Detecção

A detecção consiste em duas partes: detecção de alterações de configuração inesperadas ou indesejadas e detecção de comportamento inesperado. O primeiro pode ocorrer em vários locais do ciclo de vida de entrega de uma aplicação. Usando a infraestrutura como código (por exemplo, um modelo do CloudFormation), é possível verificar configurações indesejadas antes que uma workload seja implantada por meio da implementação de verificações nos pipelines de CI/CD ou no controle de origem. Então, ao implantar uma workload em ambientes de não produção e de produção, você pode verificar a configuração usando ferramentas nativas da AWS, de código aberto ou de parceiros da AWS. Essas verificações podem ser para configurações que não atendem a princípios de segurança ou a práticas recomendas, ou para alterações feitas entre uma configuração testada e uma implantada. Para uma aplicação em execução, você pode verificar se a configuração foi alterada de forma inesperada, inclusive fora de uma implantação conhecida ou de um evento de ajuste de escala automatizado.

Para a segunda parte da detecção, comportamento inesperado, é possível usar ferramentas ou alertar sobre um aumento em um tipo específico de chamada de API. Usando o Amazon GuardDuty, você pode ser alertado quando atividades inesperadas e, possivelmente, não autorizadas ou maliciosas ocorrerem nas suas contas da AWS. Você também deve monitorar explicitamente as chamadas de API mutantes que você não esperaria que fossem usadas em sua workload e as chamadas de API que alteram a postura de segurança.

A detecção permite identificar uma possível configuração incorreta de segurança, uma ameaça ou um comportamento inesperado. Essa é uma parte essencial do ciclo de vida de segurança e pode ser usada para apoiar um processo de qualidade, uma obrigação legal ou de conformidade e os esforços de identificação e resposta a ameaças. Existem diferentes tipos de mecanismos de detecção. Por exemplo, os logs da workload podem ser analisados em busca de explorações que estão sendo usadas. Revise regularmente os mecanismos de detecção relacionados à sua workload para garantir que você esteja atendendo às políticas e aos requisitos internos e externos. Os alertas e notificações automatizados devem se basear em condições definidas para permitir que as equipes ou ferramentas investiguem. Esses mecanismos são fatores reativos importantes que podem ajudar a organização a identificar e entender o escopo de atividades anômalas.

Na AWS, há várias abordagens para lidar com mecanismos de detecção. As seções a seguir descrevem como usar essas abordagens:

Práticas recomendadas

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

SEC03-BP09 Compartilhar recursos com terceiros de forma segura

SEC04-BP01 Configurar o registro em log de serviços e aplicações