As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Automatize a resposta a incidentes e forense
<a name="automate-incident-response-and-forensics"></a>

*Lucas Kauffman e Tomek Jakubowski, Amazon Web Services*

## Resumo
<a name="automate-incident-response-and-forensics-summary"></a>

Esse padrão implanta um conjunto de processos que usam AWS Lambda funções para fornecer o seguinte:
+ Uma forma de iniciar o processo de resposta a incidentes com o mínimo de conhecimento
+ Processos repetíveis e automatizados que seguem as diretrizes do *Guia de Resposta a Incidentes de Segurança da AWS *
+ Separação de contas para operar as etapas de automação, armazenar artefatos e criar ambientes forenses

A estrutura de resposta automatizada a incidentes e forense segue um processo forense digital padrão que consiste nas seguintes fases:

1. Contenção

1. Aquisição

1. Examinação

1. Análise

Você pode realizar investigações em dados estáticos (por exemplo, memória adquirida ou imagens de disco) e em dados dinâmicos ativos, mas em sistemas separados.

Para obter mais detalhes, consulte a seção [Informações adicionais](#automate-incident-response-and-forensics-additional).

## Pré-requisitos e limitações
<a name="automate-incident-response-and-forensics-prereqs"></a>

**Pré-requisitos **
+ Dois Contas da AWS:
  + Conta de segurança, que pode ser uma conta existente, mas é de preferência nova
  + Conta forense, de preferência nova
+ AWS Organizations configurar
+ Nas contas dos membros da Organizações:
  + A função Amazon Elastic Compute Cloud (Amazon EC2) deve ter acesso Get and List ao Amazon Simple Storage Service (Amazon S3) e estar acessível por. AWS Systems Manager Recomendamos usar a função `AmazonSSMManagedInstanceCore` AWS gerenciada. Observe que essa função será automaticamente anexada à EC2 instância da Amazon quando a resposta ao incidente for iniciada. Depois que a resposta for concluída, o AWS Identity and Access Management (IAM) removerá todos os direitos da instância.
  + Endpoints de nuvem privada virtual (VPC) na conta do AWS membro e na resposta e análise de incidentes. VPCs Esses endpoints são: S3 Gateway, EC2 Mensagens, SSM e Mensagens SSM.
+ AWS Command Line Interface (AWS CLI) instalado nas EC2 instâncias da Amazon. Se as EC2 instâncias da Amazon não estiverem AWS CLI instaladas, será necessário acesso à Internet para que o instantâneo do disco e a aquisição de memória funcionem. Nesse caso, os scripts entrarão em contato com a Internet para baixar os arquivos de AWS CLI instalação e os instalarão nas instâncias.

**Limitações**
+ Essa estrutura não pretende gerar artefatos que possam ser considerados evidências eletrônicas, submissíveis em juízo.
+ Atualmente, esse padrão é compatível somente a instâncias baseadas em Linux executadas na arquitetura x86.

## Arquitetura
<a name="automate-incident-response-and-forensics-architecture"></a>

**Arquitetura de destino**

Além da conta do membro, o ambiente de destino consiste em duas contas principais: uma conta de segurança e uma conta forense. Duas contas são usadas pelos seguintes motivos:
+ Para separá-las de quaisquer outras contas de clientes para reduzir o raio de explosão em caso de falha na análise forense
+ Para ajudar a garantir o isolamento e a proteção da integridade dos artefatos que estão sendo analisados
+ Para manter a investigação confidencial
+ Para evitar situações em que os agentes da ameaça possam ter usado todos os recursos imediatamente disponíveis para você, Conta da AWS atingindo as cotas de serviço e impedindo que você instancie uma instância da EC2 Amazon para realizar investigações. 

Além disso, ter contas de segurança e forense separadas permite a criação de perfis separados: uma Respondente para adquirir evidências e um Investigador para analisá-las. Cada perfil teria acesso a própria conta separada.

O diagrama a seguir mostra somente a interação entre as contas. Os detalhes de cada conta são mostrados nos diagramas subsequentes e um diagrama completo é anexado.

![\[Interação entre contas e usuários de membros, segurança e forense, a Internet e o Slack.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/7fc94597-d82d-4f6d-9c8b-5e0060010c53/images/6ed33293-d198-4458-9e38-74f6d20629c9.png)


O diagrama a seguir mostra a conta do membro.

![\[Conta de membro com chave AWS KMS, funções do IAM, funções do Lambda, endpoints, VPC com duas instâncias. EC2\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/7fc94597-d82d-4f6d-9c8b-5e0060010c53/images/464fcefa-1418-4c9e-9902-5050a76ba9b9.png)


1. Um evento é enviado para o tópico do Slack do Amazon Simple Notification Service (Amazon SNS).

O diagrama a seguir mostra a conta de segurança.

![\[Conta de segurança EC2 DdCopyInstance na VPC de resposta a incidentes e com módulos de memória LiME.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/7fc94597-d82d-4f6d-9c8b-5e0060010c53/images/89dda7a1-972a-403e-abf8-98fc422422b2.png)


2. O tópico do Amazon SNS na conta de segurança aciona eventos de análise forense.

O diagrama a seguir mostra a conta Forensics.

![\[Conta forense com EC2 instâncias forenses e de vítimas, uma VPC de análise e uma VPC de manutenção.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/7fc94597-d82d-4f6d-9c8b-5e0060010c53/images/da3bcfcc-cdca-4875-ada5-6131e8b666bc.png)


A conta de segurança é onde os dois AWS Step Functions fluxos de trabalho principais são criados para aquisição de memória e imagem de disco. Depois que os fluxos de trabalho são executados, eles acessam a conta membro que tem as EC2 instâncias da Amazon envolvidas em um incidente e iniciam um conjunto de funções do Lambda que reunirão um despejo de memória ou um despejo de disco. Esses artefatos são então armazenados na conta forense.

A conta de análise forense armazenará os artefatos coletados pelo fluxo de trabalho do Step Functions no bucket de análise de artefatos do Amazon S3. A conta Forensics também terá um pipeline do Amazon EC2 Image Builder que cria uma Amazon Machine Image (AMI) de uma instância forense. Atualmente, a imagem é baseada na estação de trabalho SANS SIFT. 

O processo de compilação usa a VPC de manutenção, que tem conectividade com a Internet. Posteriormente, a imagem pode ser usada para ativar a EC2 instância da Amazon para análise dos artefatos coletados na VPC de Análise. 

A Analysis VPC não tem conectividade à internet. Por padrão, o padrão cria três sub-redes de análise privadas. Você pode criar até 200 sub-redes, que é a cota para o número de sub-redes em uma VPC, mas os VPC endpoints precisam ter essas sub-redes adicionadas para automatizar a execução de comandos nelas. AWS Systems Manager Session Manager 

Do ponto de vista das melhores práticas, recomendamos usar AWS CloudTrail e AWS Config fazer o seguinte: 
+ Rastrear as alterações feitas em sua conta forense
+ Monitorar o acesso e a integridade dos artefatos que são armazenados e analisados

**Fluxo de trabalho**

O diagrama a seguir mostra as principais etapas de um fluxo de trabalho que inclui o processo e a árvore de decisão desde o momento em que uma instância é comprometida até ser analisada e contida.

1. A tag `SecurityIncidentStatus` foi definida com o valor Analyze? Em caso positivo, faça o seguinte:

   1. Anexe os perfis IAM corretos para AWS Systems Manager o Amazon S3.

   1. Envie uma mensagem do Amazon SNS para a fila do Amazon SNS no Slack.

   1. Envie uma mensagem do Amazon SNS para a fila ` SecurityIncident`.

   1. Invoque a máquina de estado de aquisição de memória e disco.

1. A memória e o disco foram adquiridos? Se não foram, há um erro.

1. Marque a EC2 instância da Amazon com a `Contain` tag.

1. Anexe o perfil do IAM e o grupo de segurança para isolar totalmente a instância.

![\[Etapas do fluxo de trabalho listadas anteriormente.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/7fc94597-d82d-4f6d-9c8b-5e0060010c53/images/b319bd9b-8cb4-4048-b5c8-6e39e72908b0.png)


**Automação e escala**

A intenção desse padrão é fornecer uma solução escalável para realizar a resposta a incidentes e a análise forense em várias contas em uma única organização. AWS Organizations 

## Ferramentas
<a name="automate-incident-response-and-forensics-tools"></a>

**Serviços da AWS**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)ajuda você a configurar AWS recursos, provisioná-los de forma rápida e consistente e gerenciá-los em todo o ciclo de vida em todas Contas da AWS as regiões.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) é uma ferramenta de código aberto para interagir por Serviços da AWS meio de comandos em seu shell de linha de comando.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) ajuda você a gerenciar com segurança o acesso aos seus AWS recursos controlando quem está autenticado e autorizado a usá-los.
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/index.html) ajuda você a criar e controlar chaves criptográficas para proteger seus dados.
+ O [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) é um serviço de computação que ajuda a executar código sem exigir provisionamento ou gerenciamento de servidores. Ele executa o código somente quando necessário e dimensiona automaticamente, assim, você paga apenas pelo tempo de computação usado.
+ O [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) é um serviço de armazenamento de objetos baseado na nuvem que ajuda você a armazenar, proteger e recuperar qualquer quantidade de dados.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)fornece uma visão abrangente do seu estado de segurança em AWS. Também ajuda você a verificar seu AWS ambiente de acordo com os padrões e as melhores práticas do setor de segurança.
+ O [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) ajuda você a coordenar e gerenciar a troca de mensagens entre publicadores e clientes, incluindo servidores web e endereços de e-mail.
+ [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)é um serviço de orquestração sem servidor que ajuda você a combinar AWS Lambda funções e outras Serviços da AWS para criar aplicativos essenciais para os negócios. 
+ O [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) ajuda você a gerenciar suas aplicações e infraestrutura em execução na Nuvem AWS. Ele simplifica o gerenciamento de aplicativos e recursos, reduz o tempo para detectar e resolver problemas operacionais e ajuda você a gerenciar seus AWS recursos com segurança em grande escala.

**Código **

Para obter o código e as diretrizes específicas de implementação e uso, consulte o repositório do GitHub [Automated Incident Response and Forensics Framework](https://github.com/awslabs/aws-automated-incident-response-and-forensics).

## Épicos
<a name="automate-incident-response-and-forensics-epics"></a>

### Implante os CloudFormation modelos
<a name="deploy-the-cfnshort-templates"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Implante CloudFormation modelos. | Os CloudFormation modelos são marcados de 1 a 7 com a primeira palavra do nome do script indicando em qual conta o modelo precisa ser implantado. Observe que a ordem de lançamento dos CloudFormation modelos é importante.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/automate-incident-response-and-forensics.html)Para iniciar a estrutura de resposta a incidentes para uma EC2 instância específica da Amazon, crie uma tag com a chave `SecurityIncidentStatus` e o valor`Analyze`. Isso inicializará a função do Lambda do membro, que iniciará automaticamente o isolamento e a memória, bem como a aquisição de disco. | Administrador da AWS | 
| Opere a estrutura. | A função do Lambda também remarcará o ativo no final (ou em caso de falha) com `Contain`. Isso inicia a contenção, que isola totalmente a instância sem um grupo de INBOUND/OUTBOUND segurança e com uma função do IAM que proíbe todo o acesso.Siga as etapas no [GitHub repositório.](https://github.com/awslabs/aws-automated-incident-response-and-forensics#operating-the-incident-response-framework) | Administrador da AWS | 

### Implemente ações CSPM personalizadas do Security Hub
<a name="deploy-custom-ash-actions"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Implante as ações personalizadas do CSPM do Security Hub usando um CloudFormation modelo. | Para criar uma ação personalizada para que você possa usar a lista suspensa do CSPM do Security Hub, implante o modelo. `Modules/SecurityHub Custom Actions/SecurityHubCustomActions.yaml` CloudFormation Em seguida, modifique o perfil `IRAutomation` em cada uma das contas dos membros para permitir que a função do Lambda que executa a ação assuma o perfil `IRAutomation`. Para obter mais informações, consulte o [GitHub repositório.](https://github.com/awslabs/aws-automated-incident-response-and-forensics#securityhub-actions) | Administrador da AWS | 

## Recursos relacionados
<a name="automate-incident-response-and-forensics-resources"></a>
+ [AWS Guia de resposta a incidentes de segurança](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)

## Mais informações
<a name="automate-incident-response-and-forensics-additional"></a>

Ao usar esse ambiente, uma equipe do Centro de operações de segurança (Security Operations Center, SOC) pode melhorar o processo de resposta a incidentes de segurança ao:
+ Ter a capacidade de realizar forenses em um ambiente segregado para evitar o comprometimento acidental dos recursos de produção
+ Ter um processo padronizado, repetível e automatizado para fazer contenção e análise.
+ Dar a qualquer proprietário ou administrador da conta a capacidade de iniciar o processo de resposta a incidentes com o mínimo de conhecimento de como usar tags
+ Ter um ambiente padronizado e limpo para realizar análises de incidentes e forenses sem o ruído de um ambiente maior
+ Ter a capacidade de criar vários ambientes de análise em paralelo
+ Foco nos recursos do SOC na resposta a incidentes em vez de na manutenção e documentação de um ambiente forense em nuvem
+ Substituição de um processo manual para um automatizado para obter escalabilidade
+ Usando CloudFormation modelos para obter consistência e evitar tarefas repetíveis

Além disso, você evita usar uma infraestrutura persistente e paga pelos recursos quando precisa deles.

## Anexos
<a name="attachments-7fc94597-d82d-4f6d-9c8b-5e0060010c53"></a>

Para acessar o conteúdo adicional associado a este documento, descompacte o seguinte arquivo: [ attachment.zip](samples/p-attach/7fc94597-d82d-4f6d-9c8b-5e0060010c53/attachments/attachment.zip)