# Guia de integração
O guia de onboarding explica os pré-requisitos e as ações de onboarding e contenção do AWS Security Incident Response.
**Importante**
Pré-requisitos
O único pré-requisito da implantação é habilitar o [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).
Embora não seja obrigatório, recomendamos habilitar o [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) e o [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html) em todas as contas e Regiões da AWS ativas para maximizar os benefícios do Security Incident Response.
Revise o GuardDuty e o Security Incident Response.
Consulte o [Guia de práticas recomendadas do GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html).
O AWS Security Hub CSPM ingere descobertas de fornecedores terceirizados de detecção e resposta de endpoints (EDR), como o CrowdStrike, o FortinetCNapp (Lacework) e o Trend Micro, entre outros. Se essas descobertas forem ingeridas no Security Hub CSPM, elas serão submetidas à triagem automática pelo Security Incident Response para a criação proativa de casos. Para configurar um EDR de terceiros com o Security Hub CSPM, consulte [Detectar e analisar](https://docs.aws.amazon.com//security-ir/latest/userguide/detect-and-analyze.html).
Para configurar o EDR de terceiros com o Security Hub CSPM:
1. Navegue até a página de Integrações do Security Hub CSPM para validar a existência da integração de terceiros.
1. No console, navegue até a página de serviço do Security Hub CSPM.
1. Escolha **Integrações** (usando o Wiz.io como exemplo):
![\[Página de integrações do Security Hub CSPM mostrando as integrações com terceiros disponíveis.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Security_Hub_CSPM.png)
1. Procure o fornecedor que você gostaria de integrar
![\[Interface de pesquisa para descobrir e selecionar integrações com fornecedores terceirizados.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Integrations.png)
**nota**
Quando solicitado, forneça suas informações de conta ou assinatura. Depois de fornecer essas informações, a Resposta a Incidentes de Segurança ingere descobertas de terceiros. Para consultar os preços da ingestão de descobertas de terceiros, acesse a página **Integrações** no Security Hub CSPM.
# Implantar e configurar Resposta a Incidentes de Segurança
1. Escolha **Inscrever-se**
![\[Página de inscrição do AWS Security Incident Response com o botão Inscrever-se.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/AWS_Security_incident_Response.png)
1. Selecione uma conta de **ferramentas de segurança** como Administrador Delegado a partir da Conta Gerencial.
+ [Arquitetura de Referência de Segurança](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/introduction.html)
+ [Documentação do administrador delegado](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)
![\[Configure a página central da conta de associação para selecionar uma conta de administrador delegado.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Set_Up_Central_Membership_Account.png)
1. Faça login na conta de administrador delegado
1. Insira os detalhes da associação e as contas associadas
![\[Insira os detalhes da associação e das contas associadas.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Define_Membership_Details.png)
# Autorizar ações da Resposta a Incidentes de Segurança
Esta página descreve como autorizar o Security Incident Response a realizar ações automatizadas de monitoramento e contenção no ambiente da AWS. Você pode habilitar dois atributos de autorização distintos: monitoramento de resposta proativo e preferências de ações de contenção. Esses atributos são independentes e podem ser habilitados separadamente de acordo com suas necessidades de segurança.
# Habilitar resposta proativa
A resposta proativa permite que a Resposta a Incidentes de Segurança monitore e investigue alertas gerados pelas integrações do Amazon GuardDuty e do AWS Security Hub CSPM em toda a organização. Quando habilitado, o Security Incident Response faz a triagem dos alertas de baixa prioridade com automatização de serviço para que sua equipe se concentre nas questões mais críticas.
Para permitir uma resposta proativa durante o onboarding:
1. No console do Security Incident Response, navegue até o fluxo de trabalho de onboarding.
1. Revise as permissões do serviço que autorizam a Resposta a Incidentes de Segurança a monitorar descobertas em todas as contas incluídas e regiões compatíveis das Regiões da AWS ativas na organização.
1. Escolha **Inscrever-se** para habilitar o atributo.
![\[Revise a tela de permissões do serviço que mostra as permissões que o Security Incident Response exige para monitorar descobertas.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Review_Service_Permissions.png)
![\[Tela de confirmação de inscrição para habilitar monitoramento proativo de resposta.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Review_and_Sign_Up.png)
Este atributo cria automaticamente um perfil vinculado ao serviço em todas as contas de membros incluídas no AWS Organizations. Porém, é necessário criar manualmente o perfil vinculado ao serviço na conta gerencial ao usar os conjuntos de pilhas do AWS CloudFormation.
**Próximas etapas:** para saber mais sobre como a Resposta a Incidentes de Segurança funciona com o Amazon GuardDuty e o AWS Security Hub CSPM, consulte *Detecção e análise* no *Guia do usuário de AWS Security Incident Response*.
# Definir preferências de ações de contenção
As ações de contenção permitem que o AWS Security Incident Response execute medidas de resposta rápida a um incidente de segurança ativo. Essas ações ajudam a mitigar rapidamente o impacto dos incidentes de segurança no ambiente.
**Importante**
A Resposta a Incidentes de Segurança não habilita, por padrão, as funcionalidades de contenção. Você deve autorizar explicitamente as ações de contenção em preferências de contenção.
Para autorizar os engenheiros do AWS Security Incident Response a realizar ações de contenção para você, além de implantar um [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html) que crie os perfis do IAM necessários, defina as preferências de contenção no nível da organização ou da conta. As preferências em nível da conta têm precedência sobre as preferências em nível da organização.
**Pré-requisitos:** você precisa ter permissões para criar casos no AWS Support.
**Opções de contenção:**
+ **Aprovação necessária** (padrão): não fazer contenção proativa de nenhum recurso sem autorização explícita, caso a caso.
+ **Conter confirmado**: fazer a contenção proativa de um recurso cujo comprometimento foi confirmado.
+ **Conter suspeito:** fazer a contenção proativa de um recurso com grande probabilidade de estar comprometido, com base em análise realizada pela equipe de engenharia de AWS Security Incident Response.
Para definir as preferências de contenção:
1. [Crie um caso no AWS Support](https://docs.aws.amazon.com/security-ir/latest/userguide/create-support-case.html) solicitando a configuração das preferências de ações de contenção na Resposta a Incidentes de Segurança.
1. No caso de suporte, especifique:
+ Seu ID do AWS Organizations ou IDs de contas específicas em que as ações de contenção devem ser autorizadas
+ Sua opção de contenção preferida (Aprovação requerida, Conter confirmados ou Conter suspeitos).
+ Os tipos de ações de contenção que você deseja autorizar (como isolamento de instâncias do EC2, rodízio de credenciais ou modificações de grupo de segurança)
1. O AWS Support trabalha com você para configurar suas preferências de contenção. Você deve implantar o StackSet do AWS CloudFormation necessário para criar os perfis do IAM relevantes. O AWS Support pode fornecer assistência, se necessário.
Quando configurado, o AWS Security Incident Response executa as ações de contenção autorizadas durante incidentes de segurança ativos para ajudar a proteger seu ambiente.
**Próximas etapas:** depois que as preferências de contenção forem configuradas, será possível monitorar as ações de contenção realizadas durante os incidentes no console do Security Incident Response.
# Pós-implantação da Resposta a Incidentes de Segurança
O AWS integra-se à estrutura de resposta a incidentes existente em vez de substituí-la.
1. Analise nossos recursos de integração operacional para aprimorar suas práticas atuais.
1. Assista à nossa demonstração de suporte de associação em nível de OU, à utilização do EventBridge e à integração com o Jira-ITSM para operações de segurança mais eficientes.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/lVSi5XyMlws)
# Atualizar a Equipe de Resposta a Incidentes
1. Verifique se você está inscrito e concluiu as etapas de integração descritas neste *Guia de integração*.
1. Selecione Equipe de Resposta a Incidentes no painel de navegação à esquerda.
1. Selecione os colegas de equipe que você quer adicionar à sua equipe.
![\[Os serviços da AWS enviam eventos para o barramento de eventos padrão do EventBridge. Se um evento corresponder ao padrão de evento de uma regra, o EventBridge enviará o evento aos destinos especificados para essa regra.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Teamates.png)
**nota**
A equipe pode incluir liderança organizacional, assessoria jurídica, parceiros de MDR, engenheiros de nuvem e outros. É possível inserir até 10 membros adicionais. Inclua somente nome, cargo e endereço de e-mail de cada membro.
# Caso com suporte da AWS
A AWS Security Incident Response fornece um portal de gerenciamento de casos baseado em assinatura, no qual sua organização interage diretamente com nossos engenheiros de Resposta a Incidentes de Segurança. Auxiliamos em investigações de segurança e incidentes ativos com um SLO de 15 minutos, sem limite de casos reativos. Consulte nossa documentação sobre como criar um caso com suporte da AWS.
**Expandir a equipe de investigação**
Por meio do Portal de Gerenciamento de Casos, você concede visibilidade do caso a partes externas adicionando Watchers e políticas do IAM. Use essas opções para parceiros, equipes jurídicas ou especialistas no assunto.
**Para adicionar Watchers a um caso:**
1. Abra qualquer caso no portal Casos de Resposta a Incidentes de Segurança.
![\[Os serviços da AWS enviam eventos para o barramento de eventos padrão do EventBridge. Se um evento corresponder ao padrão de evento de uma regra, o EventBridge enviará o evento aos destinos especificados para essa regra.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Cases.png)
1. Escolha a aba Permissões.
![\[Os serviços da AWS enviam eventos para o barramento de eventos padrão do EventBridge. Se um evento corresponder ao padrão de evento de uma regra, o EventBridge enviará o evento aos destinos especificados para essa regra.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Overview.png)
1. Selecione Adicionar.
![\[Os serviços da AWS enviam eventos para o barramento de eventos padrão do EventBridge. Se um evento corresponder ao padrão de evento de uma regra, o EventBridge enviará o evento aos destinos especificados para essa regra.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Watchers.png)
**nota**
Cada caso inclui uma política do IAM pré-preenchida que concede acesso somente a esse caso específico, mantendo o privilégio mínimo. Copie e cole essa política diretamente nos perfis ou nos usuários do IAM para parceiros de MDR terceirizados ou equipes de investigação específicas para permitir sua contribuição.
# Descobertas e regras de supressão do GuardDuty
O AWS Security Incident Response ingere, faz a triagem e responde proativamente a todas as descobertas do Amazon GuardDuty e às descobertas do AWS Security Hub CSPM provenientes do CrowdStrike, do FortinetCNAPP (Lacework) e do Trend Micro. Nossa tecnologia de triagem automática elimina os requisitos internos de análise. O serviço cria regras de supressão e arquivamento automático no GuardDuty e no Security Hub para descobertas benignas. Visualize ou modifique essas regras em “Descobertas” no console do Amazon GuardDuty.
Para revisar as regras de supressão habilitadas do GuardDuty, conclua as seguintes etapas:
1. Abra o console do Amazon GuardDuty.
1. Escolha **Descobertas**.
1. No painel de navegação, escolha **Regras de supressão**. A página **Regras de supressão** exibe uma lista de todas as regras de supressão da sua conta.
1. Para revisar ou alterar as configurações de uma regra, escolha a regra e depois escolha **Atualizar regra de supressão** no menu **Ações**.
**nota**
As organizações que usam a tecnologia SIEM reduziram significativamente os volumes de descoberta do GuardDuty ao longo do tempo, melhorando o serviço de Resposta a Incidentes de Segurança e a eficiência do SIEM.
# Amazon EventBridge
O Amazon EventBridge permite uma arquitetura orientada por eventos para a Resposta a Incidentes de Segurança, permitindo que a atividade do caso acione serviços downstream (SNS, Lambda, SQS, Step-Functions) ou ferramentas externas (Jira, ServiceNow, Teams, Slack, PagerDuty).
**Para configurar regras do EventBridge:**
1. Acesse o Amazon EventBridge
1. Selecione **Regras** no menu suspenso **Barramentos**
![\[Os serviços da AWS enviam eventos para o barramento de eventos padrão do EventBridge. Se um evento corresponder ao padrão de evento de uma regra, o EventBridge enviará o evento aos destinos especificados para essa regra.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Amazon_EventBridge_rules.png)
1. Selecione **Create Rule**.
1. Insira os detalhes da regra.
1. Escolha **Próximo**.
![\[Os serviços da AWS enviam eventos para o barramento de eventos padrão do EventBridge. Se um evento corresponder ao padrão de evento de uma regra, o EventBridge enviará o evento aos destinos especificados para essa regra.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Define_Rule.png)
1. Role até **serviço da AWS** e selecione **AWS Security Incident Response** no menu suspenso.
![\[Os serviços da AWS enviam eventos para o barramento de eventos padrão do EventBridge. Se um evento corresponder ao padrão de evento de uma regra, o EventBridge enviará o evento aos destinos especificados para essa regra.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Event_Pattern_Security.png)
1. No menu suspenso **Tipo de evento**, selecione o evento ou a chamada de API para o qual você deseja criar um padrão.
1. É possível editar o padrão manualmente para incluir mais de um evento.
1. Escolha **Próximo**.
![\[Os serviços da AWS enviam eventos para o barramento de eventos padrão do EventBridge. Se um evento corresponder ao padrão de evento de uma regra, o EventBridge enviará o evento aos destinos especificados para essa regra.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Event_Pattern.png)
**nota**
Selecione um ou mais destinos (Amazon Simple Notification Service, AWS Lambda, documento SSM, Step-Function) para seus eventos. Configure destinos entre contas, se necessário.
Você pode verificar os padrões de integração do parceiro em Fontes de Eventos do Parceiro no menu Integração do EventBridge. Os parceiros disponíveis incluem Atlassian (Jira), DataDog, New Relic, PagerDuty, Symantec e Zendesk, entre muitos outros.
![\[Os serviços da AWS enviam eventos para o barramento de eventos padrão do EventBridge. Se um evento corresponder ao padrão de evento de uma regra, o EventBridge enviará o evento aos destinos especificados para essa regra.\]](http://docs.aws.amazon.com/pt_br/security-ir/latest/userguide/images/Amazon_EventBridge_Partners.png)
# Integrações e fluxo de trabalho de ferramentas externas
**AWS Soluções da para integrar o JIRA ou a ServiceNow à Resposta a Incidentes de Segurança**
Implante nossas soluções totalmente desenvolvidas para integração bidirecional com o Jira e o ServiceNow. Essas integrações permitem a comunicação bidirecional entre os casos da AWS Security Incident Response e sua plataforma de ITSM, com as atualizações de casos refletidas automaticamente nas tarefas correspondentes do Jira.
**Vantagens da integração**
A integração da AWS Security Incident Response à plataforma de ITSM existente simplifica as operações de segurança centralizando os fluxos de trabalho de rastreamento e resposta a incidentes. Essas soluções prontas eliminam a necessidade de desenvolvimento personalizado, permitindo que as equipes de segurança mantenham a visibilidade dos sistemas de gerenciamento de incidentes nativos da AWS e corporativos. Ao usar o Amazon EventBridge para automação orientada por eventos, as atualizações fluem perfeitamente entre as plataformas em tempo real, garantindo que os incidentes de segurança sejam rastreados sistematicamente, qualquer que seja sua origem. Essa abordagem unificada reduz a alternância de contextos para os analistas de segurança, melhora os tempos de resposta e fornece trilhas de auditoria abrangentes em todo o ciclo de vida das respostas a incidentes.
Para configurar regras do EventBridge:
1. Acesse o Amazon EventBridge.
1. Selecione **Regras** no menu suspenso **Barramentos**
# Fluxo de trabalho de ferramentas externas
A Resposta a Incidentes de Segurança se integra a ferramentas e parceiros externos de várias maneiras:
+ *Integração do SIEM:* os engenheiros de Resposta a Incidentes de Segurança ajudam a analisar e investigar essas descobertas em paralelo com a sua equipe quando você envia casos com o suporte da AWS. Identificamos correlações em ambientes híbridos e multinuvem, ajudando a avaliar os movimentos dos agentes de ameaças entre os fornecedores.
+ *Aprimora suas operações de segurança existentes:* substituímos os fluxos de trabalho tradicionais de resposta do GuardDuty por um modelo de resposta paralelo mais eficiente. Atualmente, muitas organizações utilizam a tecnologia SIEM para fluxos de trabalho de detecção por meio do gerenciamento de casos. Esse serviço fornece uma alternativa simplificada especificamente para as descobertas do GuardDuty (e do Security Hub selecionado). A solução utiliza uma sofisticada tecnologia de triagem automática com supervisão humana para criar casos proativos no portal, alertando simultaneamente sua equipe de resposta e envolvendo nossos engenheiros de Security Incident Response em esforços coordenados de remediação.
+ *Equipes de investigação terceirizadas:* nossos engenheiros do Security Incident Response colaboram diretamente com seus parceiros e provedores de MDR.
# Apêndice A: pontos de contato
Fornecer seus metadados antecipadamente a nossos engenheiros do Security Incident Response pode ajudar a acelerar o tempo de criação do perfil, o que aumentará a confiança em nossa tecnologia de triagem já de saída. Isso ajuda a reduzir os falsos positivos iniciais identificados quando começarmos a ingerir suas descobertas sobre ameaças e a criar seu mundo que reconhecemos como bom.
**Informações de contato do pessoal de IR e SOC**
| Entrada | Pessoal IR \$1 SOC: cargo, nome, e-mail | Primário, secundário, contatos de escalonamento | Intervalos CIDR internos conhecidos | Intervalos CIDR externos conhecidos | Provedores de serviços em nuvem adicionais | Regiões de trabalho da AWS | IPs do servidor DNS (se for diferente do Amazon Route 53 Resolver) | VPN \$1 Soluções e IPS de acesso remoto | Nomes dos aplicativos críticos \$1 Números de conta | Portas incomuns comumente usadas | ERD \$1 AV \$1 Ferramentas de gerenciamento de vulnerabilidades usadas | IDP \$1 Locais |
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- |
| 1 | Comandante SOC, John Smith, jsmith@examplo.com | Primary | 10.0.0.0/16 | 5.5.60.0/20 (Azure) | Azure | us-east-1, us-east-2 | N/D | Direct Connect, VIF pública 116.32.8.7 | Servidor Web Nginx (exemplo crítico) \$1 1234567890 | 8080 | CrowdStrike Falcon | Entra, Azure |
| | | | | | | | | | | | | |
| | | | | | | | | | | | | |
| | | | | | | | | | | | | |
Para enviar informações de metadados para seu ambiente, crie um [caso do AWS Support](https://repost.aws/knowledge-center/get-aws-technical-support).
**Para enviar metadados**
1. Preencha a tabela de metadados com as informações do seu ambiente.
1. Crie um caso do AWS Support com os seguintes detalhes:
+ **Tipo de caso:** Técnico
+ **Serviço:** Security Incident Response Service
+ **Categoria:** Outros
1. Anexe ao caso a tabela de metadados preenchida.