Configuração de fluxos de trabalho de resposta proativa e de triagem de alertas
O AWS Security Incident Response monitora e investiga alertas gerados nas ferramentas de detecção de ameaças do Amazon GuardDuty e de terceiros usando integrações com o Security Hub CSPM. O AWS Security Incident Response faz a triagem automática de todos os alertas compatíveis para que sua equipe se concentre nas questões mais críticas.
Importante
O AWS Security Incident Response não exige que você habilite o Amazon GuardDuty. No entanto, o atributo de resposta proativa depende do recebimento de descobertas de ameaças dos serviços de detecção. Se você não tiver o Amazon GuardDuty ou o Security Hub CSPM configurados para ingerir descobertas, o AWS Security Incident Response não terá alertas para monitorar e investigar, o que limita o valor deste atributo.
O AWS Security Incident Response monitora e investiga descobertas em todas as contas cobertas e na Regiões da AWS com suporte que estão ativas na sua organização. Para viabilizar essa funcionalidade, a AWS Security Incident Response cria automaticamente um perfil vinculado ao serviço em todas as contas de membros cobertas do AWS Organizations. No entanto, na conta gerencial, a criação desse perfil vinculado ao serviço deve ser feita manualmente para habilitar o monitoramento.
Se você se fizer a integração do AWS Security Incident Response no Console de gerenciamento da AWS, a Resposta a Incidentes de Segurança cria automaticamente o perfil vinculado ao serviço do AWSServiceRoleForSecurityIncidentResponse_Triage em sua conta gerencial do AWS Organizations e em todas as contas que estão no escopo. Se você está integrando usando a API/CLI, deverá criar o perfil manualmente. Para obter mais informações, consulte Habilite a Resposta a Incidentes de Segurança e configure sua equipe de resposta a incidentes usando a API/CLI.
Se você tiver problemas de integração ou precisar de ajuda para habilitar o Amazon GuardDuty ou o Security Hub CSPM, crie um caso do AWS Support para obter assistência.
nota
Se tiver dúvidas sobre as regras de supressão do Amazon GuardDuty, configurações de triagem de alertas ou fluxos de trabalho de resposta proativa, crie um caso com o suporte da AWS com o tipo de caso Investigações e consultas para consultar a equipe do AWS Security Incident Response. Para obter mais informações, consulte Criação de um caso com suporte por parte da AWS.
Contenção: no caso de um evento de incidente de segurança, a AWS Security Incident Response pode executar ações de contenção para mitigar rapidamente o impacto, como isolar hosts comprometidos ou alterar credenciais. A Resposta a Incidentes de Segurança não habilita, por padrão, as funcionalidades de contenção. Para executar essas ações de contenção, é necessário primeiro conceder as permissões necessárias ao serviço. Essa concessão pode ser realizada por meio da implantação de um AWS CloudFormation StackSet, que estabelece os perfis necessários.
