Etapa 1: habilitar AWS Security Incident Response

Como habilitar o AWS Security Incident Response

1. Faça login no Console de Gerenciamento da AWS usando sua conta gerencial.

2. Abra o console do AWS Security Incident Response e clique em Cadastrar.

   

3. Designe uma conta de ferramenta de segurança como administrador delegado.

   • Para obter orientação, consulte Security Reference Architecture nas Recomendações da AWS e Administrador delegado.

   

4. Faça login na conta do administrador delegado.

5. Insira os detalhes da associação e associe as contas relevantes.

6. Em Escopo da conta, escolha habilitar o AWS Security Incident Response para toda a sua organização da AWS ou para UOs específicas. Você pode selecionar a cobertura no nível da UO, mas não no nível da conta individual.

7. Para Resposta proativa, confirme se a configuração está habilitada. A resposta proativa é ativada por padrão e cria um perfil vinculado ao serviço que permite à SIRT da AWS ingerir descobertas do GuardDuty e abrir casos de investigação proativa quando ameaças são detectadas. Para obter mais informações, consulte Resposta proativa.

   Importante

   O perfil vinculado ao serviço não é implantado automaticamente na conta gerencial. Você deve configurá-lo manualmente para obter uma cobertura completa. Para instruções, consulte Configuração de fluxos de trabalho de resposta proativa e de triagem de alertas.

8. (Opcional) Escolha pré-autorizar a SIRT da AWS ao realizar ações de contenção em seu nome durante incidentes ativos. As ações de contenção compatíveis incluem runbooks para buckets comprometidos do S3, instâncias do EC2 e entidades principais do IAM. Se você pular essa etapa, a SIRT fornecerá orientação manual durante as investigações. Para obter mais informações, consulte Ações de contenção.

9. Revise as permissões do serviço e a configuração de integração e escolha Cadastrar.