Validação, definição de escopo e avaliação do impacto do alerta

Durante a fase de análise, realiza-se uma análise abrangente dos logs com o objetivo de validar os alertas, definir o escopo e avaliar o impacto do possível comprometimento.

A validação do alerta constitui o ponto de entrada da fase de análise. Os responsáveis pela resposta a incidentes buscarão entradas de log provenientes de diversas fontes e entrarão em contato diretamente com os proprietários da workload afetada.
A definição do escopo é a etapa seguinte, na qual todos os recursos envolvidos são inventariados e a criticidade do alerta é ajustada após o consenso entre as partes interessadas de que se trata, provavelmente, de um alerta verdadeiro.
Por fim, a análise de impacto descreve a interrupção real nos negócios.

Uma vez que os componentes da workload afetada forem identificados, os resultados do escopo podem ser correlacionados com o objetivo de ponto de recuperação (RPO) e com o objetivo de tempo de recuperação (RTO) da workload correspondente, ajustando a criticidade do alerta, o que dará início à alocação de recursos e às atividades subsequentes. Não são todos os incidentes que interromperão diretamente as operações de uma workload que fornece suporte a um processo de negócios. Incidentes como a divulgação de dados sensíveis, o roubo de propriedade intelectual ou o sequestro de recursos (como no caso de mineração de criptomoedas) podem não paralisar ou prejudicar imediatamente um processo de negócios, mas podem acarretar consequências em um momento posterior.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Análise

Enriquecimento de logs e de descobertas de segurança