Contenção

A AWS Security Incident Response atua em conjunto com você na contenção de eventos. É possível configurar um perfil de serviço para que a AWS Security Incident Response execute ações automatizadas e manuais em sua conta como uma resposta aos alertas. Além disso, você pode realizar a contenção por conta própria ou em parceria com entidades externas ao usar os documentos do SSM.

Uma parte essencial da contenção é a tomada de decisões, como, por exemplo, desligar um sistema, isolar um recurso proveniente da rede, revogar acessos ou encerrar sessões. Essas decisões se tornam mais simples quando existem estratégias e procedimentos previamente determinados para realizar a contenção do evento. A AWS Security Incident Response fornece a estratégia de contenção, informa você sobre os possíveis impactos e disponibiliza orientação para a implementação da solução somente após sua análise e aceitação dos riscos envolvidos.

A AWS Security Incident Response executa, em seu nome, ações de contenção compatíveis para acelerar a resposta e reduzir o tempo que um agente de ameaça pode dispor para causar danos em seu ambiente. Essa funcionalidade permite mitigar ameaças identificadas com maior rapidez, minimizando os impactos potenciais e fortalecendo sua postura geral de segurança. Existem diferentes opções de contenção, dependendo dos recursos que estão em análise. As ações de contenção compatíveis são:

Contenção do EC2: a automação de contenção AWSSupport-ContainEC2Instance realiza a contenção de rede reversível de uma instância do EC2, mantendo a instância íntegra e em execução, mas isolando-a de qualquer nova atividade de rede e impedindo sua comunicação com recursos internos e externos relacionados a sua VPC.

Importante
É importante destacar que as conexões rastreadas existentes não serão desligadas como um resultado da alteração dos grupos de segurança. Apenas o tráfego futuro será efetivamente bloqueado pelo novo grupo de segurança e por este documento do SSM. Mais informações estão disponíveis na seção Contenção da origem no guia técnico do serviço.
Contenção do IAM: a automação de contenção AWSSupport-ContainIAMPrincipal realiza a contenção de rede reversível de um perfil ou de um usuário do IAM, mantendo o usuário ou o perfil no IAM, mas isolando-o de qualquer comunicação com recursos internos relacionados a sua conta.
Contenção do S3: a automação de contenção AWSSupport-ContainS3Resource realiza a contenção reversível de um bucket do S3, mantendo os objetos contidos no bucket e isolando o bucket ou o objeto do Amazon S3 por meio da modificação de suas políticas de acesso.

Importante

A AWS Security Incident Response não habilita, por padrão, as funcionalidades de contenção. Para que essas ações de contenção possam ser executadas, é necessário conceder previamente as permissões necessárias ao serviço usando perfis. Você pode criar esses perfis individualmente em cada conta ou em toda a sua organização ao trabalhar com conjuntos de pilhas do AWS CloudFormation, que criam os perfis necessários.

A AWS Security Incident Response incentiva a definição de estratégias de contenção específicas para cada tipo principal de evento, alinhadas ao seu nível de tolerância ao risco. Documente critérios claros para auxiliar no processo de tomada de decisão durante um evento. Os critérios a serem considerados incluem:

Potenciais danos aos recursos.
Preservação de evidências e requisitos regulatórios.
Indisponibilidade de serviços (por exemplo, conectividade de rede e serviços fornecidos para entidades externas).
Tempo e recursos necessários para implementar a estratégia.
Efetividade da estratégia (por exemplo, contenção parcial em comparação com a contenção total).
Caráter permanente da solução (por exemplo, reversível em comparação com irreversível).
Duração da solução (por exemplo, solução de emergência, solução temporária ou solução definitiva). Aplique controles de segurança que possam reduzir o risco e proporcionar tempo para a definição e para a implementação de uma estratégia de contenção mais eficaz.

A AWS Security Incident Response recomenda uma abordagem em etapas para alcançar uma contenção eficiente e eficaz, envolvendo estratégias de curto e longo prazo, com base no tipo de recurso.

Estratégia de contenção
- A AWS Security Incident Response consegue identificar o escopo do evento de segurança?
  - Em caso afirmativo, realize a identificação de todos os recursos afetados (usuários, sistemas e recursos).
  - Em caso negativo, realize a investigação simultaneamente à execução da próxima etapa nos recursos previamente identificados.
- O recurso pode ser isolado?
  - Em caso afirmativo, prossiga com o isolamento dos recursos afetados.
  - Em caso negativo, colabore com os responsáveis pelos sistemas e gerentes para determinar as ações necessárias para a contenção do problema.
- Todos os recursos afetados estão isolados dos recursos que não foram afetados?
  - Em caso afirmativo, prossiga para a próxima etapa.
  - Em caso negativo, continue realizando o isolamento dos recursos afetados para concluir a contenção a curto prazo e evitar que o incidente se agrave.
Backup do sistema
- Foram criadas cópias de backup dos sistemas afetados para análises posteriores?
- As cópias para análises forenses estão devidamente criptografadas e armazenadas em um local seguro?
  - Em caso afirmativo, prossiga para a próxima etapa.
  - Em caso negativo, criptografe as imagens para análises forenses e, em seguida, armazene-as em um local seguro para evitar uso acidental, danos e adulterações.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Detecção e análise

Erradicação