Configuração de fluxos de trabalho de resposta proativa e de triagem de alertas - Guia do usuário do AWS Security Incident Response

Configuração de fluxos de trabalho de resposta proativa e de triagem de alertas

O fluxo de trabalho de resposta proativa e de triagem de alertas consiste em um recurso opcional a ser habilitado na sua organização para monitoramento dos serviços de segurança habilitados. Selecione o botão de alternância ao lado do recurso para habilitá-lo.

Se você enfrente algum problema durante o processo de integração, crie um caso no AWS Support para obter assistência adicional. Certifique-se de incluir detalhes, como o ID da Conta da AWS e quaisquer erros observados durante o processo de configuração.

Resposta proativa e triagem de alertas: a AWS Security Incident Response monitora e investiga alertas gerados pelas integrações com o Amazon GuardDuty e com o Security Hub. Para usar esse recurso, o Amazon GuardDuty deve estar habilitado. A AWS Security Incident Response realiza uma triagem automatizada de alertas de baixa prioridade, permitindo que sua equipe se concentre nas questões mais importantes. Para obter mais informações sobre como a AWS Security Incident Response funciona com o Amazon GuardDuty e com o AWS Security Hub, consulte a seção Detecção e análise do guia do usuário.

Este recurso possibilita que a AWS Security Incident Response monitore e investigue descobertas em todas as contas cobertas e Regiões da AWS com suporte que estão ativas na sua organização. Para viabilizar essa funcionalidade, a AWS Security Incident Response cria automaticamente um perfil vinculado ao serviço em todas as contas de membros cobertas do AWS Organizations. No entanto, na conta gerencial, a criação desse perfil vinculado ao serviço deve ser feita manualmente para habilitar o monitoramento.

O serviço não pode criar o perfil vinculado ao serviço na conta gerencial. É necessário criar esse perfil manualmente na conta gerencial ao trabalhar com os conjuntos de pilhas do AWS CloudFormation.

Contenção: no caso de um evento de incidente de segurança, a AWS Security Incident Response pode executar ações de contenção para mitigar rapidamente o impacto, como isolar hosts comprometidos ou alterar credenciais. A Resposta a Incidentes de Segurança não habilita, por padrão, as funcionalidades de contenção. Para executar essas ações de contenção, é necessário primeiro conceder as permissões necessárias ao serviço. Essa concessão pode ser realizada por meio da implantação de um AWS CloudFormation StackSet, que estabelece os perfis necessários.