Recursos da Resposta a Incidentes de Segurança da AWS

A Resposta a Incidentes de Segurança monitora e classifica as descobertas de segurança do Amazon GuardDuty e de ferramentas de terceiros, como o CrowdStrike Falcon, o Trend Micro Cloud One e o Fortinet Lacework FortiCNAPP, por meio do AWS Security Hub. Ela usa informações específicas do cliente, como endereços IP conhecidos e entidades do AWS Identity and Access Management (IAM), para filtrar os resultados com base no comportamento esperado, reduzindo o volume de alertas e escalando aqueles que exigem atenção imediata.

A Resposta a Incidentes de Segurança evolui com o seu ambiente, incorporando novos insights para melhorar a performance ao longo do tempo. O serviço refina as regras de triagem automática com base nos padrões de atividade exclusivos da sua organização, facilitando a distinção entre operações de rotina e riscos potenciais. À medida que seu ambiente cresce, a Resposta a Incidentes de Segurança identifica eventos críticos com ainda mais precisão e eficácia.

Reduza o tempo para coordenar as partes interessadas internas, criando uma equipe personalizada de resposta a incidentes. Essa equipe recebe imediatamente uma notificação por e-mail sempre que um caso é criado por meio do serviço. Conceda aos membros dessa equipe as permissões necessárias para controlar o acesso ao caso e manter privilégios mínimos.

Com a integração do Amazon EventBridge, você pode automatizar o roteamento de eventos e notificações para plataformas de terceiros, como ServiceNow, Jira, Slack e PagerDuty. Por exemplo, quando a Resposta a Incidentes de Segurança cria um caso de forma proativa, a automação do EventBridge pode acionar sistemas para notificar as partes interessadas, possibilitando uma resposta mais rápida durante possíveis eventos de segurança.

A Resposta a Incidentes de Segurança combina análises baseadas em IA com supervisão especializada para examinar descobertas de segurança, logs e padrões anômalos, a fim de determinar se é necessário escalar o problema. Se um evento de segurança for confirmado ou se forem necessárias informações adicionais, o serviço cria um caso e notifica as partes interessadas que você designou como parte da sua equipe de resposta a incidentes. Por meio do engajamento ativo, o serviço aprende sobre o seu ambiente e os comportamentos esperados, melhorando a precisão dos alertas e garantindo uma resposta rápida a eventos de segurança genuínos.

O agente de IA para Resposta a Incidentes de Segurança ajuda a reduzir o tempo de investigação, automatizando a coleta de evidências e minimizando atrasos na comunicação, possibilitando uma resposta e recuperação mais rápidas. Quando você cria um caso ou o serviço cria um de forma proativa, o agente investigativo pergunta sobre possíveis indicadores, nomes de recursos e prazos, adaptando a investigação à sua preocupação específica. Ele coleta e correlaciona automaticamente evidências em várias fontes de dados da AWS, como o AWS CloudTrail, o AWS IAM, o Amazon EC2 e o Explorador de Custos da AWS. Em seguida, ele apresenta as descobertas em resumos claros e práticos, tudo isso com a supervisão contínua dos especialistas em segurança da AWS, que orientam você durante toda a investigação até a conclusão.

Quando você precisa de conhecimento especializado, a AWS CIRT responde ao seu caso em questão de minutos. Atuando como uma extensão da equipe do seu centro de operações de segurança (SOC), a AWS CIRT tem acesso a dados de logs relevantes, independentemente das suas configurações de log, para investigações durante possíveis eventos de segurança. A AWS CIRT fornece à sua equipe etapas claras de contenção ou remediação em caso de eventos de segurança confirmados. Se desejar, você pode autorizar a AWS CIRT a realizar essas etapas em seu nome.

Quando as descobertas de segurança de ferramentas de terceiros, como o CrowdStrike Falcon, o Trend Micro Cloud One e o Fortinet Lacework FortiCNAPP, estão envolvidas em um caso, a AWS CIRT trabalha diretamente com esses fornecedores, combinando seus conhecimentos para criar uma resposta abrangente. Essa abordagem unificada ajuda a garantir que você se beneficie do conhecimento especializado de todos os provedores, enquanto a AWS CIRT gerencia a comunicação e a coordenação, fornecendo insights claros e acionáveis em cada etapa da resposta.

Você pode conceder à Resposta a Incidentes de Segurança as permissões necessárias para realizar ações de contenção compatíveis como resposta a alertas em seu nome. Esse recurso agiliza a mitigação de eventos de segurança, minimizando o impacto potencial no seu ambiente.