# Configuração de fluxos de trabalho de resposta proativa e de triagem de alertas
A AWS Security Incident Response monitora e investiga alertas gerados nas integrações com o Amazon GuardDuty e o CSPM do Security Hub. Para usar esse recurso, o [Amazon GuardDuty deve estar habilitado](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html). A AWS Security Incident Response realiza uma triagem automatizada de alertas de baixa prioridade, permitindo que sua equipe se concentre nas questões mais importantes. Para obter mais informações sobre como a AWS Security Incident Response funciona com o Amazon GuardDuty e com o AWS Security Hub CSPM, consulte a seção [Detecção e análise](https://docs.aws.amazon.com/security-ir/latest/userguide/detect-and-analyze.html) do guia do usuário.
Se você enfrente algum problema durante o processo de integração, [crie um caso no AWS Support](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case) para obter assistência adicional. Certifique-se de incluir detalhes, como o ID da Conta da AWS e quaisquer erros observados durante o processo de configuração.
**nota**
Se tiver dúvidas sobre as regras de supressão do Amazon GuardDuty, configurações de triagem de alertas ou fluxos de trabalho de resposta proativa, crie um caso com o suporte da AWS com o tipo de caso **Investigações e consultas** para consultar a equipe de Resposta a Incidentes de Segurança da AWS. Para obter mais informações, consulte [Criação de um caso com suporte por parte da AWS](create-an-aws-supported-case.md).
Este atributo permite que a AWS Security Incident Response monitore e investigue descobertas em todas as contas incluídas e em todas as regiões compatíveis da AWS ativas na sua organização. Para viabilizar essa funcionalidade, a AWS Security Incident Response cria automaticamente um perfil vinculado ao serviço em todas as contas de membros cobertas do AWS Organizations. No entanto, na conta gerencial, a criação desse perfil vinculado ao serviço deve ser feita manualmente para habilitar o monitoramento.
*O serviço não pode criar o perfil vinculado ao serviço na conta gerencial. É necessário criar esse perfil manualmente na conta gerencial ao [trabalhar com os conjuntos de pilhas do AWS CloudFormation](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html).*
# Entender arquivamento automático com resposta proativa
Quando você habilita resposta proativa e triagem de alertas, a AWS Security Incident Response automaticamente monitora e faz a triagem das descobertas do Amazon GuardDuty e do CSPM do Security Hub. Como parte desse fluxo de trabalho de triagem automática, as descobertas são arquivadas automaticamente segundo os seguintes critérios:
**Comportamento de arquivamento automático:**
+ **Descobertas benignas:** quando o processo de triagem automática determina que uma descoberta é benigna (não é uma verdadeira ameaça à segurança), a AWS Security Incident Response automaticamente arquiva a descoberta no Amazon GuardDuty e cria regras de supressão para evitar que descobertas semelhantes gerem alertas no futuro.
+ **Regras de supressão:** o serviço cria regras de supressão e arquivamento automático no Amazon GuardDuty e no CSPM do Security Hub para descobertas que correspondam aos padrões reconhecidos do ambiente, como endereços IP esperados, entidades do IAM e comportamentos operacionais normais.
+ **Volume de alertas reduzido:** as organizações que usam a tecnologia SIEM observarão volumes de descoberta do Amazon GuardDuty significativamente reduzidos ao longo do tempo, à medida que o serviço aprender o ambiente e arquivar automaticamente descobertas benignas. Isso melhora a eficiência do serviço AWS Security Incident Response e do SIEM.
**Visualizar descobertas arquivadas:**
É possível revisar automaticamente as descobertas arquivadas e as regras de supressão criadas pelo AWS Security Incident Response:
1. Navegue até o console do Amazon GuardDuty
1. Escolha **Descobertas**
1. Selecione **Arquivada** no filtro de descobertas
1. Revise as regras de supressão selecionando a seta para baixo ao lado de cada regra
**Considerações importantes:**
+ As descobertas arquivadas são retidas no Amazon GuardDuty por 90 dias e podem ser visualizadas a qualquer momento durante esse período
+ Você pode modificar ou excluir regras de supressão a qualquer momento no console do Amazon GuardDuty
+ O processo de triagem automática se adapta continuamente ao ambiente, melhorando a precisão ao longo do tempo e reduzindo os falsos positivos
**Contenção:** no caso de um evento de incidente de segurança, a AWS Security Incident Response pode executar ações de contenção para mitigar rapidamente o impacto, como isolar hosts comprometidos ou alterar credenciais. A Resposta a Incidentes de Segurança não habilita, por padrão, as funcionalidades de contenção. Para executar essas ações de contenção, é necessário primeiro conceder as permissões necessárias ao serviço. Essa concessão pode ser realizada por meio da implantação de um [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html), que estabelece os perfis necessários.