Adicione, opcionalmente, um nome e o sobrenome.
1. Escolha **Adicionar novo** para adicionar outro indivíduo.
1. Para remover um indivíduo, escolha a opção **Remover** correspondente.
1. Escolha **Adicionar** para incluir todos os indivíduos listados no caso. Você pode selecionar diversos indivíduos e escolher **Remover** para excluí-los da lista.
1. Adicione etiquetas opcionais ao caso. Para adicionar uma tag, faça o seguinte:
1. Selecione **Adicionar nova tag**.
1. Em **Chave**, insira o nome da tag.
1. Em **Valor**, insira o valor da tag.
1. Para remover uma tag, clique na opção **Remover** da tag.
Após a criação do caso, a equipe de resposta a incidentes receberá uma notificação por e-mail.
# Trabalhar com os engenheiros do AWS Security Incident Response
Depois que você abre um caso de incidente de segurança, os engenheiros do AWS Security Incident Response começam a trabalhar no incidente. Esta seção explica o que esperar durante a investigação e como colaborar de modo eficaz com nossa equipe.
# O que esperar dos engenheiros do AWS Security Incident Response
Quando você abre um caso com o suporte da AWS, um engenheiro do Security Incident Response é designado para o incidente. O respondente designado:
+ Revisa as informações iniciais que você forneceu sobre o caso
+ Analisa os logs de serviço da AWS e as descobertas de segurança relevantes
+ Identifica o escopo e o impacto do incidente de segurança
+ Desenvolve um plano de investigação e resposta específico para a situação
**Cronograma de resposta**: o objetivo do nível de serviço (SLO) para o reconhecimento de novos casos pelos engenheiros da AWS Security Incident Response é de 15 minutos. O cronograma da avaliação inicial pode variar com base na gravidade e complexidade do caso. Se os engenheiros da AWS Security Incident Response não receberem uma resposta ou informações críticas de você dentro de 5 dias úteis, o caso será encerrado.
# Fluxo de trabalho de investigação
Os engenheiros do AWS Security Incident Response seguem um processo estruturado de resposta a incidentes alinhado com a estrutura NIST 800-61r2. Durante sua investigação, as seguintes fases são esperadas:
1. **Triagem inicial**: os engenheiros do Security Incident Response analisam os detalhes do caso e confirmam o escopo do incidente
1. **Investigação**: os engenheiros do Security Incident Response analisam os logs, identificam os indicadores de comprometimento e determinam a causa primária
1. **Contenção**: os engenheiros do Security Incident Response recomendam ações para limitar o impacto do incidente
1. **Erradicação e recuperação**: os engenheiros do Security Incident Response ajudam a remover as ameaças e restaurar as operações normais
1. **Análise pós-incidente**: os engenheiros do Security Incident Response apresentam as descobertas e as recomendações para evitar futuros incidentes
Durante essas fases, o engenheiro de Security Incident Response mantém você informado por meio de atualizações do caso e pode solicitar informações ou ações adicionais.
# Os engenheiros do Information Security Incident Response podem solicitar
Para investigar o incidente de forma eficaz, os engenheiros do AWS Security Incident Response podem solicitar:
+ **Detalhes cronológicos**: quando você detectou pela primeira vez o incidente e quaisquer eventos relevantes que o antecederam
+ **Recursos afetados**: IDs de contas, serviços, regiões específicas da AWS, e ARNs dos recursos envolvidos
+ **Informações de acesso**: detalhes sobre quem tem acesso aos recursos afetados e qualquer alteração de acesso recente
+ **Contexto de negócios**: como os recursos afetados são usados e o possível impacto nos negócios
+ **Logs e evidências**: outros logs, capturas de tela ou artefatos que possam ajudar na investigação
+ **Autorização**: aprovação para realizar ações específicas de contenção ou remediação para você
O engenheiro do Security Incident Response explicará por que cada informação é necessária e como ela ajudará na investigação.
# Práticas recomendadas de comunicação
A comunicação eficaz acelera a resolução dos incidentes. Siga estas práticas ao trabalhar com engenheiros do AWS Security Incident Response:
+ **Responda prontamente** às solicitações de informação feitas pelo engenheiro do Security Incident Response
+ **Forneça informações completas**, mesmo que não tenha certeza de sua relevância
+ **Faça perguntas** se não entender uma recomendação ou precisar de esclarecimentos
+ **Atualize o caso** com qualquer novo desenvolvimento ou alteração no incidente
+ **Designe um contato principal** de sua equipe para coordenar com os engenheiros do Security Incident Response
**Importante**
Se os engenheiros da AWS Security Incident Response não receberem uma resposta às solicitações de informações críticas dentro de 5 dias úteis, procederemos ao encerramento do caso. É possível reabrir um caso se novas informações ficarem disponíveis.
# Seu papel durante a investigação
Embora os engenheiros da AWS Security Incident Response conduzam a investigação, sua participação é essencial. Você é responsável por realizar as seguintes ações:
+ Fornecer respostas às solicitações de informação prontamente
+ Implementar as ações recomendadas de contenção e remediação em seu ambiente da AWS
+ Autorizar os engenheiros da Resposta a Incidentes de Segurança a realizar ações para você (se a resposta proativa foi habilitada)
+ Coordenar com suas equipes internas (segurança, jurídica, conformidade) conforme necessário
+ Tomar decisões de negócios sobre prioridades e escolhas compensatórias nas respostas aos incidentes
Os engenheiros da AWS Security Incident Response oferecem expertise e recomendações, mas você mantém o controle de seus recursos da AWS e toma as decisões finais sobre as ações de resposta.
# Encerramento do caso
Os engenheiros da AWS Security Incident Response encerram seu caso quando:
+ O incidente foi contido e remediado
+ Todos os resultados da investigação foram compartilhados com você
+ Nenhuma assistência adicional do engenheiro do Security Incident Response é necessária
+ Você solicita o encerramento do caso
Antes de encerrar um caso, o engenheiro do Security Incident Response fornece um resumo das descobertas, ações realizadas e recomendações para melhorar a postura de segurança.
Se precisar de assistência adicional após o encerramento do caso, você pode abrir um novo caso ou entrar em contato com o AWS Support.
# Como responder a um caso gerado pela AWS
A AWS Security Incident Response pode criar uma notificação externa ou abrir um caso quando for necessário que você realize alguma ação ou esteja ciente de algo que possa impactar sua conta ou seus recursos. Isso só ocorre se você tiver habilitado os fluxos de trabalho de resposta proativa e triagem de alertas como parte da sua assinatura.
Essas notificações é apresentada como casos de Resposta a Incidentes de Segurança com o prefixo “[Caso proativo]” no console de AWS Security Incident Response. Para visualizar e gerenciar esses casos, conclua as seguintes etapas:
+ Acesse o console de Resposta a Incidentes de Segurança em https://console.aws.amazon.com/security-ir/.
+ Escolha **Casos**.
+ Você vê todos os casos, incluindo aqueles com o prefixo "[Caso proativo]".
É possível atualizar, resolver e reabrir esses casos conforme necessário. É possível se comunicar diretamente com a equipe de AWS Security Incident Response por meio desses casos, garantindo um tratamento eficiente de possíveis questões de segurança.
# Gerenciamento de casos
**Topics**
+ [Alteração do status de um caso](changing-the-case-status.md)
+ [Alteração do responsável](changing-the-resolver.md)
+ [Itens de ação](action-items.md)
+ [Editar um caso](edit-a-case.md)
+ [Comunicações](communications.md)
+ [Permissões](sir-permissions.md)
+ [Anexos](attachments.md)
+ [Tags](tags.md)
+ [Atividades relacionadas ao caso](case-activities.md)
+ [Encerramento de um caso](closing-a-case.md)
# Alteração do status de um caso
Um caso encontra-se em um dos seguintes estados:
+ Enviado: representa o status inicial de um caso. Os casos com este status foram enviados por um solicitante, mas ainda não estão sendo processados.
+ Detecção e análise: este status indica que o responsável pela resposta a incidentes começou a trabalhar no caso. Esta fase inclui a coleta de dados, a triagem do evento e a realização de análises para formular conclusões orientadas por dados.
+ Contenção, erradicação e recuperação: neste status, o responsável pela resposta a incidentes identificou uma atividade suspeita que exige esforços adicionais para ser removida. O responsável pela resposta a incidentes fornecerá recomendações para você executar a análise de riscos ao negócio e a implementação de ações adicionais. Se os recursos opcionais para o serviço estiverem habilitados, o responsável pela resposta a incidentes da AWS solicitará seu consentimento para executar as ações de contenção usando documentos do SSM nas contas impactadas.
+ Atividades posteriores ao incidente: neste status, o evento de segurança principal foi contido. O foco passa a ser a recuperação e o restabelecimento das operações empresariais ao seu estado normal. Um resumo e a análise da causa-raiz serão fornecidos, desde que o responsável pela resolução do caso seja a AWS.
+ Encerrado: este é o status final do fluxo de trabalho. Os casos com status “encerrado” indicam que o trabalho foi totalmente concluído. Não é possível reabrir casos encerrados, portanto, assegure-se de que todas as ações estejam devidamente finalizadas antes de aplicar essa alteração de status.
Selecione **Ação: atualizar status** para alterar o status do caso em casos gerenciados por conta própria. Nos casos com o suporte da AWS, o status é definido pelos engenheiros do AWS Security Incident Response.
# Alteração do responsável
Para casos gerenciados por conta própria, sua equipe de resposta a incidentes pode solicitar ajuda da AWS. Escolha **Obtenha ajuda da AWS** para alterar o responsável pelo caso para a AWS. Após a atualização do caso para “suporte por parte da AWS”, o status será alterado para **Enviado**. O histórico do caso existente ficará disponível para os engenheiros do AWS Security Incident Response. Uma vez solicitada a ajuda da AWS, não será possível retornar o caso ao gerenciamento próprio.
# Itens de ação
Um engenheiro do AWS Security Incident Response designado para trabalhar no caso pode solicitar ações de sua equipe interna.
Após a criação de um caso, os itens de ações que podem ser solicitados incluem:
+ Solicitação para conceder permissões a um responsável pela resposta a incidentes para acesso a um caso
+ Solicitação para fornecer informações adicionais sobre o caso
Quando um caso está pronto para ser encerrado, os itens de ação incluem:
+ Solicitação para analisar o relatório do caso
+ Solicitação para encerrar o caso
# Editar um caso
Selecione **Editar** para alterar os detalhes de um caso.
**Para casos com suporte por parte da AWS e casos gerenciados por conta própria:**
É possível alterar os seguintes detalhes referentes ao caso após a criação do caso:
+ Cargo
+ Descrição
**Somente para casos com suporte por parte da AWS:**
É possível alterar os campos adicionais:
+ **Tipos de solicitação:**
+ **Incidente de segurança ativo**: este tipo é destinado ao suporte e aos serviços urgentes de resposta a incidentes.
+ **Investigações**: as investigações permitem obter suporte em incidentes de segurança percebidos, nos quais os engenheiros do AWS Security Incident Response podem prestar suporte para análise de logs e confirmação secundária de evento de segurança.
+ **Estimativa da data de início**: altere este campo caso tenha identificado indicadores relacionados ao caso que antecedem a data de início inicialmente informada. Considere fornecer detalhes adicionais sobre o novo indicador detectado no campo de descrição ou adicione um comentário na guia de comunicações.
# Comunicações
Os engenheiros do AWS Security Incident Response podem adicionar comentários para documentar suas atividades ao trabalharem em um caso. Vários engenheiros do AWS Security Incident Response podem trabalhar em um caso ao mesmo tempo. Esses profissionais são identificados como **responsáveis da AWS** no log de comunicações.
# Permissões
A guia Permissões lista todos os indivíduos que receberão notificações em caso de qualquer alteração no caso. Você pode adicionar e remover indivíduos da lista até que o caso seja encerrado.
**nota**
Os casos individuais permitem a inclusão de até 30 partes interessadas no total. É necessário configurar permissões adicionais para conceder acesso em nível de caso a essas partes interessadas.
**Fornecimento de acesso a um caso no Console**
Para fornecer acesso ao caso no Console de gerenciamento da AWS, você pode copiar o modelo de política de permissões do IAM e adicionar essa permissão para um usuário ou perfil.
Como adicionar a política do IAM para um usuário ou para um perfil:
1. Copie a política de permissões do IAM.
1. Acesse o IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, selecione **Usuários** ou **Perfis**.
1. Selecione um usuário ou um perfil para abrir a página de detalhes.
1. Na guia Permissões, escolha **Adicionar permissões**.
1. Escolha **Anexar política**.
1. Selecione a [política gerenciada da AWS Security Incident Response](https://docs.aws.amazon.com/security-ir/latest/userguide/aws-managed-policies.html) mais apropriada.
1. Escolha **Add policy**.
# Anexos
Em casos gerenciados por conta própria, seus responsáveis pela resposta a incidentes podem adicionar anexos ao caso para apoiar outros profissionais responsáveis pela resposta a incidentes durante a investigação.
**nota**
Nos casos com suporte por parte da AWS, a AWS não pode visualizar os anexos. Todos os detalhes relacionados a casos com suporte por parte da AWS devem ser compartilhados por meio de comentários no caso ou fornecidos por compartilhamento de tela usando a tecnologia de comunicação de sua preferência.
Escolha **Fazer upload** para selecionar um arquivo do seu computador para ser adicionado ao caso.
**nota**
Todos os anexos enviados serão excluídos sete dias após um caso ter sido `Closed`.
# Tags
Uma etiqueta consiste em um rótulo opcional que você pode atribuir para os seus casos com a finalidade de armazenar metadados sobre esse recurso. Cada tag é um rótulo que consiste em uma chave e um valor opcional. Você pode usar etiquetas para pesquisar, alocar custos e autenticar permissões para o recurso.
Para adicionar uma tag, faça o seguinte:
1. Selecione **Adicionar nova tag**.
1. Em **Chave**, insira o nome da tag.
1. Em **Valor**, insira o valor da tag.
Para remover uma tag, clique na opção **Remover** da tag.
# Atividades relacionadas ao caso
As trilhas de auditoria fornecem registros cronológicos detalhados de todas as atividades relacionadas ao caso. As trilhas oferecem informações importantes para atividades posteriores ao evento e auxiliam na identificação de possíveis melhorias. O horário, o usuário, a ação e os detalhes de qualquer alteração no caso são registrados em log na trilha de auditoria do caso.
# Encerramento de um caso
Para casos com suporte por parte da AWS, selecione **Encerrar caso** na página de detalhes do caso para encerrá-lo permanentemente, independentemente do status atual. Normalmente, um caso atinge o status **Pronto para encerrar** antes de ser encerrado permanentemente. Se encerrar prematuramente um caso com status que não for **Pronto para encerrar**, você estará solicitando que os engenheiros do AWS Security Incident Response interrompam o trabalho nesse caso com o suporte da AWS.
Se a sua equipe de resposta a incidentes for a responsável, selecione **Ação: encerrar caso** na página de detalhes do caso.
**nota**
O status “Pronto para encerrar” indica que um caso pode ser encerrado permanentemente e que não há trabalho adicional a ser feito em um caso.
Um caso não poderá ser reaberto após ter sido encerrado permanentemente. Todas as informações ficarão disponíveis somente para leitura. Para evitar o encerramento acidental, você receberá uma notificação para confirmar que deseja encerrar o caso.
# Trabalhar com o CloudFormation StackSets
**Importante**
O AWS Security Incident Response não habilita recursos de contenção por padrão. Para executar essas ações de contenção, conceda as permissões necessárias ao serviço usando os perfis do AWS Identity and Access Management. Você pode criar esses perfis individualmente para cada conta ou implementá-los em toda a organização por meio do CloudFormation StackSets. O StackSets cria os perfis necessários.
Para obter instruções específicas sobre como criar um StackSet com permissões gerenciadas pelo serviço, consulte [Criar CloudFormation StackSets com permissões gerenciadas pelo serviço](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-associate-stackset-with-org.html) no *Guia do usuário do AWS CloudFormation*.
Os modelos a seguir destinam-se a criar os perfis *AWSSecurityIncidentResponseContainment* e *AWSSecurityIncidentResponseContainmentExecution*.
```
AWSTemplateFormatVersion: '2010-09-09'
Description: 'Template for production SIR containment roles'
Resources:
AWSSecurityIncidentResponseContainment:
Type: 'AWS::IAM::Role'
Properties:
RoleName: AWSSecurityIncidentResponseContainment
AssumeRolePolicyDocument:
{
'Version': '2012-10-17',
'Statement':
[
{
'Effect': 'Allow',
'Principal': { 'Service': 'containment.security-ir.amazonaws.com' },
'Action': 'sts:AssumeRole',
'Condition': { 'StringEquals': { 'sts:ExternalId': !Sub '${AWS::AccountId}' } },
},
{
'Effect': 'Allow',
'Principal': { 'Service': 'containment.security-ir.amazonaws.com' },
'Action': 'sts:TagSession',
},
],
}
Policies:
- PolicyName: AWSSecurityIncidentResponseContainmentPolicy
PolicyDocument:
{
'Version': '2012-10-17',
'Statement':
[
{
'Effect': 'Allow',
'Action': ['ssm:StartAutomationExecution'],
'Resource':
[
!Sub 'arn:${AWS::Partition}:ssm:*:*:automation-definition/AWSSupport-ContainEC2Instance:$DEFAULT',
!Sub 'arn:${AWS::Partition}:ssm:*:*:automation-definition/AWSSupport-ContainS3Resource:$DEFAULT',
!Sub 'arn:${AWS::Partition}:ssm:*:*:automation-definition/AWSSupport-ContainIAMPrincipal:$DEFAULT',
],
},
{
'Effect': 'Allow',
'Action':
['ssm:DescribeInstanceInformation', 'ssm:GetAutomationExecution', 'ssm:ListCommandInvocations'],
'Resource': '*',
},
{
'Effect': 'Allow',
'Action': ['iam:PassRole'],
'Resource': !GetAtt AWSSecurityIncidentResponseContainmentExecution.Arn,
'Condition': { 'StringEquals': { 'iam:PassedToService': 'ssm.amazonaws.com' } },
},
],
}
AWSSecurityIncidentResponseContainmentExecution:
Type: 'AWS::IAM::Role'
Properties:
RoleName: AWSSecurityIncidentResponseContainmentExecution
AssumeRolePolicyDocument:
{
'Version': '2012-10-17',
'Statement':
[{ 'Effect': 'Allow', 'Principal': { 'Service': 'ssm.amazonaws.com' }, 'Action': 'sts:AssumeRole' }],
}
ManagedPolicyArns:
- !Sub arn:${AWS::Partition}:iam::aws:policy/SecurityAudit
Policies:
- PolicyName: AWSSecurityIncidentResponseContainmentExecutionPolicy
PolicyDocument:
{
'Version': '2012-10-17',
'Statement':
[
{
'Sid': 'AllowIAMContainment',
'Effect': 'Allow',
'Action':
[
'iam:AttachRolePolicy',
'iam:AttachUserPolicy',
'iam:DeactivateMFADevice',
'iam:DeleteLoginProfile',
'iam:DeleteRolePolicy',
'iam:DeleteUserPolicy',
'iam:GetLoginProfile',
'iam:GetPolicy',
'iam:GetRole',
'iam:GetRolePolicy',
'iam:GetUser',
'iam:GetUserPolicy',
'iam:ListAccessKeys',
'iam:ListAttachedRolePolicies',
'iam:ListAttachedUserPolicies',
'iam:ListMfaDevices',
'iam:ListPolicies',
'iam:ListRolePolicies',
'iam:ListUserPolicies',
'iam:ListVirtualMFADevices',
'iam:PutRolePolicy',
'iam:PutUserPolicy',
'iam:TagMFADevice',
'iam:TagPolicy',
'iam:TagRole',
'iam:TagUser',
'iam:UntagMFADevice',
'iam:UntagPolicy',
'iam:UntagRole',
'iam:UntagUser',
'iam:UpdateAccessKey',
'identitystore:CreateGroupMembership',
'identitystore:DeleteGroupMembership',
'identitystore:IsMemberInGroups',
'identitystore:ListUsers',
'identitystore:ListGroups',
'identitystore:ListGroupMemberships',
],
'Resource': '*',
},
{
'Sid': 'AllowOrgListAccounts',
'Effect': 'Allow',
'Action': 'organizations:ListAccounts',
'Resource': '*',
},
{
'Sid': 'AllowSSOContainment',
'Effect': 'Allow',
'Action':
[
'sso:CreateAccountAssignment',
'sso:DeleteAccountAssignment',
'sso:DeleteInlinePolicyFromPermissionSet',
'sso:GetInlinePolicyForPermissionSet',
'sso:ListAccountAssignments',
'sso:ListInstances',
'sso:ListPermissionSets',
'sso:ListPermissionSetsProvisionedToAccount',
'sso:PutInlinePolicyToPermissionSet',
'sso:TagResource',
'sso:UntagResource',
],
'Resource': '*',
},
{
'Sid': 'AllowSSORead',
'Effect': 'Allow',
'Action': ['sso-directory:SearchUsers', 'sso-directory:DescribeUser'],
'Resource': '*',
},
{
'Sid': 'AllowS3Read',
'Effect': 'Allow',
'Action':
[
's3:GetAccountPublicAccessBlock',
's3:GetBucketAcl',
's3:GetBucketLocation',
's3:GetBucketOwnershipControls',
's3:GetBucketPolicy',
's3:GetBucketPolicyStatus',
's3:GetBucketPublicAccessBlock',
's3:GetBucketTagging',
's3:GetEncryptionConfiguration',
's3:GetObject',
's3:GetObjectAcl',
's3:GetObjectTagging',
's3:GetReplicationConfiguration',
's3:ListBucket',
's3express:GetBucketPolicy',
],
'Resource': '*',
},
{
'Sid': 'AllowS3Write',
'Effect': 'Allow',
'Action':
[
's3:CreateBucket',
's3:DeleteBucketPolicy',
's3:DeleteObjectTagging',
's3:PutAccountPublicAccessBlock',
's3:PutBucketACL',
's3:PutBucketOwnershipControls',
's3:PutBucketPolicy',
's3:PutBucketPublicAccessBlock',
's3:PutBucketTagging',
's3:PutBucketVersioning',
's3:PutObject',
's3:PutObjectAcl',
's3express:CreateSession',
's3express:DeleteBucketPolicy',
's3express:PutBucketPolicy',
],
'Resource': '*',
},
{
'Sid': 'AllowAutoScalingWrite',
'Effect': 'Allow',
'Action':
[
'autoscaling:CreateOrUpdateTags',
'autoscaling:DeleteTags',
'autoscaling:DescribeAutoScalingGroups',
'autoscaling:DescribeAutoScalingInstances',
'autoscaling:DescribeTags',
'autoscaling:EnterStandby',
'autoscaling:ExitStandby',
'autoscaling:UpdateAutoScalingGroup',
],
'Resource': '*',
},
{
'Sid': 'AllowEC2Containment',
'Effect': 'Allow',
'Action':
[
'ec2:AuthorizeSecurityGroupEgress',
'ec2:AuthorizeSecurityGroupIngress',
'ec2:CopyImage',
'ec2:CreateImage',
'ec2:CreateSecurityGroup',
'ec2:CreateSnapshot',
'ec2:CreateTags',
'ec2:DeleteSecurityGroup',
'ec2:DeleteTags',
'ec2:DescribeImages',
'ec2:DescribeInstances',
'ec2:DescribeSecurityGroups',
'ec2:DescribeSnapshots',
'ec2:DescribeTags',
'ec2:ModifyNetworkInterfaceAttribute',
'ec2:RevokeSecurityGroupEgress',
],
'Resource': '*',
},
{
'Sid': 'AllowKMSActions',
'Effect': 'Allow',
'Action':
[
'kms:CreateGrant',
'kms:DescribeKey',
'kms:GenerateDataKeyWithoutPlaintext',
'kms:ReEncryptFrom',
'kms:ReEncryptTo',
],
'Resource': '*',
},
{
'Sid': 'AllowSSMActions',
'Effect': 'Allow',
'Action': ['ssm:DescribeAutomationExecutions'],
'Resource': '*',
},
],
}
```
# Cancelamento da associação
Um perfil que contém a permissão CancelMembership para a AWS Security Incident Response pode cancelar a associação pelo console, pela API ou pela AWS Command Line Interface.
**Importante**
Após o cancelamento da associação, não será mais possível visualizar os dados históricos dos casos. Ao cancelar uma assinatura, sua assinatura será excluída imediatamente e você não terá mais acesso aos casos da assinatura. Todos os recursos ou investigações com status `Active` ou `ready to close` também serão encerrados no cancelamento da assinatura.
Ao cancelar uma assinatura:
Sua assinatura será excluída e você não terá mais acesso aos casos da assinatura.
**Importante**
Caso você opte por reativar a assinatura do serviço, uma nova associação será criada. Os recursos de casos vinculados à associação anterior poderão ser acessados somente se tiverem sido previamente baixados antes do cancelamento.
Após o cancelamento da associação, todos os membros da equipe de resposta a incidentes da associação receberão notificações por e-mail.
**Importante**
Se a associação tiver sido criada usando uma conta com permissões de administrador delegado e você remover essa designação de administrador delegado da conta usando a API do AWS Organizations, a associação será encerrada imediatamente.