# SEC 4. Como detectar e investigar eventos de segurança?
<a name="sec-04"></a>

Capture e analise eventos de logs e métricas para obter visibilidade. Tomar medidas em relação aos eventos de segurança e possíveis ameaças para ajudar a proteger seu workload.

**Topics**
+ [SEC04-BP01 Configurar o registro em log de serviços e aplicações](sec_detect_investigate_events_app_service_logging.md)
+ [SEC04-BP02 Capturar logs, descobertas e métricas em locais padronizados](sec_detect_investigate_events_logs.md)
+ [SEC04-BP03 Correlacionar e enriquecer alertas de segurança](sec_detect_investigate_events_security_alerts.md)
+ [SEC04-BP04 Iniciar a correção de recursos fora de conformidade](sec_detect_investigate_events_noncompliant_resources.md)

# SEC04-BP01 Configurar o registro em log de serviços e aplicações
<a name="sec_detect_investigate_events_app_service_logging"></a>

Retenha logs de eventos de segurança de serviços e aplicações. Esse é um princípio fundamental de segurança para auditoria, investigações e casos de uso operacionais e um requisito de segurança comum orientado por padrões, políticas e procedimentos de governança, risco e conformidade (GRC).

 **Resultado desejado:** uma organização deve ser capaz de recuperar de forma confiável e consistente logs de eventos de segurança de serviços e aplicações da AWS em tempo hábil quando necessário para cumprir um processo ou obrigação interna, como uma resposta a incidente de segurança. Considere centralizar os logs para obter os melhores resultados operacionais. 

 **Práticas comuns que devem ser evitadas:** 
+  Os logs são armazenados de forma perpétua ou excluídos muito precocemente. 
+  Todos podem acessar os logs. 
+  Contar inteiramente com processos manuais para uso e governança de logs. 
+  Armazenar todo e qualquer tipo de log para uma eventual necessidade. 
+  Conferir a integridade dos logs apenas quando necessário. 

 **Benefícios de implementar esta prática recomendada:** implemente um mecanismo de análise de causa-raiz (RCA) para incidentes de segurança e uma fonte de evidência para suas obrigações de governança, risco e conformidade. 

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto 

## Orientação para implementação
<a name="implementation-guidance"></a>

 Durante uma investigação de segurança ou outros casos de uso com base em seus requisitos, você precisa ser capaz de analisar os logs relevantes a fim de registrar e entender o escopo total e a linha do tempo do incidente. Os logs também são necessários para geração de alertas indicando que ocorreram determinadas ações de interesse. É essencial selecionar, ativar, armazenar e configurar mecanismos de consulta, recuperação e alertas. 

 **Etapas de implementação** 
+  **Selecione e use fontes de log.** Antes de uma investigação de segurança, você precisa capturar logs relevantes para reconstruir de forma retroativa a atividade em uma Conta da AWS. Selecione fontes de logs relevantes para suas workloads. 

   Os critérios de seleção de fonte de logs devem se basear nos casos de uso necessários à sua empresa. Estabeleça uma trilha para cada Conta da AWS utilizando o AWS CloudTrail ou uma trilha do AWS Organizations e configure um bucket do Amazon S3 para ela. 

   O AWS CloudTrail é um serviço de registro em log que rastreia chamadas de API feitas em uma Conta da AWS capturando a atividade do serviço da AWS. Ele é ativado por padrão com uma retenção de 90 dias de eventos de gerenciamento que podem ser [recuperados por meio do histórico de eventos do CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) via Console de gerenciamento da AWS, AWS CLI ou AWS SDK. Para maior retenção e visibilidade dos eventos de dados, [crie uma trilha do CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) e associe-a a um bucket do Amazon S3 e, opcionalmente, a um grupo de log do Amazon CloudWatch. Como alternativa, você pode criar um [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html), o qual retém os logs do CloudTrail por até sete anos e fornece um recurso de consulta baseado em SQL 

   A AWS recomenda que os clientes que usam VPC ativem os logs de tráfego de rede e DNS usando [Logs de fluxo da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) e [Logs de consulta do Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html), respectivamente, e os transmitam para um bucket do Amazon S3 ou um grupo de logs do CloudWatch. É possível criar um log de fluxo de VPC, uma sub-rede ou uma interface de rede. Para logs de fluxo de VPC, é possível ser seletivo em relação a como e onde usar os logs de fluxo para reduzir o custo. 

   Logs do AWS CloudTrail, logs de fluxo de VPC e logs de consulta do Route 53 Resolver são as fontes básicas de registro em log para oferecer compatibilidade com investigações de segurança na AWS. Também é possível usar o [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) para coletar, normalizar e armazenar esses dados de log no formato Apache Parquet e no Open Cybersecurity Schema Framework (OCSF), que está pronto para consulta. O Security Lake também é compatível com outros logs da AWS e logs de fontes de terceiros. 

   Os serviços da AWS podem gerar logs não capturados pelas fontes de log básicas, como logs do Elastic Load Balancing, logs do AWS WAF, logs de gravador do AWS Config, descobertas do Amazon GuardDuty, logs de auditoria do Amazon Elastic Kubernetes Service (Amazon EKS) e logs de sistema operacional e aplicações e de instâncias do Amazon EC2. Para obter uma lista completa das opções de registro e monitoramento, consulte o [Apêndice A: Definições de capacidade de nuvem – Log e eventos](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/logging-and-events.html) do [Guia de Resposta a Incidentes de Segurança da AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html). 
+  **Pesquise recursos de log para cada serviço e aplicação da AWS:** cada serviço e aplicação da AWS oferece opções de armazenamento de log, cada uma com seus próprios recursos de retenção e ciclo de vida. Os dois serviços de armazenamento de logs mais comuns são o Amazon Simple Storage Service (Amazon S3) e o Amazon CloudWatch. Para períodos de retenção longos, é recomendável utilizar o Amazon S3 para seus recursos de economia e ciclo de vida flexíveis. Se a opção de registro em log principal for o Amazon CloudWatch Logs, como opção, você deve considerar o arquivamento de logs menos acessados no Amazon S3. 
+  **Selecione o armazenamento de logs:** a escolha do armazenamento de logs geralmente está relacionada à ferramenta de consulta que você usa, aos recursos de retenção, à familiaridade e ao custo. As principais opções para armazenamento de logs são um bucket do Amazon S3 ou um grupo de logs do CloudWatch. 

   Um bucket do Amazon S3 oferece armazenamento econômico e durável com uma política de ciclo de vida opcional. Os logs armazenados em buckets do Amazon S3 podem ser consultados com serviços como o Amazon Athena. 

   Um grupo de logs do CloudWatch oferece armazenamento durável e um recurso de consultas incorporado por meio do CloudWatch Logs Insights. 
+  **Identifique a retenção apropriada de logs:** ao usar um bucket do Amazon S3 ou um grupo de logs do CloudWatch para armazenar logs, você deve estabelecer ciclos de vida adequados para cada fonte de log para otimizar os custos de armazenamento e recuperação. Os clientes geralmente têm entre três meses a um ano de logs prontamente disponíveis para consultas, com retenção de até sete anos. A escolha de disponibilidade e retenção deve se alinhar aos seus requisitos de segurança e um composto de atribuições regulatórias, estatutárias e de negócios. 
+  **Use o registro em log para cada serviço e aplicação da AWS com políticas adequadas de retenção e ciclo de vida:** para cada serviço ou aplicação da AWS em sua organização, procure a orientação específica de configuração do log: 
  + [Configurar trilha do AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
  + [Configurar Logs de fluxo da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
  + [Configurar a exportação de descobertas do Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html)
  + [Configurar a gravação do AWS Config](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-config.html)
  + [Configurar o tráfego de ACL da Web do AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html)
  + [Configurar logs de tráfego de rede do AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html)
  + [Configurar logs de acesso do Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-access-logs.html)
  + [Configurar logs de consulta do Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html)
  + [Configurar logs do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.html)
  + [Configurar logs do ambiente de gerenciamento do Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html)
  + [Configurar o agente do Amazon CloudWatch para instâncias do Amazon EC2 e servidores on-premises](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
+  **Selecione e implemente mecanismos de consulta para logs:** para consultas em logs, é possível usar o [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) para dados armazenados em grupos de log do CloudWatch, e o [Amazon Athena](https://aws.amazon.com/athena/) e o [Amazon OpenSearch Service](https://aws.amazon.com/opensearch-service/) para dados armazenados no Amazon S3. Também é possível usar ferramentas de consulta de terceiros, como um serviço de gerenciamento de eventos e informações de segurança (SIEM). 

   O processo para selecionar uma ferramenta de consulta de log deve considerar as pessoas, o processo e os aspectos de tecnologia de suas operações de segurança. Selecione uma ferramenta que atenda aos requisitos operacionais, de negócios e segurança, esteja acessível e possa receber manutenção no longo prazo. Lembre-se de que as ferramentas de consulta de logs funcionam da forma ideal quando o número de logs a serem verificados é mantido dentro dos limites da ferramenta. Não é incomum ter várias ferramentas de consulta devido a restrições financeiras ou técnicas. 

   Por exemplo, você pode usar uma ferramenta de gerenciamento de eventos e informações de segurança (SIEM) de terceiros para realizar consultas para os últimos 90 dias de dados, mas usar o Athena para realizar consultas além de 90 dias devido ao custo de ingestão de logs de um SIEM. Seja qual for a implementação, garanta que sua abordagem minimize o número de ferramentas necessárias para maximizar a eficiência operacional, especialmente durante a investigação de um evento de segurança. 
+  **Use logs para alertas:** a AWS fornece alertas por meio de vários serviços de segurança. 
  +  O [AWS Config](https://aws.amazon.com/config/) monitora e registra as configurações de recursos da AWS e permite automatizar as tarefas de avaliação e correção em relação às configurações desejadas. 
  +  O [Amazon GuardDuty](https://aws.amazon.com/guardduty/) é um serviço de detecção de ameaças que monitora continuamente atividades mal-intencionadas e comportamentos não autorizados para proteger suas Contas da AWS e workloads. O GuardDuty ingere, agrega e analisa informações de fontes, como eventos de gerenciamento e dados do AWS CloudTrail, logs de DNS, logs de fluxo de VPC e logs de auditoria do Amazon EKS. O GuardDuty extrai fluxos de dados independentes diretamente do CloudTrail, dos logs de fluxo de VPC, dos logs de consulta ao DNS e do Amazon EKS. Não é necessário gerenciar políticas de bucket do Amazon S3 nem modificar a forma de coletar e armazenar logs. Ainda é recomendável reter esses logs para sua própria investigação e fins de conformidade. 
  +  O [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) fornece um único local que agrega, organiza e prioriza alertas de segurança ou descobertas de vários serviços da AWS e produtos opcionais de terceiros para oferecer uma visão abrangente dos alertas de segurança e do status de conformidade. 

   Você também pode utilizar mecanismos de geração de alertas personalizados para alertas de segurança não cobertos por esses serviços ou para alertas específicos relevantes para o seu ambiente. Para obter informações sobre como criar esses alertas e detecções, consulte [Detecção no Guia de resposta a incidentes de segurança da AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html). 

## Recursos
<a name="resources"></a>

 **Práticas recomendadas relacionadas:** 
+  [SEC04-BP02 Capturar logs, descobertas e métricas em locais padronizados](sec_detect_investigate_events_logs.md) 
+  [SEC07-BP04 Definir o gerenciamento escalável do ciclo de vida dos dados](sec_data_classification_lifecycle_management.md) 
+  [SEC10-BP06 Implantar ferramentas previamente](sec_incident_response_pre_deploy_tools.md) 

 **Documentos relacionados:** 
+ [Guia de resposta a incidentes de segurança da AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html)
+ [ Conceitos básicos do Amazon Security Lake ](https://aws.amazon.com/security-lake/getting-started/)
+ [Conceitos básicos do Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)

 **Vídeos relacionados:** 
+ [AWS re:Invent 2022: Lançamento do Amazon Security Lake ](https://www.youtube.com/watch?v=V7XwbPPjXSY)

 **Exemplos relacionados:** 
+ [ Ativador de log assistido para AWS](https://github.com/awslabs/assisted-log-enabler-for-aws/)
+ [AWS Security Hub CSPM Exportação do histórico de descobertas do ](https://github.com/aws-samples/aws-security-hub-findings-historical-export)

# SEC04-BP02 Capturar logs, descobertas e métricas em locais padronizados
<a name="sec_detect_investigate_events_logs"></a>

 As equipes de segurança confiam em logs e descobertas para analisar eventos que podem indicar atividades não autorizadas ou alterações não intencionais. Para agilizar essa análise, capture logs e descobertas de segurança em locais padronizados.  Fazer isso disponibiliza pontos de dados de interesse para correlação e pode simplificar a integração de ferramentas. 

 **Resultado desejado:** você tem uma abordagem padronizada para coletar, analisar e visualizar dados de log, descobertas e métricas. As equipes de segurança podem correlacionar, analisar e visualizar com eficiência os dados de segurança em sistemas diferentes para descobrir possíveis eventos de segurança e identificar anomalias. Os sistemas de gerenciamento de eventos e informações de segurança (SIEM) ou outros mecanismos são integrados para consultar e analisar dados de log e oferecer respostas oportunas, rastreamento e encaminhamento de eventos de segurança. 

 **Práticas comuns que devem ser evitadas:** 
+  As equipes são proprietárias e gerenciam de forma independente o registro em log e a coleta de métricas que são inconsistentes com a estratégia de registro em log da organização. 
+  As equipes não têm controles de acesso adequados para restringir a visibilidade e a alteração dos dados coletados. 
+  As equipes não controlam logs, descobertas e métricas de segurança como parte da política de classificação de dados. 
+  As equipes negligenciam os requisitos de soberania e localização dos dados ao configurar as coletas de dados. 

 **Benefícios de implementar esta prática recomendada:** uma solução de registro em log padronizada para coletar e consultar dados e eventos de registro melhora os insights derivados das informações neles contidas. Configurar um ciclo de vida automatizado para os dados de log coletados pode reduzir os custos incorridos pelo armazenamento de logs. É possível criar um controle de acesso refinado para as informações de log coletadas de acordo com a confidencialidade dos dados e os padrões de acesso necessários para as equipes. Você pode integrar ferramentas para correlacionar, visualizar e obter insights dos dados. 

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Médio 

## Orientação para implementação
<a name="implementation-guidance"></a>

 O aumento do uso da AWS em uma organização resulta em um número crescente de workloads e ambientes distribuídos. Como cada um desses ambientes e workloads gera dados sobre as atividades dentro deles, capturar e armazenar esses dados localmente representa um desafio para as operações de segurança. As equipes de segurança usam ferramentas, como sistemas de gerenciamento de eventos e informações de segurança (SIEM), para coletar dados de fontes distribuídas e submetê-los a fluxos de trabalho de correlação, análise e resposta. Isso requer o gerenciamento de um conjunto complexo de permissões para acessar as várias fontes de dados e despesas operacionais indiretas adicionais na operação dos processos de extração, transformação e carregamento (ETL). 

 Para superar esses desafios, considere agregar todas as fontes relevantes de dados de log de segurança em uma conta de arquivamento de logs, conforme descrito em [Como organizar seu ambiente da AWS usando várias contas](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/security-ou-and-accounts.html#log-archive-account). Isso inclui todos os dados relacionados à segurança da sua workload e dos logs gerados pelos serviços da AWS, como [AWS CloudTrail](https://aws.amazon.com/cloudtrail/), [AWS WAF](https://aws.amazon.com/waf/), [Elastic Load Balancing](https://aws.amazon.com/elasticloadbalancing/) e [Amazon Route 53](https://aws.amazon.com/route53/). Há vários benefícios resultantes da captura desses dados em locais padronizados em uma Conta da AWS separada com as devidas permissões entre contas. Essa prática ajuda a evitar a violação de logs em workloads e ambientes comprometidos, fornece um único ponto de integração para ferramentas adicionais e oferece um modelo mais simplificado para configurar a retenção de dados e o ciclo de vida.  Avalie os impactos da soberania de dados, dos escopos de conformidade e de outras regulamentações para determinar se vários locais de armazenamento de dados de segurança e períodos de retenção são necessários. 

 Para facilitar a captura e padronização de logs e descobertas, avalie o [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) em sua conta de arquivamento de logs. É possível configurar o Security Lake para ingerir automaticamente dados de fontes comuns, como CloudTrail, Route 53, [Amazon EKS](https://aws.amazon.com/eks/) e [logs de fluxo de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html). Também é possível configurar AWS Security Hub CSPM como fonte de dados no Security Lake, permitindo que você correlacione descobertas de outros serviços da AWS, como [Amazon GuardDuty](https://aws.amazon.com/guardduty/) e [Amazon Inspector](https://aws.amazon.com/inspector/), com seus dados de log.  Você também pode usar integrações de fontes de dados de terceiros ou configurar fontes de dados personalizadas. Todas as integrações padronizam seus dados no formato [Open Cybersecurity Schema Framework](https://github.com/ocsf) (OCSF) e são armazenadas em buckets do [Amazon S3](https://aws.amazon.com/s3/) como arquivos Parquet, eliminando a necessidade de processamento de ETL. 

 O armazenamento de dados de segurança em locais padronizados fornece recursos avançados de análise. A AWS recomenda implantar ferramentas para análise de segurança que operem em um ambiente da AWS em uma conta do [Security Tooling](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/security-ou-and-accounts.html#security-tooling-accounts) separada da sua conta de arquivamento de logs. Essa abordagem permite implantar controles detalhados para proteger a integridade e a disponibilidade dos logs e do processo de gerenciamento de logs, diferentemente das ferramentas que os acessam.  Considere usar serviços, como o [Amazon Athena](https://aws.amazon.com/athena/), para executar consultas sob demanda que correlacionam várias fontes de dados. Também é possível integrar ferramentas de visualização, como o [Quick](https://aws.amazon.com/quicksight/). As soluções baseadas em IA estão se tornando cada vez mais disponíveis e podem desempenhar funções como traduzir descobertas em resumos legíveis por humanos e interação em linguagem natural. Essas soluções geralmente são mais fáceis de integrar por terem um local de armazenamento de dados padronizado para consulta. 

## Etapas de implementação
<a name="implementation-steps"></a>

1.  **Crie as contas do Log Archive e do Security Tooling** 

   1.  Usando o AWS Organizations, [crie as contas Log Archive e Security Tooling](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_create.html) em uma unidade organizacional de segurança. Se estiver usando o AWS Control Tower para gerenciar sua organização, as contas de arquivo de logs e de ferramentas de segurança serão criadas automaticamente para você. Configure perfis e permissões para acessar e administrar essas contas conforme necessário. 

1.  **Configure seus locais de dados de segurança padronizados** 

   1.  Determine sua estratégia para criar locais de dados de segurança padronizados.  É possível conseguir isso por meio de opções como abordagens comuns de arquitetura de data lake, produtos de dados de terceiros ou [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/getting-started.html). A AWS recomenda capturar dados de segurança de Regiões da AWS [opted-in](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) para suas contas, mesmo quando não estiverem em uso ativo. 

1.  **Configurar a publicação da fonte de dados em seus locais padronizados** 

   1.  Identifique as fontes de seus dados de segurança e configure-as para publicação em seus locais padronizados. Avalie as opções para exportar dados automaticamente no formato desejado, em vez daquelas em que é necessário desenvolver processos de ETL. Com o Amazon Security Lake, é possível [coletar dados](https://docs.aws.amazon.com/security-lake/latest/userguide/source-management.html) de fontes da AWS compatíveis e sistemas integrados de terceiros. 

1.  **Configurar ferramentas para acessar seus locais padronizados** 

   1.  Configure ferramentas, como o Amazon Athena, o Quick ou soluções de terceiros, para ter o acesso necessário aos locais padronizados.  Configure essas ferramentas para operar fora da conta de ferramentas de segurança com acesso de leitura entre contas à conta de arquivo de logs quando aplicável. [Crie assinantes no Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-management.html) para fornecer a essas ferramentas acesso aos seus dados. 

## Recursos
<a name="resources"></a>

 **Práticas recomendadas relacionadas:** 
+  [ SEC01-BP01 Separar workloads usando contas ](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_multi_accounts.html) 
+  [SEC07-BP04 Definir o gerenciamento do ciclo de vida dos dados](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_lifecycle_management.html) 
+  [SEC08-BP04 Aplicar controle de acesso](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_data_rest_access_control.html) 
+  [OPS08-BP02 Analisar logs de workloads](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_workload_observability_analyze_workload_logs.html) 

 **Documentos relacionados:** 
+  [Whitepapers da AWS: Organizar seu ambiente da AWS usando várias contas](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) 
+  [Recomendações da AWS: Arquitetura de referência de segurança da AWS (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html) 
+  [AWS Recomendações da : Guia de log e monitoramento para proprietários de aplicações](https://docs.aws.amazon.com/prescriptive-guidance/latest/logging-monitoring-for-application-owners/introduction.html) 

 **Exemplos relacionados:** 
+  [Agregar, pesquisar e visualizar dados de log de fontes distribuídas com o Amazon Athena e o Quick](https://aws.amazon.com/blogs/security/aggregating-searching-and-visualizing-log-data-from-distributed-sources-with-amazon-athena-and-amazon-quicksight/) 
+  [How to visualize Amazon Security Lake findings with Quick](https://aws.amazon.com/blogs/security/how-to-visualize-amazon-security-lake-findings-with-amazon-quicksight/) 
+  [Generate AI powered insights for Amazon Security Lake using Amazon SageMaker AI Studio and Amazon Bedrock](https://aws.amazon.com/blogs/security/generate-ai-powered-insights-for-amazon-security-lake-using-amazon-sagemaker-studio-and-amazon-bedrock/) 
+  [Identificar anomalias de segurança cibernética em dados do Amazon Security Lake usando o Amazon SageMaker AI](https://aws.amazon.com/blogs/machine-learning/identify-cybersecurity-anomalies-in-your-amazon-security-lake-data-using-amazon-sagemaker/) 
+  [Ingest, transform, and deliver events published by Amazon Security Lake to Amazon OpenSearch Service](https://aws.amazon.com/blogs/big-data/ingest-transform-and-deliver-events-published-by-amazon-security-lake-to-amazon-opensearch-service/) 
+  [Simplify AWS CloudTrail log analysis with natural language query generation in CloudTrail Lake](https://aws.amazon.com/blogs/aws/simplify-aws-cloudtrail-log-analysis-with-natural-language-query-generation-in-cloudtrail-lake-preview/) 

 **Ferramentas relacionadas:** 
+  [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) 
+  [Integrações de parceiros do Amazon Security Lake](https://aws.amazon.com/security-lake/partners/) 
+  [Open Cybersecurity Schema Framework (OCSF)](https://github.com/ocsf) 
+  [Amazon Athena](https://aws.amazon.com/athena/) 
+  [Quick](https://aws.amazon.com/quicksight/) 
+  [Amazon Bedrock](https://aws.amazon.com/bedrock/) 

# SEC04-BP03 Correlacionar e enriquecer alertas de segurança
<a name="sec_detect_investigate_events_security_alerts"></a>

 Atividades inesperadas podem gerar vários alertas de segurança de diferentes fontes, exigindo mais correlação e enriquecimento para entender o contexto completo. Implemente a correlação automatizada e o enriquecimento de alertas de segurança para ajudar a obter identificações e respostas mais precisas a incidentes. 

 **Resultado desejado:** à medida que a atividade gera alertas diferentes em seus ambientes e workloads, mecanismos automatizados correlacionam dados e enriquecem esses dados com informações adicionais. Esse pré-processamento apresenta uma compreensão mais detalhada do evento, o que ajuda os investigadores a determinar a importância do evento e se ele constitui um incidente que requer uma resposta formal. Esse processo reduz a carga sobre suas equipes de monitoramento e investigação. 

 **Práticas comuns que devem ser evitadas:** 
+  Diferentes grupos de pessoas investigam descobertas e alertas gerados por sistemas diferentes, a menos que seja exigido de outra forma pelos requisitos de separação de deveres.   
+  Sua organização canaliza todos os dados de detecção e alerta de segurança para locais padrão, mas exige que os investigadores realizem a correlação e o enriquecimento manualmente. 
+  Você depende exclusivamente da inteligência dos sistemas de detecção de ameaças para relatar descobertas e determinar a gravidade. 

 **Benefícios de implementar esta prática recomendada:** a correlação e o enriquecimento automatizados de alertas ajudam a reduzir a carga cognitiva geral e a preparação manual de dados exigidas de seus investigadores. Essa prática pode reduzir o tempo necessário para determinar se o evento representa um incidente e iniciar uma resposta formal. O contexto adicional também ajuda a avaliar com precisão a verdadeira gravidade de um evento, pois ela pode ser maior ou menor do que o sugerido por qualquer alerta. 

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Baixo  

## Orientação para implementação
<a name="implementation-guidance"></a>

 Os alertas de segurança podem vir de várias fontes diferentes na AWS, incluindo: 
+  Serviços como [Amazon GuardDuty](https://aws.amazon.com/guardduty/), [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/), [Amazon Macie](https://aws.amazon.com/macie/), [Amazon Inspector](https://aws.amazon.com/inspector/), [AWS Config](https://aws.amazon.com/config/), [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) e [Analisador de Acesso à Rede](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html) 
+  Alertas de análises automatizadas de logs de serviços, infraestrutura e aplicações da AWS, como do [Security Analytics for Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/security-analytics.html). 
+  Alarmes em resposta a alterações em sua atividade de faturamento de fontes como [Amazon CloudWatch](https://aws.amazon.com/cloudwatch), [Amazon EventBridge](https://aws.amazon.com/eventbridge/) ou [AWS Budgets](https://aws.amazon.com/aws-cost-management/aws-budgets/). 
+  Fontes de terceiros, como feeds de inteligência de ameaças e [soluções de parceiros de segurança](https://aws.amazon.com/security/partner-solutions/) da AWS Partner Network 
+  [Contato via AWS Trust & Safety](https://repost.aws/knowledge-center/aws-abuse-report) ou por outras fontes, como clientes ou funcionários internos. 
+  Use o [Threat Technique Catalog by AWS (TTC)](https://aws.amazon.com/blogs/security/aws-cirt-announces-the-launch-of-the-threat-technique-catalog-for-aws/) para auxiliar na identificação e correlação de comportamentos de agentes de ameaças por meio da identificação do indicador de comprometimento (IoC). O TTC é uma extensão do framework MITRE ATT&CK que categoriza todos os comportamentos e técnicas conhecidos e observados de agentes de ameaças direcionados aos recursos da AWS. 

 Em sua forma mais fundamental, os alertas contêm informações sobre quem (a *entidade principal* ou *identidade*) está fazendo o quê *(*a *ação* executada) a quê (os *recursos* afetados). Em cada uma dessas fontes, identifique se há maneiras de criar associações nos identificadores referentes a essas identidades, ações e recursos como base para realizar a correlação. Isso poderia ser integrar fontes de alerta a uma ferramenta de gerenciamento de eventos e informações de segurança (SIEM) para realizar a correlação automatizada para você, criar seus próprios pipelines e processamento de dados ou uma combinação de ambos. 

 Um exemplo de serviço que pode realizar a correlação para você é o [Amazon Detective](https://aws.amazon.com/detective). O Detective realiza a ingestão contínua de alertas de várias fontes da AWS e de terceiros e usa diferentes formas de inteligência com o objetivo de montar um grafo visual das respectivas relações para auxiliar nas investigações. 

 Embora a gravidade inicial de um alerta ajude na priorização, o contexto em que o alerta aconteceu determina sua verdadeira gravidade. Como exemplo, o [Amazon GuardDuty](https://aws.amazon.com/guardduty/) pode alertar que uma instância do Amazon EC2 em sua workload está consultando um nome de domínio inesperado. O GuardDuty pode atribuir por conta própria uma baixa criticidade a esse alerta. Entretanto, a correlação automatizada com outras atividades em torno do momento do alerta pode revelar que várias centenas de instâncias do EC2 foram implantadas pela mesma identidade, o que aumenta os custos operacionais gerais. Nesse caso, esse contexto de evento correlacionado garantiria um novo alerta de segurança e a gravidade pode ser definida como alta, o que agilizaria ações futuras. 

### Etapas de implementação
<a name="implementation-steps"></a>

1.  Identifique fontes de informações sobre alertas de segurança. Entenda como os alertas desses sistemas representam identidade, ação e recursos para determinar onde a correlação é possível. 

1.  Estabeleça um mecanismo para capturar alertas de diferentes fontes. Pense em serviços, como Security Hub, EventBridge e CloudWatch, para essa finalidade. 

1.  Identifique fontes para correlação e enriquecimento de dados. Exemplos de fontes incluem o [AWS CloudTrail](https://aws.amazon.com/cloudtrail/), [logs de fluxo de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html), [logs do Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html) e logs de infraestrutura e aplicações. Qualquer um ou todos esses logs podem ser consumidos por meio de uma única integração com o [Amazon Security Lake](https://aws.amazon.com/security-lake/). 

1.  Integre os alertas às fontes de correlação e enriquecimento de dados para criar contextos de eventos de segurança mais detalhados e determinar a gravidade. 

   1.  O Amazon Detective, ferramentas de SIEM ou outras soluções de terceiros podem realizar determinado nível de ingestão, correlação e enriquecimento automaticamente. 

   1.  Você também pode usar serviços da AWS para criar seus próprios alertas. Por exemplo, você pode invocar uma função do AWS Lambda para executar uma consulta do Amazon Athena no AWS CloudTrail ou no Amazon Security Lake e publicar os resultados no EventBridge. 

## Recursos
<a name="resources"></a>

 **Práticas recomendadas relacionadas:** 
+  [SEC10-BP03 Preparar recursos forenses](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_prepare_forensic.html) 
+  [OPS08-BP04 Criar alertas acionáveis](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_workload_observability_create_alerts.html) 
+  [REL06-BP03 Enviar notificações (processamento e emissão de alarmes em tempo real)](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_monitor_aws_resources_notification_monitor.html) 

 **Documentos relacionados:** 
+  [AWS Guia de resposta a incidentes de segurança da](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) 

 **Exemplos relacionados:** 
+  [Como enriquecer as descobertas do AWS Security Hub CSPM com metadados da conta](https://aws.amazon.com/blogs/security/how-to-enrich-aws-security-hub-findings-with-account-metadata/) 

 **Ferramentas relacionadas:** 
+  [Amazon Detective](https://aws.amazon.com/detective/) 
+  [Amazon EventBridge](https://aws.amazon.com/eventbridge/) 
+  [AWS Lambda](https://aws.amazon.com/lambda/) 
+  [Amazon Athena](https://aws.amazon.com/athena/) 

# SEC04-BP04 Iniciar a correção de recursos fora de conformidade
<a name="sec_detect_investigate_events_noncompliant_resources"></a>

 Seus controles de detecção podem emitir alertas sobre recursos que não estão em conformidade com seus requisitos de configuração. É possível iniciar correções definidas de maneira programática, tanto manual quanto automaticamente, para corrigir esses recursos e ajudar a minimizar possíveis impactos. Definir correções programaticamente permite tomar medidas rápidas e consistentes. 

 Embora a automação possa aprimorar as operações de segurança, você deve implementá-la e gerenciá-la com cuidado.  Estabeleça mecanismos apropriados de supervisão e controle para verificar se as respostas automatizadas são eficazes e precisas e estão alinhadas com as políticas organizacionais e a propensão ao risco. 

 **Resultado desejado:** você define os padrões de configuração de recursos junto com as etapas de correção quando os recursos são detectados como fora de conformidade. Sempre que possível, você definiu as correções programaticamente para que elas possam ser iniciadas de modo manual ou por meio de automação. Existem sistemas de detecção para identificar recursos fora de conformidade e publicar alertas em ferramentas centralizadas que são monitoradas por suas equipes de segurança. Essas ferramentas comportam a execução das correções programáticas, tanto manual quanto automaticamente. As correções automáticas têm mecanismos apropriados de supervisão e controle para governar o respectivo uso. 

 **Práticas comuns que devem ser evitadas:** 
+  Você implementa a automação, mas não consegue testar e validar minuciosamente as ações de correção. Isso pode resultar em consequências indesejadas, como interrupção de operações comerciais legítimas ou instabilidade no sistema. 
+  Você melhora os tempos de resposta e os procedimentos por meio da automação, mas sem monitoramento e mecanismos adequados que permitam a intervenção e avaliação humanas quando necessário. 
+  Você depende exclusivamente de correções, em vez de tê-las como parte de um programa mais amplo de resposta e recuperação de incidentes. 

 **Benefícios de implementar esta prática recomendada:** as correções automáticas podem responder a configurações incorretas mais rapidamente do que os processos manuais, o que ajuda a minimizar possíveis impactos nos negócios e reduzir a janela de oportunidade para usos não intencionais. Quando você define as remediações de forma programática, elas são aplicadas de forma consistente, o que reduz o risco de erro humano. A automação também pode lidar com um volume maior de alertas de forma simultânea, o que é particularmente importante em ambientes que operam em grande escala.   

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Médio 

## Orientação para implementação
<a name="implementation-guidance"></a>

 Conforme descrito em [SEC01-BP03 Identificar e validar objetivos de controle](sec_securely_operate_control_objectives.md), serviços como [AWS Config](https://aws.amazon.com/config/) e [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) podem ajudar a monitorar a configuração de recursos nas contas para atender às suas necessidades. Quando recursos não compatíveis são detectados, serviços como o AWS Security Hub CSPM podem ajudar no roteamento adequado de alertas e na remediação. Essas soluções fornecem um local central para os investigadores de segurança monitorarem os problemas e adotarem medidas corretivas. 

 Além do AWS Security Hub CSPM, a AWS introduziu o [Security Hub Advanced](https://aws.amazon.com/security-hub/). Esse serviço, anunciado no re:Invent 2025, transforma a maneira como as organizações priorizam seus problemas de segurança mais graves e respondem em grande escala para proteger seus ambientes em nuvem. O Security Hub aprimorado agora usa analytics avançadas para correlacionar, melhorar e priorizar automaticamente os sinais de segurança em seu ambiente de nuvem. O Security Hub se integra perfeitamente ao [Amazon GuardDuty](https://aws.amazon.com/guardduty/), [Amazon Inspector](https://aws.amazon.com/inspector/), [Amazon Macie](https://aws.amazon.com/macie/) e [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/cspm/features/). Descobertas correlacionadas no Security Hub podem resultar em uma descoberta inédita, chamada de descoberta de exposição, que inclui um caminho de ataque presumido com base nas vulnerabilidades encontradas em cada recurso. 

 Embora algumas situações em que há recursos fora de conformidade sejam únicas e exijam avaliação humana para ser corrigidas, outras têm uma resposta padrão que você pode definir programaticamente. Por exemplo, uma resposta padrão a um grupo de segurança da VPC configurado incorretamente pode ser remover as regras não permitidas e notificar o responsável. As respostas podem ser definidas em funções do [AWS Lambda](https://aws.amazon.com/pm/lambda), documentos do [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) ou por meio de outros ambientes de código de sua preferência. O ambiente deve estar apto a se autenticar na AWS usando um perfil do IAM com as permissões mínimas necessárias para tomar medidas corretivas. 

 Depois de definir a remediação desejada, você poderá determinar seus meios preferidos para iniciá-la. O AWS Config pode [iniciar remediações](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html) para você. Se você estiver usando o Security Hub CSPM, poderá fazer isso por meio de [ações personalizadas](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cwe-custom-actions.html) que publicam as informações de descoberta no [Amazon EventBridge](https://aws.amazon.com/eventbridge/). Uma regra do EventBridge pode então iniciar a correção. Você pode configurar a execução automática ou manual das remediações pelo Security Hub CSPM.  

 Para remediação programática, recomendamos que manter logs e auditorias abrangentes das ações tomadas, bem como de seus resultados. Revise e analise esses logs para avaliar a eficácia dos processos automatizados e identificar áreas de melhoria. Capture logs no [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) e resultados de correções como [notas de descoberta](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html) no Security Hub CSPM. 

 Como ponto de partida, considere a [Resposta de Segurança Automatizada na AWS](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/), que oferece correções criadas previamente para resolver configurações incorretas de segurança comuns. 

### Etapas de implementação
<a name="implementation-steps"></a>

1.  Analise e priorize os alertas. 

   1.  Consolide alertas de segurança de vários serviços da AWS no Security Hub CSPM para ter visibilidade, priorização e correção centralizadas. 

1.  Desenvolva correções. 

   1.  Use serviços como o Systems Manager e o AWS Lambda para executar correções programáticas. 

1.  Configure como as correções são iniciadas. 

   1.  Usando o Systems Manager, defina ações personalizadas para publicar descobertas no EventBridge. Configure essas ações para serem iniciadas manual ou automaticamente. 

   1.  Também é possível usar o [Amazon Simple Notification Service (SNS)](https://aws.amazon.com/sns/) para enviar notificações e alertas às partes interessadas relevantes (como equipes de segurança ou equipes de resposta a incidentes) para intervenção manual ou escalação, se necessário. 

1.  Revise e analise os logs de correção em prol da eficácia e melhoria. 

   1.  Envie a saída do log ao CloudWatch Logs. Capture resultados como notas de descoberta no Security Hub CSPM. 

## Recursos
<a name="resources"></a>

 **Práticas recomendadas relacionadas:** 
+  [SEC06-BP03 Reduzir o gerenciamento manual e o acesso interativo](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_compute_reduce_manual_management.html) 

 **Documentos relacionados:** 
+  [AWS Guia de resposta a incidentes de segurança da : Detecção](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html) 

 **Exemplos relacionados:** 
+  [Resposta de segurança automatizada na AWS](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/) 
+  [Monitorar pares de chaves de instância do EC2 com o AWS Config](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/monitor-ec2-instance-key-pairs-using-aws-config.html) 
+  [Crie regras personalizadas do AWS Config usando políticas do AWS CloudFormation Guard](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/create-aws-config-custom-rules-by-using-aws-cloudformation-guard-policies.html) 
+  [Corrija automaticamente instâncias e clusters de banco de dados não criptografados do Amazon RDS](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-remediate-unencrypted-amazon-rds-db-instances-and-clusters.html) 

 **Ferramentas relacionadas:** 
+  [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) 
+  [Resposta de segurança automatizada na AWS](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/)