# Casos
A AWS Security Incident Response permite a criação de dois tipos de casos: os casos com suporte por parte da AWS ou os casos gerenciados por conta própria.
# Criação de um caso com suporte por parte da AWS
É possível criar um caso com o suporte da AWS para o AWS Security Incident Response no Console, na API ou na AWS Command Line Interface. Os casos com suporte da AWS permitem que você receba suporte dos engenheiros do Security Incident Response.
**Importante**
Casos de demonstração/simulação são encerrados depois de 90 dias.
**nota**
Os engenheiros do AWS Security Incident Response responderão ao seu caso em até 15 minutos. O tempo de resposta refere-se à primeira resposta dos engenheiros do AWS Security Incident Response. Empregaremos todos os esforços razoáveis para responder à sua solicitação inicial dentro desse período. O tempo de resposta mencionado não se aplica às respostas posteriores.
**nota**
Você pode criar casos com o suporte da AWS não apenas para incidentes e investigações de segurança ativos, mas também para consultas sobre os recursos do AWS Security Incident Response. Isso inclui perguntas sobre as regras de supressão, as configurações de triagem de alertas, os fluxos de trabalho de resposta proativa do GuardDuty e orientações gerais sobre postura de segurança. Selecione o tipo de caso **Investigações e consultas** para essas finalidades.
# Quando entrar em contato com o AWS Security Incident Response
Você pode entrar em contato com o AWS Security Incident Response com diversas finalidades, dependendo de suas necessidades. A tabela a seguir descreve os diferentes cenários e o método de contato adequado para cada um deles.
| Cenário | Quando usar | Tempo de resposta | Tipo de caso |
| --- | --- | --- | --- |
| **Incidente de segurança ativo** | Você tem um incidente de segurança urgente que requer suporte e serviços de resposta a incidentes imediatamente | 15 minutos (primeira resposta) | [Incidente de segurança ativo](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Investigação** | Você percebeu um incidente de segurança e precisa de suporte em análise de log e confirmação secundária de investigação de resposta a incidente | 15 minutos (primeira resposta) | [Investigações e consultas](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Consultas e orientações** | Você tem dúvidas sobre as descobertas, as regras de supressão, as configurações de triagem de alertas, os fluxos de trabalho de resposta proativa do Amazon GuardDuty ou a postura geral de segurança relacionada a recursos do AWS Security Incident Response | 15 minutos (primeira resposta) | [Investigações e consultas](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Problemas de onboarding** | Você tem problemas técnicos durante o processo de onboarding do AWS Security Incident Response | Varia de acordo com o plano de suporte | [AWS Support Caso do](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case) |
Em todos os casos com o suporte da AWS (Incidente ativo de segurança, e Investigações e consultas), os engenheiros do AWS Security Incident Response darão a primeira resposta em até 15 minutos . Esse tempo de resposta se aplica apenas ao contato inicial, não às respostas subsequentes.
O exemplo apresentado a seguir abrange o uso do console.
1. Faça login no AWS Security Incident Response usando o Console de gerenciamento da AWS.
1. Escolha **Criar caso**.
1. Escolha **Resolver caso com a AWS**.
1. Selecione o tipo de solicitação:
1. **Incidente de segurança ativo**: esse tipo é para suporte e serviços de resposta a incidentes urgentes.
1. **Investigações e consultas**: use esse tipo para incidentes de segurança percebidos nos quais os engenheiros do AWS Security Incident Response podem prestar suporte em análise de logs e confirmação secundária da investigação de resposta a incidente. Você pode também usar esse tipo para consultas sobre as descobertas, as regras de supressão, as configurações de triagem de alertas, os fluxos de trabalho de resposta proativa do Amazon GuardDuty e sobre a postura geral de segurança relacionada aos recursos do AWS Security Incident Response.
1. Defina a data estimada de início como a data do seu primeiro indicativo do incidente. Por exemplo, quando você percebeu um comportamento anormal pela primeira vez ou quando recebeu o primeiro alerta de segurança relacionado.
1. Informe um título para o caso.
1. Forneça uma descrição detalhada do caso. Considere os seguintes aspectos, que podem ajudar os responsáveis pela resposta a incidentes na resolução do caso:
1. O que aconteceu?
1. Quem descobriu e reportou o incidente?
1. Quem são as pessoas que estão afetadas pelo caso?
1. Qual é o impacto conhecido?
1. Qual é a urgência deste caso?
1. Adicione um ou mais IDs de Conta da AWS que estejam envolvidos no escopo do caso.
1. Adicione detalhes opcionais ao caso:
1. Selecione os principais serviços impactados usando a lista suspensa.
1. Selecione as principais regiões impactadas usando a lista suspensa.
1. Adicione um ou mais endereços IP de agentes de ameaça que você identificou como parte deste caso.
1. Adicione, opcionalmente, responsáveis pela resposta a incidentes adicionais ao caso para receberem notificações. Para adicionar um indivíduo, execute as seguintes etapas:
1. Adicione um endereço de e-mail.
1. Adicione, opcionalmente, um nome e o sobrenome.
1. Escolha **Adicionar novo** para adicionar outro indivíduo.
1. Para remover um indivíduo, escolha a opção **Remover** correspondente.
1. Escolha **Adicionar** para incluir todos os indivíduos listados no caso.
1. Você pode selecionar diversos indivíduos e escolher **Remover** para excluí-los da lista.
1. Adicione etiquetas opcionais ao caso.
1. Para adicionar uma tag, faça o seguinte:
1. Selecione **Adicionar nova tag**.
1. Em **Chave**, insira o nome da tag.
1. Em **Valor**, insira o valor da tag.
1. Para remover uma tag, clique na opção **Remover** da tag.
Após a criação de um caso com o suporte da AWS, os engenheiros do AWS Security Incident Response e sua equipe de resposta a incidentes são notificadas imediatamente.
**Para criar um caso suportado pela AWS com a investigação de IA**
1. Abra o console do AWS Security Incident Response em [console.aws.amazon.com/](https://console.aws.amazon.com/).
1. Escolha **Casos** no painel de navegação.
1. Escolha **Criar caso**.
1. Em **Tipo de caso**, selecione **caso suportado pela AWS**.
1. Forneça detalhes do caso, incluindo título, data de início do incidente e ID da conta AWS afetada.
1. Na seção **Descreva o evento de segurança**, forneça uma descrição completa do incidente.
1. Forneça informações adicionais sobre os serviços da AWS afetados, regiões e outros detalhes relevantes.
1. Escolha **Criar caso**.
Após a criação de um caso, os engenheiros do Security Incident Response e o agente de IA começam a trabalhar simultaneamente.
**Para responder às perguntas de esclarecimento da IA (opcional)**
1. Navegue até a guia **Investigação** em seu caso.
1. Analise as perguntas de esclarecimento apresentadas pelo agente de IA.
1. Responda às perguntas ou escolha **Ignorar** se preferir não responder.
1. Escolha **Enviar** para continuar. Todos os campos são opcionais.
**Aviso de IA responsável**
Os resumos das investigações são gerados usando recursos de IA generativa da AWS. Você é responsável por avaliar as recomendações geradas pela IA em seu contexto específico, implementar mecanismos de supervisão apropriados, verificar as descobertas de forma independente e manter a supervisão humana de todas as decisões de segurança.
# Criação de um caso gerenciado por conta própria
Você pode criar um caso gerenciado por conta própria para a AWS Security Incident Response por meio do Console, da API ou da AWS Command Line Interface. Esse tipo de caso *NÃO* envolve engenheiros do AWS Security Incident Response. O exemplo apresentado a seguir abrange o uso do console.
1. Faça login no AWS Security Incident Response via Console de gerenciamento da AWS em [https://console.aws.amazon.com/security-ir/](https://console.aws.amazon.com/).
1. Escolha **Criar caso**.
1. Escolha **Resolver caso com minha própria equipe de resposta a incidentes**.
1. Defina a data estimada de início como a data do seu primeiro indicativo do incidente. Por exemplo, quando você percebeu um comportamento anormal pela primeira vez ou quando recebeu o primeiro alerta de segurança relacionado.
1. Informe um título para o caso. É recomendado incluir os dados no título do caso, conforme a sugestão fornecida ao selecionar a opção **Gerar título**.
1. Insira os IDs de Conta da AWS que fazem parte do caso. Para adicionar um ID de conta, execute as seguintes etapas:
1. Insira o ID da conta, que contém 12 dígitos, e escolha **Adicionar conta**.
1. Para remover uma conta, selecione **Remover** ao lado da conta que deseja remover do caso.
1. Forneça uma descrição detalhada do caso.
1. Considere os seguintes aspectos, que podem ajudar os responsáveis pela resposta a incidentes na resolução do caso:
1. O que aconteceu?
1. Quem descobriu e reportou o incidente?
1. Quem são as pessoas que estão afetadas pelo caso?
1. Qual é o impacto conhecido?
1. Qual é a urgência deste caso?
1. Adicione detalhes opcionais ao caso:
1. Selecione os principais serviços impactados usando a lista suspensa.
1. Selecione as principais regiões impactadas usando a lista suspensa.
1. Adicione um ou mais endereços IP de agentes de ameaça que você identificou como parte deste caso.
1. Adicione, opcionalmente, responsáveis pela resposta a incidentes adicionais ao caso para receberem notificações. Para adicionar um indivíduo, execute as seguintes etapas:
1. Adicione um endereço de e-mail.
1. Adicione, opcionalmente, um nome e o sobrenome.
1. Escolha **Adicionar novo** para adicionar outro indivíduo.
1. Para remover um indivíduo, escolha a opção **Remover** correspondente.
1. Escolha **Adicionar** para incluir todos os indivíduos listados no caso. Você pode selecionar diversos indivíduos e escolher **Remover** para excluí-los da lista.
1. Adicione etiquetas opcionais ao caso. Para adicionar uma tag, faça o seguinte:
1. Selecione **Adicionar nova tag**.
1. Em **Chave**, insira o nome da tag.
1. Em **Valor**, insira o valor da tag.
1. Para remover uma tag, clique na opção **Remover** da tag.
Após a criação do caso, a equipe de resposta a incidentes receberá uma notificação por e-mail.
# Trabalhar com os engenheiros do AWS Security Incident Response
Depois que você abre um caso de incidente de segurança, os engenheiros do AWS Security Incident Response começam a trabalhar no incidente. Esta seção explica o que esperar durante a investigação e como colaborar de modo eficaz com nossa equipe.
# O que esperar dos engenheiros do AWS Security Incident Response
Quando você abre um caso com o suporte da AWS, um engenheiro do Security Incident Response é designado para o incidente. O respondente designado:
+ Revisa as informações iniciais que você forneceu sobre o caso
+ Analisa os logs de serviço da AWS e as descobertas de segurança relevantes
+ Identifica o escopo e o impacto do incidente de segurança
+ Desenvolve um plano de investigação e resposta específico para a situação
**Cronograma de resposta**: o objetivo do nível de serviço (SLO) para o reconhecimento de novos casos pelos engenheiros da AWS Security Incident Response é de 15 minutos. O cronograma da avaliação inicial pode variar com base na gravidade e complexidade do caso. Se os engenheiros da AWS Security Incident Response não receberem uma resposta ou informações críticas de você dentro de 5 dias úteis, o caso será encerrado.
# Fluxo de trabalho de investigação
Os engenheiros do AWS Security Incident Response seguem um processo estruturado de resposta a incidentes alinhado com a estrutura NIST 800-61r2. Durante sua investigação, as seguintes fases são esperadas:
1. **Triagem inicial**: os engenheiros do Security Incident Response analisam os detalhes do caso e confirmam o escopo do incidente
1. **Investigação**: os engenheiros do Security Incident Response analisam os logs, identificam os indicadores de comprometimento e determinam a causa primária
1. **Contenção**: os engenheiros do Security Incident Response recomendam ações para limitar o impacto do incidente
1. **Erradicação e recuperação**: os engenheiros do Security Incident Response ajudam a remover as ameaças e restaurar as operações normais
1. **Análise pós-incidente**: os engenheiros do Security Incident Response apresentam as descobertas e as recomendações para evitar futuros incidentes
Durante essas fases, o engenheiro de Security Incident Response mantém você informado por meio de atualizações do caso e pode solicitar informações ou ações adicionais.
# Os engenheiros do Information Security Incident Response podem solicitar
Para investigar o incidente de forma eficaz, os engenheiros do AWS Security Incident Response podem solicitar:
+ **Detalhes cronológicos**: quando você detectou pela primeira vez o incidente e quaisquer eventos relevantes que o antecederam
+ **Recursos afetados**: IDs de contas, serviços, regiões específicas da AWS, e ARNs dos recursos envolvidos
+ **Informações de acesso**: detalhes sobre quem tem acesso aos recursos afetados e qualquer alteração de acesso recente
+ **Contexto de negócios**: como os recursos afetados são usados e o possível impacto nos negócios
+ **Logs e evidências**: outros logs, capturas de tela ou artefatos que possam ajudar na investigação
+ **Autorização**: aprovação para realizar ações específicas de contenção ou remediação para você
O engenheiro do Security Incident Response explicará por que cada informação é necessária e como ela ajudará na investigação.
# Práticas recomendadas de comunicação
A comunicação eficaz acelera a resolução dos incidentes. Siga estas práticas ao trabalhar com engenheiros do AWS Security Incident Response:
+ **Responda prontamente** às solicitações de informação feitas pelo engenheiro do Security Incident Response
+ **Forneça informações completas**, mesmo que não tenha certeza de sua relevância
+ **Faça perguntas** se não entender uma recomendação ou precisar de esclarecimentos
+ **Atualize o caso** com qualquer novo desenvolvimento ou alteração no incidente
+ **Designe um contato principal** de sua equipe para coordenar com os engenheiros do Security Incident Response
**Importante**
Se os engenheiros da AWS Security Incident Response não receberem uma resposta às solicitações de informações críticas dentro de 5 dias úteis, procederemos ao encerramento do caso. É possível reabrir um caso se novas informações ficarem disponíveis.
# Seu papel durante a investigação
Embora os engenheiros da AWS Security Incident Response conduzam a investigação, sua participação é essencial. Você é responsável por realizar as seguintes ações:
+ Fornecer respostas às solicitações de informação prontamente
+ Implementar as ações recomendadas de contenção e remediação em seu ambiente da AWS
+ Autorizar os engenheiros da Resposta a Incidentes de Segurança a realizar ações para você (se a resposta proativa foi habilitada)
+ Coordenar com suas equipes internas (segurança, jurídica, conformidade) conforme necessário
+ Tomar decisões de negócios sobre prioridades e escolhas compensatórias nas respostas aos incidentes
Os engenheiros da AWS Security Incident Response oferecem expertise e recomendações, mas você mantém o controle de seus recursos da AWS e toma as decisões finais sobre as ações de resposta.
# Encerramento do caso
Os engenheiros da AWS Security Incident Response encerram seu caso quando:
+ O incidente foi contido e remediado
+ Todos os resultados da investigação foram compartilhados com você
+ Nenhuma assistência adicional do engenheiro do Security Incident Response é necessária
+ Você solicita o encerramento do caso
Antes de encerrar um caso, o engenheiro do Security Incident Response fornece um resumo das descobertas, ações realizadas e recomendações para melhorar a postura de segurança.
Se precisar de assistência adicional após o encerramento do caso, você pode abrir um novo caso ou entrar em contato com o AWS Support.
# Como responder a um caso gerado pela AWS
A AWS Security Incident Response pode criar uma notificação externa ou abrir um caso quando for necessário que você realize alguma ação ou esteja ciente de algo que possa impactar sua conta ou seus recursos. Isso só ocorre se você tiver habilitado os fluxos de trabalho de resposta proativa e triagem de alertas como parte da sua assinatura.
Essas notificações é apresentada como casos de Resposta a Incidentes de Segurança com o prefixo “[Caso proativo]” no console de AWS Security Incident Response. Para visualizar e gerenciar esses casos, conclua as seguintes etapas:
+ Acesse o console de Resposta a Incidentes de Segurança em https://console.aws.amazon.com/security-ir/.
+ Escolha **Casos**.
+ Você vê todos os casos, incluindo aqueles com o prefixo "[Caso proativo]".
É possível atualizar, resolver e reabrir esses casos conforme necessário. É possível se comunicar diretamente com a equipe de AWS Security Incident Response por meio desses casos, garantindo um tratamento eficiente de possíveis questões de segurança.