View a markdown version of this page

Configuração de fluxos de trabalho de resposta proativa e de triagem de alertas - AWS Security Incident ResponseGuia do usuário do

Configuração de fluxos de trabalho de resposta proativa e de triagem de alertas

A AWS Security Incident Response monitora e investiga alertas gerados nas integrações com o Amazon GuardDuty e o CSPM do Security Hub. Para usar esse recurso, o Amazon GuardDuty deve estar habilitado. A AWS Security Incident Response realiza uma triagem automatizada de alertas de baixa prioridade, permitindo que sua equipe se concentre nas questões mais importantes. Para obter mais informações sobre como a AWS Security Incident Response funciona com o Amazon GuardDuty e com o AWS Security Hub CSPM, consulte a seção Detecção e análise do guia do usuário.

Se você enfrente algum problema durante o processo de integração, crie um caso no AWS Support para obter assistência adicional. Certifique-se de incluir detalhes, como o ID da Conta da AWS e quaisquer erros observados durante o processo de configuração.

nota

Se tiver dúvidas sobre as regras de supressão do Amazon GuardDuty, configurações de triagem de alertas ou fluxos de trabalho de resposta proativa, crie um caso com o suporte da AWS com o tipo de caso Investigações e consultas para consultar a equipe de Resposta a Incidentes de Segurança da AWS. Para obter mais informações, consulte Criação de um caso com suporte por parte da AWS.

Este atributo permite que a AWS Security Incident Response monitore e investigue descobertas em todas as contas incluídas e em todas as regiões compatíveis da AWS ativas na sua organização. Para viabilizar essa funcionalidade, a AWS Security Incident Response cria automaticamente um perfil vinculado ao serviço em todas as contas de membros cobertas do AWS Organizations. No entanto, na conta gerencial, a criação desse perfil vinculado ao serviço deve ser feita manualmente para habilitar o monitoramento.

O serviço não pode criar o perfil vinculado ao serviço na conta gerencial. É necessário criar esse perfil manualmente na conta gerencial ao trabalhar com os conjuntos de pilhas do AWS CloudFormation.

Contenção: no caso de um evento de incidente de segurança, a AWS Security Incident Response pode executar ações de contenção para mitigar rapidamente o impacto, como isolar hosts comprometidos ou alterar credenciais. A Resposta a Incidentes de Segurança não habilita, por padrão, as funcionalidades de contenção. Para executar essas ações de contenção, é necessário primeiro conceder as permissões necessárias ao serviço. Essa concessão pode ser realizada por meio da implantação de um AWS CloudFormation StackSet, que estabelece os perfis necessários.