Plano de resposta a incidentes Livros de corrida e manuais Automação orientada por eventos Suporte processo Alertas para eventos de segurança

Recomendações de segurança para responder a incidentes

Quando ocorre um evento de segurança em sua organização, seus usuários devem estar preparados para responder ao problema. Todos os usuários devem ter uma compreensão básica dos processos de resposta de segurança da sua organização. Planejamento, treinamento e experiência são essenciais para um programa bem-sucedido de resposta a incidentes. Idealmente, você prepara sua organização antes que ocorra um possível evento de segurança. O AWS Well-Architected Framework identifica três fundamentos necessários para um programa bem-sucedido de resposta a incidentes na nuvem: preparação, operações e atividade pós-incidente. Para obter mais informações, consulte Aspectos da resposta a AWS incidentes no AWS Well-Architected Framework.

Com exceção dos controles de segurança que notificam você sobre eventos ou respondem automaticamente a eles, há controles limitados que você pode estabelecer para a resposta a incidentes. Uma postura forte de resposta a incidentes é estabelecida principalmente por meio de planos, processos, manuais, manuais e programas de treinamento que você usa em sua organização. Você pode usar os controles e recomendações desta seção para implementar as melhores práticas para seu programa de resposta a incidentes. Para obter mais informações sobre as melhores práticas para resposta a incidentes e orientação de implementação, consulte Resposta a incidentes no AWS Well-Architected Framework.

Recomendações nesta seção:

Defina um plano de resposta a incidentes
Crie e mantenha runbooks e manuais de resposta a incidentes
Implemente automação de segurança orientada por eventos
Documente como as equipes operacionais devem interagir com Suporte
Configurar alertas para eventos de segurança

Defina um plano de resposta a incidentes

Estabeleça um plano de resposta a incidentes (IRP) bem definido. O plano de resposta a incidentes foi projetado para ser a base do seu programa de resposta a incidentes. Esse plano deve ser personalizado para atender às necessidades de cada organização.

Para obter mais informações, consulte os seguintes recursos:

Desenvolva e teste um plano de resposta a incidentes no Guia de resposta a incidentes de AWS segurança
Desenvolva planos de gerenciamento de incidentes no AWS Well-Architected Framework
Identifique o pessoal chave e os recursos externos no AWS Well-Architected Framework

Crie e mantenha runbooks e manuais de resposta a incidentes

Uma parte fundamental da preparação para um processo de resposta a incidentes é o desenvolvimento de manuais. Os manuais de resposta a incidentes fornecem uma série de etapas recomendadas que os usuários seguem quando ocorre um evento de segurança. Ter uma estrutura e etapas claras simplifica a resposta e reduz a probabilidade de erro humano.

Para obter mais informações, consulte os seguintes recursos:

Para que criar manuais no Guia de Resposta a Incidentes AWS de Segurança
AWS exemplos de manuais de resposta a incidentes em GitHub
Desenvolva e teste manuais de resposta a incidentes de segurança no AWS Well-Architected Framework

Implemente automação de segurança orientada por eventos

A automação da resposta de segurança é uma ação predefinida e programada projetada para responder ou remediar automaticamente um evento de segurança. Essas automações servem como controles de segurança responsivos ou detectivos que ajudam você a implementar as melhores práticas AWS de segurança. Exemplos de ações de resposta automatizada incluem a modificação de um grupo de segurança da VPC, a correção de uma instância EC2 da Amazon ou a rotação de credenciais.

Muitos Serviços da AWS oferecem suporte a respostas automatizadas. Por exemplo, você pode configurar um CloudWatch alarme da Amazon para métricas específicas, e o alarme pode iniciar uma ação quando o alarme muda de estado. Através da Amazon EventBridge, você também pode configurar respostas e remediações automáticas para descobertas no Amazon AWS Security Hub Inspector.

Para obter mais informações, consulte os recursos abaixo:

Corrija automaticamente as descobertas de segurança do Amazon Inspector no AWS Blog de Segurança
Comece a usar a automação de respostas de AWS segurança AWS no Blog de Segurança
Resposta de segurança automatizada AWS ativada na Biblioteca de AWS Soluções
Usando CloudWatch alarmes da Amazon na documentação CloudWatch
Resposta e remediação automatizadas na documentação do Security Hub
Criação de respostas personalizadas às descobertas do Amazon Inspector com a Amazon EventBridge na documentação do Amazon Inspector

Documente como as equipes operacionais devem interagir com Suporte

Para você Conta da AWS, você pode definir um contato principal e três contatos alternativos. Recomendamos que você forneça um contato de segurança para cada um Conta da AWS ou para sua organização.

AWS Support oferece uma variedade de planos que fornecem acesso a ferramentas e conhecimentos que podem apoiar o sucesso e a integridade operacional das AWS soluções. Além disso, considere se sua organização se beneficiaria com o uso de um Suporte plano AWS Managed Services em vez de usá-lo. AWS Managed Services (AMS) ajuda você a operar com mais eficiência e segurança fornecendo gerenciamento contínuo de sua AWS infraestrutura, incluindo monitoramento, gerenciamento de incidentes, orientação de segurança, suporte a patches e backup para AWS cargas de trabalho. O modelo de suporte do AMS pode ser mais adequado para organizações que têm recursos limitados em suas equipes de operações em nuvem. Recomendamos que você compare esses modelos e planos para escolher o mais adequado ao caso de uso e ao nível de maturidade da nuvem da sua organização.

Para obter mais informações, consulte os seguintes recursos:

Entenda as equipes de AWS resposta e o suporte no Guia de Resposta a Incidentes de AWS Segurança
Atualize os contatos alternativos para você Conta da AWS no Guia de gerenciamento de AWS contas
Compare Suporte os planos no AWS site
Estratégia AWS Managed Services a ser usada para alcançar os resultados comerciais desejados na Orientação AWS Prescritiva

Configurar alertas para eventos de segurança

Detectar uma anormalidade é tão importante quanto as medidas implementadas para controlar essa anormalidade. Um alerta é o principal componente da fase de detecção. Ele gera uma notificação para iniciar o processo de resposta a incidentes com base na Conta da AWS atividade de interesse. Certifique-se de que os alertas incluam informações relevantes para a equipe agir.

Para obter mais informações, consulte os seguintes recursos:

Detecção no Guia de Resposta a Incidentes de AWS Segurança
Prepare recursos forenses no AWS Well-Architected Framework
Implemente eventos de segurança acionáveis no AWS Well-Architected Framework

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Controles de dados

Próximas etapas