Investigação de Incidentes de Segurança Mais Eficiente com Inteligência Artificial
Quem já passou horas vasculhando manualmente os registros do AWS CloudTrail, verificando permissões do AWS Identity and Access Management (IAM) e reconstruindo a cronologia de um evento de segurança, compreende bem o investimento de tempo que uma investigação de incidente exige. A AWS anunciou a adição de capacidades de investigação impulsionadas por inteligência artificial ao AWS Security Incident Response, automatizando o trabalho de coleta e análise de evidências que costumava ser realizado manualmente.
O serviço Security Incident Response da AWS foi projetado para ajudar organizações a se prepararem, responderem e recuperarem-se de eventos de segurança de forma mais rápida e eficaz. Ele combina monitoramento e triagem automatizados de descobertas de segurança, contenção e agora novas capacidades de investigação baseadas em IA, tudo integrado com acesso 24/7 à equipe especializada de resposta a incidentes da AWS.
O Desafio da Investigação Manual de Incidentes
Durante a investigação de uma chamada de API suspeita ou atividade de rede incomum, os analistas precisam consultar múltiplas fontes de dados, correlacionar timestamps, identificar eventos relacionados e construir uma visão completa do que ocorreu. Profissionais de centros de operações de segurança (SOC) dedicam uma quantidade significativa de tempo a cada investigação, com aproximadamente metade desse esforço consumido pela coleta manual e correlação de evidências de diversas ferramentas e logs complexos.
Esse trabalho manual frequentemente atrasa a análise e a resposta aos incidentes. Para resolver esse gargalo, a AWS introduz um agente investigador ao Security Incident Response, transformando esse paradigma e adicionando camadas de eficiência que reduzem drasticamente o tempo necessário para validar e responder a possíveis eventos de segurança.
O Agente Investigador: Como Funciona
Quando um caso de preocupação de segurança é criado — seja manualmente ou de forma proativa pelo Security Incident Response — o agente investigador faz perguntas de esclarecimento para garantir que compreende totalmente o contexto do possível evento de segurança. Em seguida, ele reúne automaticamente evidências de eventos do CloudTrail, configurações do IAM, detalhes de instâncias do Amazon Elastic Compute Cloud (Amazon EC2) e até analisa padrões de uso de custos.
Em poucos minutos, o agente correlaciona as evidências, identifica padrões e apresenta um resumo claro e compreensível. Diferentemente da automação tradicional, o agente não oferece resultados genéricos — a investigação é adaptada especificamente à sua preocupação.
Fluxo de Operação na Prática
Imagine o seguinte cenário: você descobre que as credenciais de um usuário IAM em sua conta foram expostas em um repositório público do GitHub. Você precisa entender quais ações foram realizadas com essas credenciais e escopar adequadamente o possível evento de segurança, incluindo movimentos laterais e operações de reconhecimento. Você também precisa identificar mecanismos de persistência que possam ter sido criados e determinar as etapas de contenção apropriadas.
Para começar, você cria um caso no console do Security Incident Response e descreve a situação. É aqui que a abordagem do agente se diferencia: ele faz perguntas esclarecedoras primeiro. Quando as credenciais foram expostas pela primeira vez? Qual é o nome do usuário IAM? Você já rotacionou as credenciais? Qual conta da AWS foi afetada? Essa etapa interativa coleta os detalhes e metadados apropriados antes de iniciar a coleta de evidências.
Depois que o agente tem as informações necessárias, ele investiga. Busca eventos do CloudTrail para ver quais chamadas de API foram feitas usando as credenciais comprometidas, obtém detalhes do usuário e das funções do IAM para verificar quais permissões foram concedidas, identifica novos usuários ou funções do IAM que foram criados, verifica informações de instâncias do EC2 se recursos de computação foram iniciados e analisa padrões de custos e uso para consumo anômalo de recursos.
Em vez de você consultar cada serviço da AWS individualmente, o agente orquestra isso automaticamente. Em poucos minutos, você recebe um resumo contendo uma visão de alto nível, descobertas críticas, padrões de exposição de credenciais, atividades observadas e cronogramas, recursos afetados e fatores limitantes.
O resumo da investigação inclui várias abas com informações detalhadas, como descobertas técnicas com uma cronologia de eventos, fornecendo a você uma imagem de alta resolução do que aconteceu. Com essa transparência, você pode tomar decisões informadas sobre contenção, erradicação e recuperação.
Impacto Operacional para as Equipes de Segurança
O cenário de credenciais expostas demonstra o que o agente pode fazer para um incidente individual, mas o impacto maior está na transformação das operações diárias:
- Menos tempo em coleta de evidências: O agente investigador automatiza a parte mais demorada das investigações — reunir e correlacionar evidências de múltiplas fontes. Em vez de gastar uma hora em análise manual de logs, você pode dedicar a maior parte desse tempo a decisões de contenção e prevenção de recorrências.
- Investigação em linguagem natural: O agente investigador utiliza processamento de linguagem natural (NLP), permitindo descrever o que você está investigando em linguagem natural, como “chamadas de API incomuns do endereço IP X” ou “acesso a dados com credenciais de funcionário desligado”. O agente traduz essas descrições em consultas técnicas necessárias, eliminando a necessidade de ser um especialista em formatos de logs da AWS ou conhecer a sintaxe exata para consultar o CloudTrail.
- Base sólida para investigações precisas: O agente investigador realiza a investigação inicial — reunindo evidências, identificando padrões e fornecendo um resumo abrangente. Se seu caso exigir análise mais profunda ou orientação em cenários complexos, você pode envolver a equipe especializada da AWS, que pode construir imediatamente sobre o trabalho que o agente já realizou, acelerando seu tempo de resposta. Eles veem as mesmas evidências e cronologia, podendo focar em análise avançada de ameaças e estratégias de contenção em vez de começar do zero.
Configuração e Primeiros Passos
Se você já tem o Security Incident Response habilitado, as capacidades de investigação com inteligência artificial estão disponíveis agora — nenhuma configuração adicional é necessária. Crie seu próximo caso de segurança e o agente começará a trabalhar automaticamente.
Se você é novo no Security Incident Response, aqui está como configurar:
- Habilite o Security Incident Response através da sua conta de gerenciamento do AWS Organizations. Isso leva alguns minutos através do Console de Gerenciamento da AWS e fornece cobertura em todas as suas contas.
- Crie um caso. Descreva o que você está investigando; você pode fazer isso através do console do Security Incident Response, uma API, ou configurar criação automática de casos a partir de alertas do Amazon GuardDuty ou AWS Security Hub.
- Analise os resultados. O agente apresenta suas descobertas através do console do Security Incident Response, ou você pode acessá-las através de seus sistemas de tickets existentes, como Jira ou ServiceNow.
Considerações Técnicas e Segurança
O agente investigador utiliza a função ligada ao serviço de suporte da AWS para reunir informações de seus recursos. Essa função é criada automaticamente quando você configura sua conta da AWS e fornece o acesso necessário para ferramentas de suporte consultarem eventos do CloudTrail, configurações do IAM, detalhes do EC2 e dados de custos. Todas as ações realizadas pelo agente são registradas no CloudTrail para auditoria completa.
O agente investigador está incluído sem custo adicional com o Security Incident Response, que agora oferece preços medidos com um nível gratuito cobrindo seus primeiros 10 mil achados ingeridos por mês. Após esse limite, os achados são faturados em taxas que diminuem com volume. Com essa abordagem baseada em consumo, você pode escalar suas capacidades de resposta a incidentes de segurança conforme suas necessidades crescem.
Integração com Ferramentas Existentes
Casos do Security Incident Response podem ser criados por clientes ou proativamente pelo serviço. O agente investigador é acionado automaticamente quando um novo caso é criado, e os casos podem ser gerenciados através do console, API ou integrações do Amazon EventBridge. Você pode usar o EventBridge para construir fluxos de trabalho automatizados que roteiem eventos de segurança do GuardDuty, Security Hub e do próprio Security Incident Response para criar casos e iniciar planos de resposta, possibilitando pipelines completos de detecção para investigação.
Antes do agente investigador iniciar seu trabalho, o sistema de auto-triagem do serviço monitora e filtra achados de segurança do GuardDuty e ferramentas de segurança de terceiros através do Security Hub. Ele utiliza informações específicas do cliente, como endereços IP conhecidos e entidades do IAM, para filtrar achados com base no comportamento esperado, reduzindo o volume de alertas enquanto escalona alertas que exigem atenção imediata. Isso garante que o agente investigador se concentre em alertas que realmente necessitam investigação.
Conclusão
A adição do agente investigador ao AWS Security Incident Response automatiza a coleta e análise de evidências, reduzindo o tempo necessário para investigar eventos de segurança de horas para minutos. O agente faz perguntas esclarecedoras para compreender suas preocupações específicas, consulta automaticamente múltiplas fontes de dados da AWS, correlaciona evidências e apresenta uma cronologia e resumo abrangente, mantendo transparência e auditoria completas.
Com a adição do agente investigador, clientes do Security Incident Response agora recebem a velocidade e eficiência da automação impulsionada por IA, apoiadas pela expertise e supervisão de especialistas em segurança da AWS quando necessário. As capacidades de investigação com inteligência artificial estão disponíveis hoje em todas as regiões comerciais da AWS onde o Security Incident Response opera. Para saber mais sobre preços e recursos, ou para começar, visite a página do produto AWS Security Incident Response.
Fonte
Accelerate investigations with AWS Security Incident Response AI-powered capabilities (https://aws.amazon.com/blogs/security/accelerate-investigations-with-aws-security-incident-response-ai-powered-capabilities/)
Leave a Reply