View a markdown version of this page

Runbooks - Guia de resposta a incidentes de segurança da AWS
Criar runbooksConceitos básicos

Runbooks

Quando uma anomalia de segurança é detectada, conter o evento e retornar a um bom estado conhecido são elementos importantes de um plano de resposta. Por exemplo, se a anomalia ocorreu devido a uma configuração incorreta de segurança, a correção pode ser tão simples quanto remover a variação por meio de uma reimplantação dos recursos com a configuração adequada. Para fazer isso, você precisará planejar com antecedência e definir seus próprios procedimentos de resposta de segurança, que geralmente são chamados de runbooks.

Um runbook é a forma documentada dos procedimentos de uma organização para conduzir uma tarefa ou série de tarefas. Essa documentação geralmente é armazenada em um sistema digital interno ou em papel impresso. No momento, você pode ter runbooks de resposta a incidentes ou precisar criá-los para estar em conformidade com uma framework de garantia de segurança. No entanto, quando você segue manualmente os runbooks escritos, aumenta o potencial de cometer erros. Em vez disso, recomendamos que você automatize todas as suas tarefas repetíveis. A automação libera sua equipe de resposta de tarefas comuns e as disponibiliza para tarefas mais importantes, como correlacionar eventos, praticar em simulações, elaborar procedimentos de resposta, realizar pesquisas, desenvolver novas habilidades e testar ou criar ferramentas. No entanto, antes de poder decompor as tarefas em lógica programável e iterar em direção à automação adequada, você deve começar redigindo um runbook.

Criar runbooks

Para criar runbooks para a nuvem, recomendamos que você primeiro se concentre nos alertas gerados atualmente. Se você gerar um alerta, é importante investigá-lo. Comece definindo as descrições dos processos manuais que você executa. Depois disso, teste os processos e itere o padrão de runbook para melhorar a lógica básica de sua resposta. Determine quais são as exceções e quais são as resoluções alternativas para esses cenários. Por exemplo, em um ambiente de desenvolvimento, talvez convenha encerrar uma instância do Amazon EC2 configurada incorretamente. No entanto, se o mesmo evento tiver ocorrido em um ambiente de produção, em vez de encerrar a instância, você poderá interrompê-la e verificar com as partes interessadas se os dados críticos não serão perdidos e se o encerramento é ou não aceitável.

Depois de determinar a melhor solução, você pode desconstruir a lógica em uma solução baseada em código, que pode ser usada como uma ferramenta pela equipe de resposta a fim de automatizar a resposta e remover a variação ou o trabalho de adivinhação da equipe. Isso acelera o ciclo de vida de uma resposta. O próximo objetivo é permitir a total automatização desse código por meio da invocação por alertas ou pelos eventos, e não por um respondente humano, para criar uma resposta orientada por eventos.

Conceitos básicos

Se você não tiver certeza de por onde começar, recomendamos iniciar com os alertas que podem ser gerados pelas AWS Trusted Advisor, Práticas recomendadas de segurança básicas do AWS Security Hub e Regras do AWS Config (incluindo o Repositório do Regras do AWS Config do Github). Depois, concentre-se nos eventos gerados por serviços que descreverão os sistemas com os quais você está preocupado.

O Amazon GuardDuty e o Access Analyzer descrevem muitos dos domínios que uma aplicação usará na AWS, e é por isso que eles geralmente são sugeridos. No entanto, o Amazon Inspector e o Amazon Macie têm usos específicos para os que têm preocupações com dados e endpoints. As informações sobre as descobertas do Amazon GuardDuty estão disponíveis no Guia do usuário do Amazon GuardDuty. As descobertas do Access Analyzer estão disponíveis no Guia do usuário do Amazon Access Analyzer. As descobertas do Macie estão disponíveis no Guia do usuário do Amazon Macie. As descobertas do Amazon Inspector estão disponíveis no Guia do usuário do Amazon Inspector. O Security Hub oferece a capacidade de unificar essas descobertas em um só lugar e reagir a elas em conjunto com baixa latência, e é por isso que é sugerido como um local central para correção.

Todos os serviços acima enviam notificações por meio do Amazon CloudWatch Events quando ocorre qualquer alteração nas descobertas ou alertas, incluindo alertas recém-gerados e atualizações de alertas existentes. Você pode configurar as regras do Amazon CloudWatch Events a fim de acionar funções do AWS Lambda para executar uma resposta orientada a eventos. No entanto, a capacidade de criar insights personalizados e adicionar suas próprias descobertas do domínio da aplicação aumenta os principais motivos para usar o Security Hub. Para obter mais informações, consulte a seção Resposta orientada por eventos.