Detecção e análise

A AWS Security Incident Response realiza o monitoramento, a triagem e a investigação de descobertas de segurança provenientes do Amazon GuardDuty e de integrações por meio do AWS Security Hub. Ações adicionais que podem aprimorar significativamente o escopo e a eficácia das funcionalidades de monitoramento e de investigação da AWS Security Incident Response incluem:

Habilitar fontes de detecção compatíveis.

nota

Os custos associados ao serviço de AWS Security Incident Response não incluem os custos e as taxas decorrentes do uso das fontes de detecção compatíveis ou de outros serviços da AWS. Consulte as páginas individuais de cada serviço ou recurso para obter mais detalhes sobre os preços.

Amazon GuardDuty

O GuardDuty consiste em um serviço de detecção de ameaças que realiza monitoramento, análise e processamento contínuos das fontes de dados e dos logs em seu ambiente da AWS. A habilitação do GuardDuty não é obrigatória para usar o serviço de AWS Security Incident Response. No entanto, para utilizar o recurso de resposta proativa e de triagem de alertas, o Amazon GuardDuty deve estar habilitado.

Para habilitar o GuardDuty em toda a sua organização, consulte a seção Setting up GuardDuty no Guia do usuário do Amazon GuardDuty.

É altamente recomendável que o GuardDuty seja habilitado em todas as Regiões da AWS com suporte. Com isso, o GuardDuty poderá realizar a geração de descobertas relacionadas a atividades incomuns ou não autorizadas mesmo em regiões que não estejam em uso ativo. Para obter mais informações, consulte Amazon GuardDuty Regions and endpoints.

A habilitação do GuardDuty fornece à AWS Security Incident Response acesso a dados críticos de detecção de ameaças, aprimorando sua capacidade de identificar e de responder a possíveis problemas de segurança em seu ambiente da AWS.

AWS Security Hub

O Security Hub pode ingerir descobertas de segurança provenientes de diversos serviços da AWS e de soluções de segurança de entidades externas compatíveis. Essas integrações podem auxiliar a AWS Security Incident Response no monitoramento e na investigação de descobertas originadas por outras ferramentas de detecção.

Para habilitar o Security Hub com a integração ao Organizations, consulte o Guia do usuário do AWS Security Hub.

Existem diversas formas de habilitar as integrações no Security Hub. Para integrações de produtos de terceiros, talvez seja necessário comprar a integração do AWS Marketplace e, depois, configurar a integração. As informações de integração fornecem links para realizar essas tarefas. Saiba mais informações sobre como habilitar integrações no AWS Security Hub.

A AWS Security Incident Response pode monitorar e investigar descobertas provenientes das seguintes ferramentas quando essas ferramentas estão integradas ao AWS Security Hub:

• CrowdStrike: CrowdStrike Falcon

• Lacework: Lacework

• Trend Micro: Cloud One

Ao habilitar essas integrações, é possível aprimorar significativamente o escopo e a eficácia das funcionalidades de monitoramento e de investigação da AWS Security Incident Response.

Analisar descobertas.

As automações da AWS Security Incident Response e a equipe do serviço da CIRT da AWS analisarão todas as descobertas provenientes das ferramentas compatíveis. O processo de familiarização com seu ambiente terá início por meio de comunicações usando os casos do AWS Support. Por exemplo, quando for necessário compreender se uma descoberta representa um comportamento esperado ou se deve ser tratada como um incidente. À medida que adquirimos mais conhecimento sobre seu ambiente, o serviço será personalizado e o número de comunicações será reduzido.

Relatar um evento.

É possível criar um evento de segurança por meio do portal do serviço de AWS Security Incident Response. Durante a ocorrência de um evento de segurança, é essencial agir sem demora. A AWS Security Incident Response usa técnicas automatizadas e manuais para conduzir investigações de eventos de segurança, analisar logs e procurar padrões anômalos. A sua colaboração e compreensão do seu ambiente acelera esse processo de análise.

Comunicar.

A AWS Security Incident Response mantém a comunicação com você durante a investigação ao entrar em contato com os contatos destinados a comunicações de segurança por meio do caso do evento. Diversos integrantes da equipe podem fornecer suporte ao seu evento ao usar o mesmo tíquete de evento para registrar conteúdos fornecidos pelo cliente e atualizações da AWS.

As comunicações podem incluir notificações automatizadas quando um alerta de segurança for gerado, interações durante a análise do evento, o estabelecimento de pontes de conferência, a análise contínua de artefatos, como arquivos de log, e o fornecimento dos resultados da investigação durante o evento de segurança.

O serviço criará casos de AWS Security Incident Response para fins de comunicação com suas equipes. Esses casos serão vinculados à sua conta de associação principal. Essa abordagem centraliza a comunicação de todas as suas contas em um único local. O uso do prefixo “[Caso proativo]” auxilia na identificação dos casos iniciados pela AWS Security Incident Response.

Ao interagir ativamente com essas comunicações e fornecer respostas em tempo hábil, você pode ajudar o serviço de AWS Security Incident Response a:

• Compreender melhor seu ambiente e os comportamentos esperados.

• Reduzir falsos positivos ao longo do tempo.

• Aprimorar a precisão e a relevância dos alertas.

• Garantir uma resposta rápida a incidentes de segurança reais.

• Lembre-se de que a eficácia do serviço de AWS Security Incident Response melhora com a sua colaboração, resultando em um ambiente da AWS mais seguro e monitorado com maior eficiência.