Entender arquivamento automático com resposta proativa - AWS Security Incident ResponseGuia do usuário do

Entender arquivamento automático com resposta proativa

Quando você habilita resposta proativa e triagem de alertas, a AWS Security Incident Response automaticamente monitora e faz a triagem das descobertas do Amazon GuardDuty e do CSPM do Security Hub. Como parte desse fluxo de trabalho de triagem automática, as descobertas são arquivadas automaticamente segundo os seguintes critérios:

Comportamento de arquivamento automático:

  • Descobertas benignas: quando o processo de triagem automática determina que uma descoberta é benigna (não é uma verdadeira ameaça à segurança), o AWS Security Incident Response automaticamente arquiva a descoberta no Amazon GuardDuty e cria regras de supressão para evitar que descobertas semelhantes gerem alertas no futuro.

  • Regras de supressão: o serviço cria regras de supressão e arquivamento automático no Amazon GuardDuty e no CSPM do Security Hub para descobertas que correspondam aos padrões reconhecidos do ambiente, como endereços IP esperados, entidades do IAM e comportamentos operacionais normais.

  • Volume de alertas reduzido: as organizações que usarem a tecnologia SIEM observarão volumes de descoberta do Amazon GuardDuty significativamente reduzidos ao longo do tempo, à medida que o serviço aprender o ambiente e arquivar automaticamente descobertas benignas. Isso melhora a eficiência do serviço AWS Security Incident Response e do SIEM.

Visualizar descobertas arquivadas:

É possível revisar automaticamente as descobertas arquivadas e as regras de supressão criadas pelo AWS Security Incident Response:

  1. Navegue até o console do Amazon GuardDuty

  2. Escolha Descobertas

  3. Selecione Arquivada no filtro de descobertas

  4. Revise as regras de supressão selecionando a seta para baixo ao lado de cada regra

Considerações importantes:

  • As descobertas arquivadas são retidas no Amazon GuardDuty por 90 dias e podem ser visualizadas a qualquer momento durante esse período

  • Você pode modificar ou excluir regras de supressão a qualquer momento no console do Amazon GuardDuty

  • O processo de triagem automática se adapta continuamente ao ambiente, melhorando a precisão ao longo do tempo e reduzindo os falsos positivos