Fontes de alertas - Guia do usuário do AWS Security Incident Response

Fontes de alertas

Você deve considerar o uso das seguintes fontes para definir alertas:

  • Descobertas: os serviços da AWS, como o Amazon GuardDuty, o AWS Security Hub, o Amazon Macie, o Amazon Inspector, o AWS Config, o IAM Access Analyzer e o Analisador de Acesso à Rede, geram descobertas que podem ser usadas para criar alertas.

  • Logs: os logs de serviços da AWS, infraestrutura e aplicações armazenados em buckets do Amazon S3 e em grupos de logs do CloudWatch podem ser analisados e correlacionados para gerar alertas.

  • Atividade relacionada ao faturamento: uma mudança repentina na atividade relacionada ao faturamento pode indicar um evento de segurança. Siga a documentação Criar um alarme de faturamento para monitorar suas cobranças estimadas da AWS para realizar o monitoramento dessa atividade.

  • Inteligência de ameaças cibernéticas: caso você seja assinante de um feed de inteligência de ameaças cibernéticas de entidades externas, é possível realizar a correlação dessas informações com outras ferramentas de registro em log e de monitoramento para identificar possíveis indicadores de eventos.

  • Ferramentas de parceiros: os parceiros da AWS Partner Network (APN) oferecem produtos de alto nível que podem ajudar você a atingir seus objetivos de segurança. Para a resposta a incidentes, os produtos de parceiros com funcionalidades de detecção e de resposta em endpoints (EDR, na sigla em inglês) ou de SIEM podem contribuir para o cumprimento dos objetivos de resposta a incidentes. Para obter mais informações, consulte Soluções de parceiros de competência em segurança e Soluções de segurança no AWS Marketplace.

  • Confiança e Segurança da AWS: a equipe de Suporte pode entrar em contato com os clientes caso identifiquemos atividades abusivas ou maliciosas.

  • Contato único: como podem ser seus clientes, desenvolvedores ou outros membros da equipe que percebem algo incomum na sua organização, é importante dispor de um método bem divulgado e conhecido para contato com sua equipe de segurança. Entre as opções populares estão sistemas de emissão de tíquetes, endereços de e-mail de contato e formulários na web. Caso sua organização atue com o público em geral, pode ser necessário também dispor de um canal de contato com a segurança voltada ao público externo.

Para obter mais informações sobre as funcionalidades em nuvem que podem ser usadas durante suas investigações, consulte o Apêndice A: definições das funcionalidades da nuvem neste documento.