Resposta orientada por eventos - Guia de resposta a incidentes de segurança da AWS

Resposta orientada por eventos

Com um sistema de resposta orientado por eventos, um mecanismo de detecção aciona um mecanismo responsivo para corrigir automaticamente o evento. Você pode usar recursos de resposta orientados por eventos para reduzir o tempo de retorno entre os mecanismos de detecção e os mecanismos responsivos. Para criar essa arquitetura orientada por eventos, é possível usar o AWS Lambda, que é um serviço computacional sem servidor que executa o código em resposta a eventos e gerencia automaticamente os recursos computacionais subjacentes.

Por exemplo, suponha que você tenha uma conta da AWS com o serviço AWS CloudTrail habilitado. Se o AWS CloudTrail for desabilitado (por meio da API cloudtrail:StopLogging), o procedimento de resposta é habilitar o serviço novamente e investigar o usuário que desativou o registro em log AWS CloudTrail. Em vez de executar essas etapas manualmente no AWS Management Console, você pode habilitar o registro em log de forma programática novamente (por meio da API cloudtrail:StartLogging). Se você implementar isso com código, seu objetivo de resposta é executar essa tarefa o mais rápido possível e notificar a equipe de reposta que a resposta foi executada.

Você pode decompor a lógica em código simples para ser executado em uma função do AWS Lambda para realizar essas tarefas. Depois, você pode usar o Amazon CloudWatch Events para monitorar o evento do cloudtrail:StopLogging específico e invocar a função se ele ocorrer. Quando essa função de resposta do AWS Lambda é invocada pelo Amazon CloudWatch Events, você pode passar a ela os detalhes do evento específico com as informações da entidade principal que desativou o AWS CloudTrail, quando foi desabilitado, o recurso específico que foi afetado e outras informações pertinentes. Você pode usar essas informações para enriquecer a descoberta dos logs e, depois, gerar uma notificação ou alerta com apenas os valores específicos que um analista de resposta exigiria.

O ideal é que o objetivo da resposta orientada por eventos seja que a função de resposta do Lambda execute as tarefas de resposta e, depois, notifique a equipe de resposta que a anomalia foi resolvida com êxito com todas as informações contextuais pertinentes. Cabe então à equipe de resposta decidir como determinar por que isso ocorreu e como futuras recorrências podem ser evitadas. Esse encaminhamento de feedback impulsiona ainda mais a melhoria da segurança em seus ambientes de nuvem. Para atingir esse objetivo, você deve ter uma cultura que permita que sua equipe de segurança trabalhe mais de perto com suas equipes de desenvolvimento e operações.