# Resposta a incidentes
<a name="a-incident-response"></a>

**Topics**
+ [SEC 10  Como você prevê, responde e se recupera de incidentes?](w2aac19b7c15b5.md)

# SEC 10  Como você prevê, responde e se recupera de incidentes?
<a name="w2aac19b7c15b5"></a>

A preparação é essencial para investigação, resposta e recuperação oportunas e eficazes de incidentes de segurança para ajudar a minimizar interrupções na sua organização.

**Topics**
+ [SEC10-BP01 Identificar o pessoal-chave e os recursos externos](sec_incident_response_identify_personnel.md)
+ [SEC10-BP02 Desenvolver planos de gerenciamento de incidentes](sec_incident_response_develop_management_plans.md)
+ [SEC10-BP03 Preparar recursos forenses](sec_incident_response_prepare_forensic.md)
+ [SEC10-BP04 Automatizar a capacidade de contenção](sec_incident_response_auto_contain.md)
+ [SEC10-BP05 Acesso pré-provisionado](sec_incident_response_pre_provision_access.md)
+ [SEC10-BP06 Ferramentas pré-implantação](sec_incident_response_pre_deploy_tools.md)
+ [SEC10-BP07 Promover dias de jogo](sec_incident_response_run_game_days.md)

# SEC10-BP01 Identificar o pessoal-chave e os recursos externos
<a name="sec_incident_response_identify_personnel"></a>

 Identifique o pessoal, as obrigações legais e os recursos internos e externos que ajudariam sua organização a responder a um incidente. 

Para definir sua abordagem de resposta a incidentes na nuvem, com a participação de outras equipes (como consultoria jurídica, liderança, partes interessadas de negócios, serviços do AWS Support e outras), você deve identificar as principais partes interessadas, pessoal e contatos relevantes. Para reduzir a dependência e diminuir o tempo de resposta, certifique-se de que sua equipe, equipes de segurança especializadas e respondentes sejam instruídos sobre os serviços que você usa e tenham a oportunidade de praticar.

É recomendável identificar parceiros externos de segurança da AWS que possam fornecer experiência externa e uma perspectiva diferente para aumentar seus recursos de resposta. Os parceiros de segurança confiáveis podem ajudá-lo a identificar possíveis riscos ou ameaças com os quais você talvez não esteja familiarizado.

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto 

## Orientação de implementação
<a name="implementation-guidance"></a>
+  Identifique o pessoal-chave em sua organização: mantenha uma lista de contatos da sua organização que você precisaria acionar para responder e recuperar-se de um incidente. 
+  Identifique parceiros externos: entre em contato com parceiros externos, se necessário, que possam ajudar você a responder e se recuperar de um incidente. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [AWS Incident Response Guide (Guia de resposta a incidentes da AWS)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 

 **Vídeos relacionados:** 
+  [Prepare for and respond to security incidents in your AWS environment (Prepare-se e responda a incidentes de segurança no ambiente da AWS) ](https://youtu.be/8uiO0Z5meCs)

 **Exemplos relacionados:** 

# SEC10-BP02 Desenvolver planos de gerenciamento de incidentes
<a name="sec_incident_response_develop_management_plans"></a>

 Crie planos para ajudar a responder, a se comunicar e a se recuperar de um incidente. Por exemplo, você pode começar com um plano de resposta a incidentes com os cenários mais prováveis para sua carga de trabalho e organização. Inclua como você se comunicaria e escalaria interna e externamente. 

 **Nível de risco exposto se essa prática recomendada não for estabelecida:** alto 

## Orientação para implementação
<a name="implementation-guidance"></a>

 Um plano de gerenciamento de incidentes é fundamental para responder, mitigar e se recuperar de possíveis impactos de incidentes de segurança. Um plano de gerenciamento de incidentes é um processo estruturado de identificação, correção e resposta em tempo hábil a incidentes de segurança. 

 A nuvem tem muitos dos mesmos requisitos e perfis operacionais encontrados em um ambiente on-premises. Ao criar um plano de gerenciamento de incidentes, é importante definir estratégias de resposta e recuperação que se alinhem melhor aos seus resultados empresariais e requisitos de conformidade. Por exemplo, se você opera workloads na AWS em conformidade com o FedRAMP nos Estados Unidos, é útil aderir ao [Guia de tratamento de segurança de computadores NIST SP 800-61](https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf). Da mesma forma, ao operar workloads com dados europeus de PII (informações de identificação pessoal), considere cenários como a forma como você deve se proteger e responder a incidentes relacionados à residência de dados, conforme exigido pela [Regulamentação Geral de Proteção de Dados (GDPR) da UE](https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en). 

 Ao criar um plano de gerenciamento de incidentes para suas workloads em operação na AWS, comece com o [Modelo de responsabilidade compartilhada da AWS](https://aws.amazon.com/compliance/shared-responsibility-model/), para elaborar uma abordagem de defesa profunda em relação à resposta a incidentes. Nesse modelo, a AWS gerencia a segurança da nuvem, e você é responsável pela segurança na nuvem. Isso significa que você mantém o controle e é responsável pelos controles de segurança que escolhe implementar. O [AWS Security Incident Response Guide (Guia de resposta a incidentes de segurança da AWS)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) detalha os conceitos e as orientações básicas para criar um plano de gerenciamento de incidentes centrado na nuvem.

 Um plano de gerenciamento de incidentes eficaz deve ser continuamente iterado e permanecer atualizado com relação às suas metas de operações de nuvem. Considere o uso dos planos de implementação detalhados abaixo, à medida que cria e evolui seu plano de gerenciamento de incidentes. 
+  **Promova instrução e treinamento para a resposta a incidentes:** quando ocorre um desvio de sua referência básica definida (por exemplo, um erro de implantação ou de configuração), você pode precisar investigar e dar uma resposta. Para fazer isso com sucesso, é necessário entender quais controles e recursos podem ser usados para a resposta ao incidente de segurança em seu ambiente da AWS, bem como os processos que você deve considerar para preparar, instruir e treinar suas equipes de nuvem que participam da resposta a um incidente. 
  +  [Manuais](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_ready_to_support_use_playbooks.html) e [runbooks](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_ready_to_support_use_runbooks.html) são mecanismos eficazes para criar consistência no treinamento de como responder a incidentes. Comece criando uma lista inicial de procedimentos executados com frequência durante a resposta a um incidente e continue a iterar à medida que você aprende ou usa novos procedimentos. 
  +  Socialize os manuais e runbooks por meio de [dias de jogos agendados](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_run_game_days.html). Durante os dias de jogos, simule a resposta a incidentes em um ambiente controlado para que sua equipe possa se lembrar de como responder e para verificar se as equipes envolvidas na resposta a incidentes conhecem bem os fluxos de trabalho. Revise os resultados do evento simulado para identificar melhorias e determinar a necessidade de mais treinamento ou ferramentas adicionais. 
  +  A segurança deve ser considerada um trabalho de todos. Crie um conhecimento coletivo do processo de gerenciamento de incidentes envolvendo todo o pessoal que geralmente opera suas workloads. Isso inclui todos os aspectos de sua empresa: operações, teste, desenvolvimento, segurança, operações empresariais e líderes da empresa. 
+  **Documente o plano de gerenciamento de incidentes:** Documente as ferramentas e os processos para registrar, tomar medidas, comunicar o andamento e notificar sobre os incidentes ativos. A meta do plano de gerenciamento de incidentes é verificar se a operação normal é restaurada o mais rapidamente possível, se o impacto empresarial é minimizado e se todas as partes interessadas são informadas. Exemplos de incidentes incluem (mas não se restringem a) perda ou degradação da conectividade de rede, uma API ou um processo que não responde, uma tarefa programada não realizada (por exemplo, falha na aplicação de patches), indisponibilidade de serviço ou dados da aplicação, interrupção não planejada do serviço devido a eventos de segurança, vazamento de credenciais ou erros de configuração. 
  +  Identifique o proprietário principal responsável pela resolução do incidente, como o proprietário da workload. Tenha orientações claras de quem vai gerenciar o incidente e de como a comunicação será tratada. Quando você tem mais de uma parte participando do processo de resolução do incidente, como um fornecedor externo, considere a criação de uma *matriz de responsabilidade (RACI)*, detalhando as funções e responsabilidades de várias equipes ou pessoas necessárias para a resolução do incidente. 

     Uma matriz de RACI detalha o seguinte: 
    +  **R:** *parte responsável* que faz o trabalho para concluir a tarefa. 
    +  **A:** *parte atribuída* com autoridade financeira pela conclusão bem-sucedida da tarefa específica. 
    +  **C:** *parte consultada* cujas opiniões são procuradas, geralmente como especialistas no assunto. 
    +  **I:** *parte informada* que é notificada sobre o andamento, geralmente apenas depois da conclusão da tarefa ou dos resultados. 
+  **Categorize os incidentes:** definir e categorizar incidentes com base em pontuações de gravidade e impacto permite uma abordagem estruturada para fazer a triagem e solucionar os incidentes. As recomendações a seguir ilustram uma *matriz de urgência do impacto à resolução* para quantificar um incidente. Por exemplo, um incidente de baixo impacto e baixa urgência é considerado um incidente de baixa gravidade. 
  +  **Alto (H):** sua empresa é afetada significativamente. Funções críticas de sua aplicação relacionadas aos recursos da AWS ficam indisponíveis. Classificação reservada para a maioria dos eventos críticos que afetam os sistemas de produção. O impacto do incidente aumenta rapidamente, fazendo com que a correção precise ocorrer o mais rapidamente possível. 
  +  **Médio (M):** uma aplicação ou um serviço da empresa relacionado aos recursos da AWS é afetado moderadamente e funciona em um estado degradado. Aplicações que contribuem com os objetivos do nível de serviço (SLOs) são afetadas dentro dos limites do Acordo de Serviço (SLA). Os sistemas podem ser operados com capacidade reduzida sem muito impacto financeiro e de reputação. 
  +  **Baixo (L):** funções não críticas de sua aplicação ou serviço empresarial relacionado aos recursos da AWS são afetadas. Os sistemas podem ser operados com capacidade reduzida com impacto financeiro e de reputação mínimo. 
+  **Padronize os controles de segurança:** a meta da padronização dos controles de segurança é obter consistência, rastreabilidade e repetibilidade com relação aos resultados operacionais. Promova a padronização em atividades principais que sejam críticas para a resposta a incidentes, como: 
  +  **Gerenciamento de identidade e acesso:** estabeleça mecanismos para controlar o acesso aos dados e gerenciar privilégios para identidades humanas e de máquina. Amplie o gerenciamento de sua própria identidade e acesso para a nuvem, usando segurança federada com autenticação única e privilégios baseados em funções para otimizar o gerenciamento de acesso. Para ver as práticas recomendadas e os planos de melhoria para padronizar o gerenciamento de acesso, consulte a [seção de gerenciamento de identidade e acesso](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/identity-and-access-management.html) do whitepaper Security Pillar (Pilar de segurança). 
  +  **Gerenciamento de vulnerabilidades:** estabeleça mecanismos para identificar vulnerabilidades em seu ambiente da AWS que tenha a probabilidade de ser usado por invasores para comprometer e fazer uso indevido de seu sistema. Implemente controles de prevenção e detecção, como mecanismos de segurança, para responder e mitigar o possível impacto dos incidentes de segurança. Padronize processos como a modelagem de ameaças como parte do ciclo de vida de entrega de aplicações e compilação de infraestrutura.
  +  **Gerenciamento de configurações:** Defina configurações padrão e automatize procedimentos para implantar recursos na Nuvem AWS. Padronizar o provisionamento de recursos e infraestrutura ajuda a mitigar o risco de erros de configuração por meio de implantações incorretas ou erros de configuração acidentais por humanos. Consulte a [seção de princípios do projeto](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/design-principles.html) do whitepaper Operational Excellence Pillar (Pilar de excelência operacional) a fim de obter orientações e planos de melhoria para implementar esse controle.
  +  **Registro e monitoramento do controle de auditoria:** implemente mecanismos para monitorar seus recursos em busca de falhas, degradação do desempenho e problemas de segurança. Padronizar esses controles também fornece trilhas de atividades de auditoria que ocorrem em seu sistema, ajudando a fazer a triagem e a correção dos problemas em tempo hábil. As práticas recomendadas em [SEC04 (“Como você detecta e investiga eventos de segurança?”)](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html) fornecem orientações de implementação desse controle.
+  **Use a automação:** a automação permite solucionar o incidente em larga escala e em tempo hábil. A AWS oferece vários serviços para automatização no contexto da estratégia de resposta a incidentes. Concentre-se em encontrar o equilíbrio adequado entre a automação e a intervenção manual. À medida que você cria sua resposta a incidentes em manuais e runbooks, automatize as etapas repetíveis. Use os serviços da AWS, como o AWS Systems Manager Incident Manager para [solucionar incidentes de TI mais rapidamente](https://aws.amazon.com/blogs/aws/resolve-it-incidents-faster-with-incident-manager-a-new-capability-of-aws-systems-manager/). Use [ferramentas de desenvolvedor](https://aws.amazon.com/devops/) para fornecer controle de versão e automatizar o [Amazon Machine Images (AMI)](https://aws.amazon.com/amis/) e implantações de infraestrutura como código (IaC) sem intervenção humana. Quando aplicável, automatize a detecção e a avaliação de conformidade usando serviços gerenciados, como o Amazon GuardDuty, o Amazon Inspector, o AWS Security Hub CSPM, o AWS Config e o Amazon Macie. Otimize os recursos de detecção com machine learning, como o Amazon DevOps Guru, para detectar padrões de operação anormais antes que eles ocorram. 
+  **Realize uma análise da causa raiz e coloque em prática as lições aprendidas:** implemente mecanismos para guardar as lições aprendidas como parte de uma avaliação após a resposta a incidentes. Quando a causa raiz de um incidente revela um defeito maior, uma falha de projeto, um erro de configuração ou uma possibilidade de recorrência, ele é classificado como um problema. Nesses casos, analise e resolva o problema para minimizar a interrupção de operações normais. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [AWS Security Incident Response Guide (Guia de resposta a incidentes de segurança da AWS)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 
+ [ NIST: Guia de tratamento de incidentes de segurança de computadores ](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)

 **Vídeos relacionados:** 
+  [Automating Incident Response and Forensics in AWS (Automação de resposta a incidentes e investigações forenses na AWS) ](https://youtu.be/f_EcwmmXkXk)
+ [ Guia DIY (faça você mesmo) para runbooks, relatórios de incidentes e resposta a incidentes ](https://www.youtube.com/watch?v=E1NaYN_fJUo)
+ [ Prepare for and respond to security incidents in your AWS environment (Prepare-se e responda a incidentes de segurança no ambiente da AWS) ](https://www.youtube.com/watch?v=8uiO0Z5meCs)

 **Exemplos relacionados:** 
+  [Lab: Incident Response Playbook with Jupyter - AWS IAM (Laboratório: Manual de resposta a incidentes com o Jupyter: AWS IAM)](https://www.wellarchitectedlabs.com/Security/300_Incident_Response_Playbook_with_Jupyter-AWS_IAM/README.html) 
+ [ Lab: Incident Response with AWS Console and CLI (Laboratório: resposta a incidentes com o console e a CLI da AWS) ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)

# SEC10-BP03 Preparar recursos forenses
<a name="sec_incident_response_prepare_forensic"></a>

 É importante que os respondentes a incidentes entendam quando e como a investigação forense se encaixa no plano de resposta. A organização deve definir quais evidências são coletadas e quais ferramentas são usadas no processo. Identifique e prepare recursos de investigação forense adequados, incluindo especialistas externos, ferramentas e automação. Uma decisão importante que você deve tomar inicialmente é se você coletará dados de um sistema ativo. Alguns dados, como o conteúdo da memória volátil ou conexões de rede ativas, serão perdidos se o sistema for desligado ou reinicializado. 

A equipe de resposta pode combinar ferramentas, como AWS Systems Manager, Amazon EventBridge e AWS Lambda, para executar automaticamente ferramentas forenses em um sistema operacional e espelhamento de tráfego de VPC para obter uma captura de pacote de rede e coletar evidências não persistentes. Conduza outras atividades, como análise de log ou análise de imagens de disco, em uma conta de segurança dedicada com estações de trabalho forenses personalizadas e ferramentas acessíveis a seus respondentes.

Envie logs relevantes rotineiramente para um armazenamento de dados que oferece alta durabilidade e integridade. Os respondentes devem ter acesso a esses logs. A AWS oferece várias ferramentas que podem facilitar a investigação de logs, como Amazon Athena, Amazon OpenSearch Service (OpenSearch Service) e Amazon CloudWatch Logs Insights. Além disso, preserve a evidência com segurança usando o Amazon Simple Storage Service (Amazon S3) Object Lock. Esse serviço segue o modelo de gravação única e várias leituras (WORM) e evita que objetos sejam excluídos ou substituídos por um período definido. Como as técnicas de investigação pericial exigem treinamento especializado, pode ser necessário envolver especialistas externos.

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Médio 

## Orientação de implementação
<a name="implementation-guidance"></a>
+  Identifique os recursos forenses: pesquise os recursos de investigação forense da sua organização, as ferramentas disponíveis e os especialistas externos. 
+  [Automatização de resposta a incidentes e forense ](https://youtu.be/f_EcwmmXkXk)

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [How to automate forensic disk collection in AWS (Como automatizar a coleta de disco forense na AWS)](https://aws.amazon.com/blogs/security/how-to-automate-forensic-disk-collection-in-aws/) 

# SEC10-BP04 Automatizar a capacidade de contenção
<a name="sec_incident_response_auto_contain"></a>

Automatize os recursos de contenção e recuperação de incidentes para reduzir o tempo de resposta e o impacto organizacional. 

Depois de criar e praticar os processos e as ferramentas com seus playbooks, você poderá desconstruir a lógica de uma solução baseada em código, que pode ser usada como ferramenta por muitos respondentes para automatizar a resposta e remover variações ou suposições dos respondentes. Isso pode acelerar o ciclo de vida de uma resposta. O próximo objetivo é permitir a total automatização desse código por meio da invocação dos alertas ou dos eventos por si mesmo, e não por um respondente humano, para criar uma resposta orientada por eventos. Esses processos também devem adicionar automaticamente dados relevantes aos sistemas de segurança. Por exemplo, um incidente envolvendo o tráfego de um endereço IP indesejado pode preencher automaticamente uma lista de bloqueios do AWS WAF ou um grupo de regras de firewall de rede para evitar mais atividades.

![\[AWS architecture diagram showing WAF WebACL logs processing and IP address blocking flow between accounts.\]](http://docs.aws.amazon.com/pt_br/wellarchitected/2022-03-31/framework/images/aws-waf-automate-block.png)


*Figura 3: O AWS WAF automatiza o bloqueio de endereços IP maliciosos conhecidos.*

Com um sistema de resposta orientado por eventos, um mecanismo de detecção aciona um mecanismo responsivo para corrigir automaticamente o evento. Você pode usar recursos de resposta orientados por eventos para reduzir o tempo de retorno entre os mecanismos de detecção e os mecanismos responsivos. Para criar essa arquitetura orientada por eventos, é possível usar o AWS Lambda, que é um serviço de computação sem servidor que executa o código em resposta a eventos e gerencia automaticamente os recursos computacionais subjacentes. Por exemplo, suponha que você tenha uma conta da AWS com o serviço AWS CloudTrail habilitado. Se o AWS CloudTrail estiver desabilitado (por meio da chamada de API `cloudtrail:StopLogging` ), você pode usar o Amazon EventBridge para monitorar o evento `cloudtrail:StopLogging` específico e invocar uma função do AWS Lambda para chamar `cloudtrail:StartLogging` para reiniciar o registro em log. 

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Médio 

## Orientação de implementação
<a name="implementation-guidance"></a>

 Automatize a capacidade de contenção. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+ [AWS Incident Response Guide (Guia de resposta a incidentes da AWS)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 

 **Vídeos relacionados:** 
+  [Prepare for and respond to security incidents in your AWS environment (Prepare-se e responda a incidentes de segurança no ambiente da AWS)](https://youtu.be/8uiO0Z5meCs) 

# SEC10-BP05 Acesso pré-provisionado
<a name="sec_incident_response_pre_provision_access"></a>

Verifique se os respondentes a incidentes têm o acesso correto pré-provisionado na AWS para reduzir o tempo de investigação necessário até a recuperação.

 **Antipadrões comuns:** 
+  Uso da conta raiz para a resposta a incidentes. 
+  Alteração de contas de usuário existentes. 
+  Manipulação de permissões do IAM diretamente ao fornecer elevação de privilégios just-in-time. 

 **Nível de risco exposto se essa prática recomendada não for estabelecida:** Médio 

## Orientação para implementação
<a name="implementation-guidance"></a>

A AWS recomenda reduzir ou eliminar a dependência de credenciais de longa duração sempre que possível, dando preferência a credenciais temporárias e *a mecanismos de escalação de privilégios* just-in-time. As credenciais de longa duração são propensas a riscos de segurança e aumentam a sobrecarga operacional. Para a maioria das tarefas de gerenciamento, bem como tarefas de resposta a incidentes, recomendamos a implementação da [federação de identidades](https://docs.aws.amazon.com/identity/federation/) junto com a [escalação temporária para acesso administrativo](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/). Nesse modelo, um usuário solicita elevação a um nível superior de privilégio (como um perfil de resposta a incidentes) e, considerando que ele seja elegível para a elevação, a solicitação é enviada a um aprovador. Se a solicitação for aprovada, o usuário receberá um conjunto de credenciais [temporárias da AWS,](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) que podem ser usadas para concluir suas tarefas. Depois que essas credenciais expirarem, o usuário deve enviar uma nova solicitação de elevação.

 Recomendamos o uso da escalação de privilégio temporária para a maioria dos cenários de resposta a incidentes. A maneira correta de fazer isso é com o uso do [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) e [de políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) para definir o escopo de acesso. 

 Há cenários em que as identidades federadas não estão disponíveis, como: 
+  Interrupção relacionada a um provedor de identidades (IdP) comprometido. 
+  Erro de configuração ou erro humano causando uma falha no sistema de gerenciamento de acesso federado. 
+  Atividade mal-intencionada, como um evento de negação de serviço distribuído (DDoS) ou indisponibilidade de renderização do sistema. 

 Nos casos anteriores, deverá haver um acesso de emergência de *breaking-glass* configurado para permitir a investigação e a correção em tempo hábil dos incidentes. Recomendamos a utilização de um [usuário do IAM com as permissões apropriadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials) para realizar tarefas e acessar os recursos da AWS. Use as credenciais raiz somente para [tarefas que exijam o acesso do usuário raiz](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html). Para verificar se os respondentes de um incidente têm o nível de acesso correto à AWS e a outros sistemas relevantes, recomendamos o pré-provisionamento de contas de usuário dedicadas. As contas de usuário exigem acesso privilegiado e devem ser estritamente controladas e monitoradas. As contas devem ser criadas com os menores privilégios exigidos para realizar as tarefas necessárias, e o nível de acesso deve ser baseado nos manuais criados como parte do plano de gerenciamento de incidentes. 

 Utilize perfis e usuários dedicados e com propósito específico como uma prática recomendada. Escalar temporariamente o acesso de usuários ou perfis por meio da adição de políticas do IAM não deixa claro qual é o acesso que os usuários tinham durante o incidente, e há um risco de que os privilégios escalados não sejam revogados. 

 É importante remover o máximo de dependências possível para verificar se o acesso pode ser obtido com o maior número possível de cenários de falha. Para apoiar isso, crie um manual para verificar se os usuários de resposta a incidentes são criados como usuários do AWS Identity and Access Management em uma conta de segurança dedicada, e não são gerenciados por nenhuma solução de autenticação única (SSO) ou federação. Cada respondente individual deve ter sua própria conta nomeada. A configuração da conta deve aplicar uma [política de senha forte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) e a autenticação multifator (MFA). Se os manuais de resposta a incidentes só exigem acesso ao Console de gerenciamento da AWS, o usuário não deve ter chaves de acesso configuradas e deve ser proibido explicitamente de criar chaves de acesso. Isso pode ser configurado com políticas do IAM ou políticas de controle de serviços (SCPs), conforme mencionado nas Práticas recomendadas de segurança da AWS para [SCPs do AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html). Os usuários não devem ter privilégios além da capacidade de assumir perfis de resposta a incidentes em outras contas. 

 Durante um incidente, pode ser necessário conceder acesso a outros indivíduos internos ou externos para apoiar a investigação, a correção ou as atividades de recuperação. Nesse caso, use o mecanismo do manual mencionado anteriormente, e deve haver um processo para verificar se qualquer acesso adicional foi revogado imediatamente após a conclusão do incidente. 

 Para verificar se o uso de perfis de resposta a incidentes pode ser monitorado e auditado corretamente, é essencial que as contas de usuário do IAM criadas para esse fim não sejam compartilhadas entre indivíduos e que o usuário raiz da Conta da AWS não seja utilizado, a menos que isso seja [exigido para uma tarefa específica](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html). Se o usuário raiz for exigido (por exemplo, quando o acesso do IAM a uma conta específica estiver indisponível), use um processo distinto com um manual disponível para verificar a disponibilidade da senha e do token de MFA do usuário raiz. 

 Para configurar as políticas do IAM para os perfis de resposta a incidentes, considere o uso do [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) para gerar políticas baseadas em logs do AWS CloudTrail. Para fazer isso, conceda acesso de administrador ao perfil de resposta a incidentes em uma conta de não produção e execute de acordo com os manuais. Depois da conclusão, pode ser criada uma política que permita somente as ações realizadas. Essa política pode ser então aplicada a todos os perfis de resposta a incidentes em todas as contas. Você pode criar uma política do IAM separada para cada manual a fim de facilitar o gerenciamento e a auditoria. Exemplos de manuais podem incluir planos de resposta para ransomware, violações de dados, perda de acesso da produção, dentre outros cenários. 

 Use as contas de usuário de resposta a incidentes para assumir funções do [IAM de resposta a incidentes em outras Contas da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html). Esses perfis também devem ser configurados para só poderem ser assumidos por usuários na conta de segurança, e o relacionamento de confiança deve exigir que a entidade principal que está fazendo a chamada seja autenticada com MFA. Os perfis devem usar políticas do IAM com escopo estritamente definido para controlar o acesso. Garanta que todas as solicitações `AssumeRole` para esses perfis estejam conectadas no CloudTrail e sejam alertadas, e que as ações realizadas usando esses perfis sejam registradas. 

 É altamente recomendável que as contas de usuário do IAM e os perfis do IAM sejam claramente nomeados para permitir que sejam encontrados com facilidade nos logs do CloudTrail. Um exemplo disso seria nomear as contas do IAM como `<USER_ID>-BREAK-GLASS` e os perfis do IAM como `BREAK-GLASS-ROLE`. 

 [O CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) é usado para registrar as atividades da API em suas contas da AWS e deve ser usado para [configurar alertas sobre o uso dos perfis de resposta a incidentes](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/). Consulte a publicação do blog sobre como configurar alertas quando as chaves raiz são usadas. As instruções podem ser modificadas para configurar a métrica do [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) filtro a filtro em eventos `AssumeRole` relacionados ao perfil do IAM de resposta a incidentes: 

```
{ $.eventName = "AssumeRole" && $.requestParameters.roleArn = "<INCIDENT_RESPONSE_ROLE_ARN>" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }
```

 Como é provável que os perfis de resposta a incidentes tenham um alto nível de acesso, é importante que esses alertas sejam transmitidos a um grande grupo e que sejam tomadas atitudes rapidamente. 

 Durante um incidente, é possível que um respondente possa exigir acesso a sistemas que não são protegidos diretamente pelo IAM. Isso pode incluir instâncias do Amazon Elastic Compute Cloud, bancos de dados do Amazon Relational Database Service ou plataformas de software como serviço (SaaS). É altamente recomendável que, em vez de usar protocolos nativos, como SSH ou RDP, o [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) seja usado para todo acesso administrativo a instâncias do Amazon EC2. Esse acesso pode ser controlado usando o IAM, que é protegido e auditado. Também pode ser possível automatizar partes de seus manuais usando os documentos do [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html), o que pode reduzir os erros do usuário e melhorar o tempo de recuperação. Para acesso aos bancos de dados e a ferramentas de terceiros, recomendamos armazenar as credenciais de acesso no AWS Secrets Manager e conceder acesso aos perfis de respondente a incidentes. 

 Por fim, o gerenciamento das contas de usuário do IAM de resposta a incidentes deve ser adicionado aos seus processos de [junção, migração e saída,](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/permissions-management.html) além de ser revisado e testado periodicamente visando confirmar se somente o acesso pretendido é permitido. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [Managing temporary elevated access to your AWS environment (Gerenciamento de acesso elevado temporário ao seu ambiente da AWS)](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/) 
+  [AWS Security Incident Response Guide (Guia de resposta a incidentes de segurança da AWS) ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+  [AWS Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/) 
+  [AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html) 
+  [Setting an account password policy for IAM users (Definição de uma política de senhas de contas para usuários do IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) 
+  [Using multi-factor authentication (MFA) in AWS (Uso da autenticação multifator (MFA) na AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) 
+ [ Configuring Cross-Account Access with MFA (Configuração do acesso entre contas com MFA) ](https://aws.amazon.com/blogs/security/how-do-i-protect-cross-account-access-using-mfa-2/)
+ [ Using IAM Access Analyzer to generate IAM policies (Uso do IAM Access Analyzer para gerar políticas do IAM) ](https://aws.amazon.com/blogs/security/use-iam-access-analyzer-to-generate-iam-policies-based-on-access-activity-found-in-your-organization-trail/)
+ [ Best Practices for AWS Organizations Service Control Policies in a Multi-Account Environment (Práticas recomendadas para políticas de controle de serviço do AWS Organizations em um ambiente de várias contas) ](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [ How to Receive Notifications When Your AWS Account’s Root Access Keys Are Used (Como receber notificações quando as chaves de acesso raiz da sua conta da AWS são usadas) ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ [ Create fine-grained session permissions using IAM managed policies (Criar permissões de sessão refinadas usando políticas gerenciadas pelo IAM) ](https://aws.amazon.com/blogs/security/create-fine-grained-session-permissions-using-iam-managed-policies/)

 **Vídeos relacionados:** 
+ [ Automating Incident Response and Forensics in AWS (Automação de resposta a incidentes e investigações forenses na AWS) ](https://www.youtube.com/watch?v=f_EcwmmXkXk)
+  [Guia DIY (faça você mesmo) para runbooks, relatórios de incidentes e resposta a incidentes](https://youtu.be/E1NaYN_fJUo) 
+ [ Prepare for and respond to security incidents in your AWS environment (Prepare-se e responda a incidentes de segurança no ambiente da AWS) ](https://www.youtube.com/watch?v=8uiO0Z5meCs)

 **Exemplos relacionados:** 
+ [ Lab: AWS Account Setup and Root User (Laboratório: usuário raiz e configuração de conta da AWS) ](https://www.wellarchitectedlabs.com/security/300_labs/300_incident_response_playbook_with_jupyter-aws_iam/)
+ [ Lab: Incident Response with AWS Console and CLI (Laboratório: resposta a incidentes com o console e a CLI da AWS) ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)

# SEC10-BP06 Ferramentas pré-implantação
<a name="sec_incident_response_pre_deploy_tools"></a>

 garanta que o pessoal de segurança tenha as ferramentas certas pré-implantadas na AWS para reduzir o tempo de investigação até a recuperação. 

Para automatizar as funções de engenharia e operações de segurança, você pode usar um conjunto abrangente de APIs e ferramentas da AWS. Você pode automatizar totalmente os recursos de gerenciamento de identidade, segurança de rede, proteção de dados e monitoramento e disponibilizá-los com métodos populares de desenvolvimento de software já em vigor. Quando você cria a automação da segurança, seu sistema pode monitorar, analisar e iniciar uma resposta, em vez de fazer com que as pessoas monitorem a sua posição de segurança e reajam manualmente a eventos. Uma maneira eficaz de fornecer automaticamente dados de log relevantes e pesquisáveis em todos os serviços da AWS para seus atendentes de incidentes é habilitar o [Amazon Detective](https://aws.amazon.com/detective/).

Se as equipes de resposta a incidentes continuarem a responder aos alertas da mesma forma, há o risco de se acostumarem aos alertas. Com o passar do tempo, a equipe pode se tornar dessensibilizada para alertas e cometer erros ao lidar com situações comuns ou perder alertas incomuns. A automação ajuda a evitar a exaustão de alertas usando funções que processam alertas repetitivos e comuns, permitindo que as pessoas lidem com incidentes confidenciais e exclusivos. A integração de sistemas de detecção de anomalias, como Amazon GuardDuty, AWS CloudTrail Insights e Amazon CloudWatch Anomaly Detection, pode reduzir a carga de alertas baseados em limites comuns.

Você pode melhorar os processos manuais com a automatização programática das etapas do processo. Depois de definir o padrão de correção para um evento, você pode decompor esse padrão em lógica acionável e desenvolver o código para executar essa lógica. Os respondentes podem executar esse código para corrigir o problema. Com o passar do tempo, você pode automatizar mais e mais etapas e, por fim, lidar automaticamente com classes inteiras de incidentes comuns.

As ferramentas executadas no sistema operacional da instância do Amazon Elastic Compute Cloud (Amazon EC2) devem ser avaliadas com Run Command do AWS Systems Manager, que permite administrar instâncias de forma remota e segura usando um agente que você instala no sistema operacional de instância do Amazon EC2. Ele requer o Systems Manager Agent (SSM Agent), que é instalado por padrão em muitas imagens de máquina da Amazon (AMIs). Porém, lembre-se de que, se uma instância for comprometida, nenhuma resposta das ferramentas ou dos agentes que ela executa será considerada confiável.

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Baixo 

## Orientação de implementação
<a name="implementation-guidance"></a>
+  Pré-implante as ferramentas: para que uma resposta apropriada possa ser dada a um incidente, assegure que a equipe de segurança tenha as ferramentas certas pré-implantadas na AWS. 
  +  [Laboratório: Resposta a incidentes com a CLI e o Console de gerenciamento da AWS](https://wellarchitectedlabs.com/Security/300_Incident_Response_with_AWS_Console_and_CLI/README.html)
  + [ Playbook de resposta a incidentes com o Jupyter: AWS IAM ](https://wellarchitectedlabs.com/Security/300_Incident_Response_Playbook_with_Jupyter-AWS_IAM/README.html)
  +  [AWS Security Automation ](https://github.com/awslabs/aws-security-automation)
+  Implemente a marcação de recursos: marque recursos com informações, como um código para o recurso sob investigação, para identificar recursos durante um incidente. 
  + [ Estratégias de marcação da AWS](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/)

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [AWS Incident Response Guide (Guia de resposta a incidentes da AWS) ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)

 **Vídeos relacionados:** 
+  [ DIY guide to runbooks, incident reports, and incident response ](https://youtu.be/E1NaYN_fJUo)

# SEC10-BP07 Promover dias de jogo
<a name="sec_incident_response_run_game_days"></a>

dias de jogos, também conhecidos como simulações ou exercícios, são eventos internos que oferecem uma oportunidade estruturada para praticar seus planos e procedimentos de gerenciamento de incidentes em um cenário realista. Esses eventos devem treinar os respondentes usando as mesmas ferramentas e técnicas que seriam usadas em um cenário real, inclusive imitando ambientes reais. Os dias de jogos abrangem fundamentalmente a preparação e a melhoria iterativa dos recursos de resposta. Alguns dos motivos pelos quais você pode encontrar valor na execução de atividades do dia do jogo incluem: 
+ Validar a prontidão
+ Desenvolver confiança - aprendizado com simulações e equipes de treinamento
+ Seguir a conformidade ou obrigações contratuais
+ Gerar artefatos para credenciamento
+ Ser ágil - melhorias incrementais
+ Tornar-se mais rápido e melhorar ferramentas
+ Refinar a comunicação e a escalação
+ Ter tranquilidade diante de eventos raros e inesperados

Por esses motivos, o valor derivado da participação em uma atividade de simulação aumenta a eficácia da organização durante eventos estressantes. Desenvolver uma atividade de simulação que seja realista e benéfica pode ser um exercício difícil. Embora testar seus procedimentos ou automação para eventos bem compreendidos tenha certas vantagens, é igualmente valioso participar de atividades criativas de [Simulações de resposta a incidentes de segurança (SIRS)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/security-incident-response-simulations.html) para preparar você para o inesperado e melhorar continuamente.

Crie simulações personalizadas sob medida para ambientes, equipes e ferramentas. Encontre um problema e crie a simulação com base nele. Pode ser algo como uma credencial vazada, um servidor se comunicando com sistemas indesejados ou uma configuração incorreta que resulta em exposição não autorizada. Identifique engenheiros que estão familiarizados com a organização para criar o cenário e outro grupo para participar. O cenário deve ser realista e desafiador o suficiente para ser relevante. Ele deve incluir a oportunidade de colocar na prática registros em log, notificações, escalonamentos e execução de runbooks ou automação. Durante a simulação, os respondentes devem exercitar suas habilidades técnicas e organizacionais, e os líderes devem participar para desenvolver suas habilidades de gerenciamento de incidentes. No final da simulação, comemore os esforços da equipe e procure formas de iterar, repetir e expandir para outras simulações.

[A AWS criou modelos de runbook de resposta a incidentes](https://github.com/aws-samples/aws-incident-response-playbooks) que você pode usar não apenas para preparar os esforços de resposta, mas também como base para uma simulação. Ao planejar, uma simulação pode ser dividida em cinco fases.

**Coleta de provas: **nesta fase, uma equipe receberá alertas por diversos meios, como sistema interno de tíquetes, alertas de ferramentas de monitoramento, dicas anônimas ou até notícias públicas. Em seguida, as equipes começam a revisar os logs de infraestrutura e aplicações para determinar a origem do comprometimento. Esta etapa também deve envolver escalações internas e liderança de incidentes. Após a identificação, as equipes passam a conter o incidente.

**Contenção do incidente: **as equipes terão determinado que houve um incidente e estabelecido a fonte do comprometimento. As equipes agora devem tomar medidas para contê-lo, por exemplo, desabilitando credenciais comprometidas, isolando um recurso de computação ou revogando a permissão de uma função.

**Erradicação do incidente: **agora que o incidente foi contido, as equipes trabalharão para mitigar quaisquer vulnerabilidades em aplicações ou configurações de infraestrutura que eram suscetíveis ao comprometimento. Isso pode incluir a alternância de todas as credenciais usadas para uma workload, a modificação de listas de controle de acesso (ACLs) ou a alteração das configurações de rede.

**Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Médio

## Orientações para a implementação
<a name="implementation-guidance"></a>
+  Executar [dias de jogo](https://wa.aws.amazon.com/wat.concept.gameday.en.html): execute eventos simulados [de resposta](https://wa.aws.amazon.com/wat.concept.incident.en.html) a incidentes [(dias de jogo)](https://wa.aws.amazon.com/wat.concept.event.en.html) para diferentes ameaças que envolvem equipe e gerenciamento importantes. 
+  Guardar as lições aprendidas: lições aprendidas durante os [dias de jogo](https://wa.aws.amazon.com/wat.concept.gameday.en.html) devem fazer parte de uma análise de feedback para melhorar seus processos. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+ [AWS Incident Response Guide (Guia de resposta a incidentes da AWS)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 
+ [AWS Elastic Disaster Recovery](https://aws.amazon.com/cloudendure-disaster-recovery/) 

 **Vídeos relacionados:** 
+ [ DIY guide to runbooks, incident reports, and incident response ](https://youtu.be/E1NaYN_fJUo)