Operações
As operações são a base da resposta a incidentes. É aqui que ocorrem as ações de resposta e atenuação de incidentes de segurança. As operações incluem as seguintes cinco fases: detecção, análise, contenção, erradicação e recuperação. As descrições dessas fases e dos objetivos podem ser encontradas na tabela a seguir.
| Phase (Fase) | Objetivo |
|---|---|
| Detecção | Identifique um possível evento de segurança. |
| Análise | Determine se o evento de segurança é um incidente e avalie o escopo do incidente. |
| Contenção | Minimize e limite o escopo do evento de segurança. |
| Erradicação | Remova recursos ou artefatos não autorizados relacionados ao evento de segurança. Implemente atenuações para as causas do incidente de segurança. |
| Recuperação | Restaure os sistemas ao estado seguro conhecido e monitore esses sistemas para verificar se não há retorno da ameaça. |
As fases devem servir como orientação quando você responde e atua em incidentes de segurança, a fim de responder de forma eficaz e robusta. As ações reais realizadas variam de acordo com o incidente. Um incidente envolvendo ransomware, por exemplo, terá um conjunto de etapas de resposta a serem seguidas diferente do que o de um incidente que envolva um bucket público do Amazon S3. Além disso, essas fases não acontecem necessariamente de modo sequencial. Após a contenção e a erradicação, talvez seja necessário retornar à análise para entender se suas ações foram eficazes.
A preparação completa de seu pessoal, processos e tecnologia é fundamental para ser eficaz nas operações. Portanto, siga as práticas recomendadas da seção Preparação para poder responder com eficácia a um evento de segurança ativo.
Para saber mais, consulte a seção Operações do Guia de resposta a incidentes de segurança da AWS.
