# SEC04-BP03 Correlacionar e enriquecer alertas de segurança
<a name="sec_detect_investigate_events_security_alerts"></a>

 Atividades inesperadas podem gerar vários alertas de segurança de diferentes fontes, exigindo mais correlação e enriquecimento para entender o contexto completo. Implemente a correlação automatizada e o enriquecimento de alertas de segurança para ajudar a obter identificações e respostas mais precisas a incidentes. 

 **Resultado desejado:** à medida que a atividade gera alertas diferentes em seus ambientes e workloads, mecanismos automatizados correlacionam dados e enriquecem esses dados com informações adicionais. Esse pré-processamento apresenta uma compreensão mais detalhada do evento, o que ajuda os investigadores a determinar a importância do evento e se ele constitui um incidente que requer uma resposta formal. Esse processo reduz a carga sobre suas equipes de monitoramento e investigação. 

 **Práticas comuns que devem ser evitadas:** 
+  Diferentes grupos de pessoas investigam descobertas e alertas gerados por sistemas diferentes, a menos que seja exigido de outra forma pelos requisitos de separação de deveres.   
+  Sua organização canaliza todos os dados de detecção e alerta de segurança para locais padrão, mas exige que os investigadores realizem a correlação e o enriquecimento manualmente. 
+  Você depende exclusivamente da inteligência dos sistemas de detecção de ameaças para relatar descobertas e determinar a gravidade. 

 **Benefícios de implementar esta prática recomendada:** a correlação e o enriquecimento automatizados de alertas ajudam a reduzir a carga cognitiva geral e a preparação manual de dados exigidas de seus investigadores. Essa prática pode reduzir o tempo necessário para determinar se o evento representa um incidente e iniciar uma resposta formal. O contexto adicional também ajuda a avaliar com precisão a verdadeira gravidade de um evento, pois ela pode ser maior ou menor do que o sugerido por qualquer alerta. 

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Baixo  

## Orientação para implementação
<a name="implementation-guidance"></a>

 Os alertas de segurança podem vir de várias fontes diferentes na AWS, incluindo: 
+  Serviços como [Amazon GuardDuty](https://aws.amazon.com/guardduty/), [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/), [Amazon Macie](https://aws.amazon.com/macie/), [Amazon Inspector](https://aws.amazon.com/inspector/), [AWS Config](https://aws.amazon.com/config/), [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) e [Analisador de Acesso à Rede](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html) 
+  Alertas de análises automatizadas de logs de serviços, infraestrutura e aplicações da AWS, como do [Security Analytics for Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/security-analytics.html). 
+  Alarmes em resposta a alterações em sua atividade de faturamento de fontes como [Amazon CloudWatch](https://aws.amazon.com/cloudwatch), [Amazon EventBridge](https://aws.amazon.com/eventbridge/) ou [AWS Budgets](https://aws.amazon.com/aws-cost-management/aws-budgets/). 
+  Fontes de terceiros, como feeds de inteligência de ameaças e [soluções de parceiros de segurança](https://aws.amazon.com/security/partner-solutions/) da AWS Partner Network 
+  [Contato via AWS Trust & Safety](https://repost.aws/knowledge-center/aws-abuse-report) ou por outras fontes, como clientes ou funcionários internos. 
+  Use o [Threat Technique Catalog by AWS (TTC)](https://aws.amazon.com/blogs/security/aws-cirt-announces-the-launch-of-the-threat-technique-catalog-for-aws/) para auxiliar na identificação e correlação de comportamentos de agentes de ameaças por meio da identificação do indicador de comprometimento (IoC). O TTC é uma extensão do framework MITRE ATT&CK que categoriza todos os comportamentos e técnicas conhecidos e observados de agentes de ameaças direcionados aos recursos da AWS. 

 Em sua forma mais fundamental, os alertas contêm informações sobre quem (a *entidade principal* ou *identidade*) está fazendo o quê *(*a *ação* executada) a quê (os *recursos* afetados). Em cada uma dessas fontes, identifique se há maneiras de criar associações nos identificadores referentes a essas identidades, ações e recursos como base para realizar a correlação. Isso poderia ser integrar fontes de alerta a uma ferramenta de gerenciamento de eventos e informações de segurança (SIEM) para realizar a correlação automatizada para você, criar seus próprios pipelines e processamento de dados ou uma combinação de ambos. 

 Um exemplo de serviço que pode realizar a correlação para você é o [Amazon Detective](https://aws.amazon.com/detective). O Detective realiza a ingestão contínua de alertas de várias fontes da AWS e de terceiros e usa diferentes formas de inteligência com o objetivo de montar um grafo visual das respectivas relações para auxiliar nas investigações. 

 Embora a gravidade inicial de um alerta ajude na priorização, o contexto em que o alerta aconteceu determina sua verdadeira gravidade. Como exemplo, o [Amazon GuardDuty](https://aws.amazon.com/guardduty/) pode alertar que uma instância do Amazon EC2 em sua workload está consultando um nome de domínio inesperado. O GuardDuty pode atribuir por conta própria uma baixa criticidade a esse alerta. Entretanto, a correlação automatizada com outras atividades em torno do momento do alerta pode revelar que várias centenas de instâncias do EC2 foram implantadas pela mesma identidade, o que aumenta os custos operacionais gerais. Nesse caso, esse contexto de evento correlacionado garantiria um novo alerta de segurança e a gravidade pode ser definida como alta, o que agilizaria ações futuras. 

### Etapas de implementação
<a name="implementation-steps"></a>

1.  Identifique fontes de informações sobre alertas de segurança. Entenda como os alertas desses sistemas representam identidade, ação e recursos para determinar onde a correlação é possível. 

1.  Estabeleça um mecanismo para capturar alertas de diferentes fontes. Pense em serviços, como Security Hub, EventBridge e CloudWatch, para essa finalidade. 

1.  Identifique fontes para correlação e enriquecimento de dados. Exemplos de fontes incluem o [AWS CloudTrail](https://aws.amazon.com/cloudtrail/), [logs de fluxo de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html), [logs do Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html) e logs de infraestrutura e aplicações. Qualquer um ou todos esses logs podem ser consumidos por meio de uma única integração com o [Amazon Security Lake](https://aws.amazon.com/security-lake/). 

1.  Integre os alertas às fontes de correlação e enriquecimento de dados para criar contextos de eventos de segurança mais detalhados e determinar a gravidade. 

   1.  O Amazon Detective, ferramentas de SIEM ou outras soluções de terceiros podem realizar determinado nível de ingestão, correlação e enriquecimento automaticamente. 

   1.  Você também pode usar serviços da AWS para criar seus próprios alertas. Por exemplo, você pode invocar uma função do AWS Lambda para executar uma consulta do Amazon Athena no AWS CloudTrail ou no Amazon Security Lake e publicar os resultados no EventBridge. 

## Recursos
<a name="resources"></a>

 **Práticas recomendadas relacionadas:** 
+  [SEC10-BP03 Preparar recursos forenses](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_prepare_forensic.html) 
+  [OPS08-BP04 Criar alertas acionáveis](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_workload_observability_create_alerts.html) 
+  [REL06-BP03 Enviar notificações (processamento e emissão de alarmes em tempo real)](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_monitor_aws_resources_notification_monitor.html) 

 **Documentos relacionados:** 
+  [AWS Guia de resposta a incidentes de segurança da](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) 

 **Exemplos relacionados:** 
+  [Como enriquecer as descobertas do AWS Security Hub CSPM com metadados da conta](https://aws.amazon.com/blogs/security/how-to-enrich-aws-security-hub-findings-with-account-metadata/) 

 **Ferramentas relacionadas:** 
+  [Amazon Detective](https://aws.amazon.com/detective/) 
+  [Amazon EventBridge](https://aws.amazon.com/eventbridge/) 
+  [AWS Lambda](https://aws.amazon.com/lambda/) 
+  [Amazon Athena](https://aws.amazon.com/athena/)